Казань,24 Октября, Вторник $ 57.47 € 67.56
Годовая подписка на журнал за 3600 руб
Оформить подписку

Соблазн аутсорсинга

Соблазн аутсорсинга
Фото: www.google.ru

Достаточно ли богаты российские компании, чтобы содержать собственные отделы, специализирующиеся на информационной безопасности (ИБ)?

Среди экспертов распространено мнение о том, что бизнесу куда эффективнее перекладывать заботу об ИБ на плечи аутсорсинговых компаний, чем содержать собственный специализированный отдел. Научный эксперт Совета Безопасности России, руководитель Центра информационной безопасности Университета Иннополис, доктор технических наук, профессор Сергей Петренко детально занимается изучением такой важной темы, как сорсинг ИБ. Это понятие, по мнению ученого, включает в себя способ оптимизации бизнеса компании путем оптимального сочетания внутренних и внешних услуг (сервисов) информационной безопасности.

 Компания vs отдел

Как отмечает Сергей Петренко, в зависимости от выбора различных поставщиков услуг выделяют два полярных варианта выполнения процессов: инсорсинг и аутсорсинг. При инсорсинге предоставление услуг ИБ производится внутренними службами. В случае аутсорсинга этими вопросами занимаются внешние сторонние организации, так называемые провайдеры услуг ИБ.

 В настоящее время на рынке известны несколько основных моделей сорсинга информационной безопасности.

  • Внутренний поставщик. Это собственные подразделения компании (ИТ-служба или отдел ИБ), которые внедряют новые сервисы или решения информационной безопасности. Упомянутая модель является наиболее эластичной, так как позволяет динамично менять требования, правила и сроки оказания услуг ИБ. Вместе с тем, она является и самой ограниченной как по отношению к масштабу оказания услуг ИБ (размеры оперативной деятельности), так и по отношению к экспертизе и знаниям (опыт, инновации и доступные дополнительные ресурсы).
  • Мультисорсинг. Модель известна как выборочный или селективный аутсорсинг ИБ и подразумевает ведение ряда отдельных аутсорсинговых контактов по оказанию услуг информационной безопасности и тактический выбор одного лучшего аутсорсера по каждой услуге.
  • Инсорсинг предполагает выделение службы ИБ в отдельную бизнес-единицу, которая оказывает услуги на основе некоторых введенных бизнес-правил.
  • Совместное предприятие (СП). Модель позволяет снять ограничения, присущие моделям «внутренний поставщик» и «инсорсинг». Предприятие создает отдельную сервисную компанию и выводит ее на рынок оказания услуг ИБ. Как правило, в этом случае предприятие владеет контрольным пакетом акций СП (обычно от 50% до 80%) и осуществляет управление операционной деятельностью СП.
  • Полный аутсорсинг – классическая модель аутсорсинга ИБ, которая подразумевает заключение контракта с единственным поставщиком на все услуги информационной безопасности.
  • Консорциум. Эта схема появилась на рынке в качестве дальнейшего развития модели полного аутсорсинга для достаточно крупных государственных контрактов и проектов единичных интернациональных компаний. Используется в случае невозможности удовлетворить запросы заказчика путем привлечения единственного, даже очень крупного поставщика ИБ. Консорциум создается на основе требований заказчика, и один из поставщиков услуг информационной безопасности берет на себя роль главного.
  • Сервисный бренд – модель, сходная с инсорсингом. Компания создается для предоставления услуг большой организации или ГК. Предоставляемые услуги ИБ тщательно сравниваются с имеющимися на рынке, учитываются возможности сервисной компании, выборочно определяется аутсорсинговая часть услуг ИБ. При этом сервисная компания, как правило, ориентируется в дальнейшем и на оказание услуг на внешнем рынке.
  • Головной поставщик. По этой модели создается компания, обеспечивающая управление и интеграцию возможностей различных поставщиков услуг ИБ.

- Каждая из перечисленных мною моделей имеет право на жизнь и отражает разумный баланс взаимоотношений между потребителем и поставщиком услуг. При этом у всех моделей сорсинга ИБ можно выделить сильные и слабые стороны. В настоящее время большинство отечественных компаний относятся к инициативам в области сорсинга ИБ с определенным недоверием. Проекты передачи функций ИБ на сторону реализуются достаточно сложно. К основным причинам такого положения дел относятся:

  • неготовность отечественных компаний к полноценной передаче всех непрофильных функций;
  • неразвитость российского рынка аутсорсинга ИБ;
  • сложность разработки контрактов SLA (соглашение об уровне предоставления услуги) и расