Аутсорсинг информационной безопасности: насколько удачно это решение?
Термин «аутсорсинг» в бизнес-среде обычно ассоциируется с созданием различного программного обеспечения или с бухгалтерскими услугами. Про аутсорсинг в плане информационной безопасности у нас в стране даже мало кто слышал. Тем не менее, поскольку такое явление существует, а вопросы обеспечения информационной безопасности являются весьма животрепещущими для большинства компаний, будет, как полагает автор, полезно рассмотреть особенности передачи на аутсорсинг работ в этой сфере.
Цели и задачи аутсорсинга
Сам аутсортинг появился изначально как способ исполнения деятельности, которая не является профильной для фирмы, или такой, которую вы можете легко вычленить из другого бизнес-процесса. К примеру, если компания решает строить свой офис и привлекает для этого подрядчика, то можно сказать, что строительство она отдает на аутсорсинг. Поскольку сегодня растет количество задач, с которыми ежедневно сталкивается каждый бизнес, нет ничего удивительного, что аутсорсинг процветает.
Какие же выгоды получают компании, которые пожелают прибегнуть к аутсорсинговым услугам? Самым мощным стимулом для передачи деятельности компании на аутсорсинг является шанс таким образом сконцентрироваться на собственных экспертизах, не распыляя имеющиеся ресурсы. Компания, которая прибегает к помощи аутсорсера, экономит при этом на оформлении в штат высококвалифицированного сотрудника на постоянной основе, вместо этого оплачиваются услуги аутсорсинговой фирмы, которые в итоге обходятся обычно дешевле. Метавселенная ВДНХ
Хрестоматийным примером можно назвать оффшорное программирование. Пользуясь услугами индийских, бразильских, белорусских компаний, многие западные заказчики могут экономить значительные средства уже только благодаря разнице в оплате труда сотрудников. Другой пример – юридические услуги. Немногим компаниям нужен высококвалифицированный юрист на полный рабочий день, но иметь доступ к его знаниям и знакомствам несколько часов в неделю по карману большему кругу организаций.
Фактически, главным преимуществом аутсорсинга для компаний-нанимателей можно назвать то, что за достаточно умеренную плату могут получить услуги высококлассных сотрудников, которые смогут работать именно столько времени, сколько требуется компании-нанимателю. При этом таких сотрудников, по завершении исполнения какой-либо работы не потребуется нагружать специально созданными «под них» заданиями, которые не имеют ничего общего с потребностями компании, просто ради того, чтобы не увольнять данных специалистов.
Одним из наиболее важных моментов аутсорсинга для коммерческих организаций можно назвать именно финансовые показатели. Случается так, что компании решают не закупать ПО и оборудование, дабы не увеличивать основные средства, однако потребность в определенном функционале у них все равно имеется. В данном случае обращение к поставщику услуг, который в состоянии предложить нужные фирме решения, является чуть ли ни единственным подходящим выходом из данного положения.
ИТ- и ИБ-аутсорсинг в наши дни
Услуги, которые предоставляются сегодня аутсорсинговыми компаниями, включают и разработку на заказ какого-либо программного обеспечения, и обеспечение деятельности ИТ-инфраструктуры компании. Если заказывать ПО для собственных нужд могут позволить себе только лишь действительно большие, имеющие серьезный доход компании, то вот второй вариант ИТ-аутсорсинга сегодня с успехом используют предприятия любой величины.
Сегодня тенденции развития сферы ИТ приводят к тому, что в этой сфере отчётливо формируется отдельная ниша – обеспечение информбезопасности организаций. Из-за очень широкого применения информационных технологий, а также все большей, постоянно возрастающей важности данных в работе и коммерческих, и государственных компаний, обеспечение информбезопасности также является всё более важным аспектом их работы. Во многих компаниях в наше время работают специальные отделы информбезопасности, которые обеспечивают защиту корпоративных данных от самых разных угроз, как из-за пределов компании, так и существующих в ней самой.
Вместе с ростом стоимости обеспечения информбезопасности сегодня все чаще возникает вопрос о том, каким образом можно сэкономить на этой статье расходов. Аутсорсинг видится в данном случае одним из самых вероятных путей для решения проблемы.
Что сегодня понимают под безопасностью данных?
Чтобы разговаривать на тему аутсорсинга информбезопасности более предметно, необходимо сначала понять, что же именно сегодня принято включать в понятия информационной безопасности данных вообще.
Информационная безопасность подразумевает под собой обеспечение защиты данных от злонамеренных или же случайных воздействий, также подразумевается защита от возможной потери данных. В задачи тех сотрудников, которые должны обеспечивать информационную безопасность частной компании или же госучреждения, входит предотвращение таких воздействий, а также максимальная нейтрализация последствий тех воздействий, которые по каким-то причинам предотвратить всё не получилось.
С какими угрозами сегодня ежедневно сталкиваются специалисты по информбезопасности? Все такие угрозы вполне логично подразделяются на внешние и внутренние. К внешним обычно относят атаки, направленные на корпоративные сервера, а также попытки незаконных проникновений в локальную сеть корпорации, шпионское и вредоносное ПО. Также сюда относят спам, который обычно является одним из основных источников вредоносного ПО, проникающего в корпоративную сеть. Что же касается внутренних угроз, то к таковым обычно относят угрозы уничтожения информации или же утечки данных по вине преднамеренных поступков некоторых сотрудников или – благодаря их халатности.
Как видим, современный спектр угроз для корпоративных данных, с которыми имеют дело различные организации в наше время, довольно широкий. При этом количество инцидентов, которые связаны с защитой данных, постоянно растёт, и специалистам, которые отвечают за данную сферу в компаниях, нужно прикладывать очень большие усилия для поддержания ситуации на контроле. Расходы на информбезопасность тоже возрастают, потому что благодаря спаму и вредоносным программам увеличивается нагрузка на серверы, соответственно, по мере роста фирмы растет также и штат отдела корпоративной безопасности.
Что можно отдать аутсортерам?
Информбезопасность – это одна из тех сфер, где нужно предельно внимательно выбирать, какие именно направления можно отдать на аутсорсинг, а какие лучше оставить под ответственность специалистов самой компании. Вполне очевидно, что целиком передавать эту сферу работы компании аутсорсерам достаточно опасно. Безусловно, необходимо помнить, что универсальных рецептов попросту нет, и потому каждая организация может самостоятельно решить, что именно она может доверять определенному аутсорсеру в определенный момент времени.
Прежде всего, нужно в обязательном порядке передавать на аутсорсинг аудит информбезопасности организации. Проведение проверок сторонними лицами позволит достигнуть их непредвзятости и эффективности, потому что уменьшается вероятность, что аудиторы начнут «прикрывать» коллег, с которыми они связаны благодаря дружеским отношениям и совместно проведённым тысячам часов на работе.
Разработка нормативных документов, которые связаны с информбезопасностью, также довольно редко бывает возложена на собственно сотрудников компаний. На самом деле, политики безопасности могут разрабатываться силами специалистов собственно организации, но более хорошей идеей представляется передача данного разового мероприятия тем, у кого есть опыт разработки таких документов. Близка к ней и задача обучения сотрудников, которая также зачастую перекладывается на плечи сторонних компаний. С периодической организацией курсов по повышению квалификации для сотрудников по информбезопасности, само собой, намного лучше справятся специалисты фирмы, для которой такая деятельность уже стала профильной.
Довольно просто передавать сторонним компаниям организацию VPN (виртуальных частных сетей) для общения между удалёнными друг от друга филиалами компании, а также построение защищённых каналов связи внутри фирмы и управления системами для предотвращения вторжения в сеть компании.
Отдельно необходимо отметить борьбу с рассылками спама, которая очень актуальна для тех компаний, чья ИТ-инфраструктура функционирует в режиме реального времени. Для этих компаний нагрузка на информ-каналы, которая создается благодаря потокам спама, может быть критичной. И этим организациям, скорее всего, будет гораздо удобнее передать на аутсорсинг системы для защиты от спама, которые позволят серьезно разгрузить сервера компании и системных администраторов, которые обслуживают антиспам.
Что не рекомендуют передавать на аутсорсинг? Прежде всего, такие вопросы, которые напрямую связаны с системой внутренней безопасности организации. Сюда, в частности, включаются собственно управление системой для предотвращения утечек данных, а также разбор инцидентов, связанных с этим, и другие задачи, которые соотносятся с управлением конфиденциальной информацией. Это как раз те задачи, коими потребуется заниматься отделу информбезопасности, или же сотруднику, который отвечает за информационную безопасность.
Аутсорсинг и консалтинг
Необходимо отделять аутсорсинг информационной безопасности от консалтинга в данной области. Хотя справедливости ради нужно уточнить, что очень часто сами компании, которые предоставляют аутсорсинговые и консалтинговые услуги, путают эти термины.
Консалтинг (англ. consulting — консультирование) — это вид профессиональных услуг (обычно это услуги платные), которые предоставляются корпоративным клиентам, интересующимся оптимизацией собственного бизнеса.
К консалтингу обычно определяют разработку различных советов и требований, которые относятся к поддержке информационной безопасности организации на должном уровне. Типичные примеры тех работ, которые выполняют консалтинговые компании, специализирующиеся на информбезопасности, включают:
- Экономический анализ системы информбезопасности;
- Разработку методики для качественного анализа защищенности организации;
- Разработку советов по защите информсистемы;
- Разработку требований к системе для защиты информации, которые отвечают особенностям организации;
- Разработку технического задания для создания системы обеспечения информбезопасности;
- Составление обзора ПО для обеспечения информбезопасности по ранее заданным критериям;
Разработку требований в плане квалификации сотрудников отдела информационной безопасности;
- Разработку нормативных актов и политики для обеспечения информбезопасности.
Консалтинг в области безопасности данных, само собой, также можно назвать довольно важным компонентом для создания надёжной защиты данных организации, он помогает оптимизировать расходы в этой графе бюджета компании. Но все-таки, консалтинг и аутсорсинг – разные вещи, которые органично дополняют друг друга. Тема консалтинга в области информбезопасности, конечно, достойна отдельного рассмотрения, но за рамки этой статьи она все же выходит.
Риски аутсорсинга, а также выбор аутсорсера
Компании, которые прибегают к помощи аутсорсеров, в том числе и при аутсорсинге информбезопасности, часто думают, что обращение к таким специалистам позволяет уменьшить риски для их компании, потому что данные риски теперь перекладываются на удаленного работника. В целом, это так и есть: благодаря аутсорсингу компании на самом деле могут избавиться от таких рисков, как отказ оборудования или недостаточная квалификация персонала, потому что все данные риски берет на себя фирма-аутсорсер.
Однако, полагать, что компания полностью освобождается от таких рисков, передавая обеспечение безопасности конфиденциальных данных аутсорсинговой фирме, все-таки будет не совсем правильно. Просто потому, что аутсорсинг сам несёт некоторые риски, и их также нужно принимать во внимание. Основным из таких рисков можно назвать сильную зависимость от работы конкретного аутсорсера.
Просто аутсорсинговые компании обычно очень заинтересованы в том, чтобы их клиенты не ушли от них ни при каких обстоятельствах, и поэтому очень часто их представители используют самые различные методы удержания клиентов – используются и незаметные пункты договора, которые ограничивают свободу заказчика, и различные технологические ухищрения. Именно потому вам понадобится не только читать заключаемые с аутсорсерам соглашения, но и минимально понимать что-то в решениях, которые предлагают сотрудники компании.
Основное, что требуется учитывать, выбирая компанию-аутсорсера – степень ответственности, которую может на себя взять данная компания в обеспечении информбезопасности вашей фирмы. Проблема выбора компании-аутсорсера тесно сопряжена с рисками аутсорсинга. Выбирая, кому отдать заботу об информационной безопасности вашей компании, нужно тщательно изучить, какую именно ответственность аутсорсер может нести за исполняемую работу, и каким образом обеспечивается качество ее исполнения.
Безусловно, важно наличие у компании-аутсорсера разных сертификатов, которые подтверждают качество услуг, обеспечиваемых данной компанией. Лучшей же рекомендацией, как обычно, является сотрудничество этой компании с каким-то из ваших партнёров, конечно, с условием, что ваши партнеры не против поделиться с вами данными о результатах такого сотрудничества и о его возможных «подводных камнях».
Вместо заключения
Несмотря на то, что аутсорсинг в сфере информационной безопасности – явление сравнительно свежее и новое в наших бизнес-реалиях, нет сомнений, что за ним будущее. Поскольку угроз сегодня появляется всё больше и больше, квалифицированные администраторы информационной безопасности будут все более востребованы, а значит, их стоимость на рынке труда.
Поэтому во все более агрессивной информационной среде, где конкурентная разведка, покупка данных, украденных недобросовестными сотрудниками у своего работодателя, и прочие подобные вещи становятся, к сожалению, нормой, обеспечение информационной безопасности станет необходимым не только для крупных компаний, но и для среднего и малого бизнеса. И аутсорсинг здесь будет действительно хорошим решением проблемы в силу всех перечисленных выше преимуществ этого способа выполнения работ. Поэтому имеет смысл задуматься о его использовании уже сегодня, раньше, чем задумались все ваши конкуренты.
Автор: Роман Идов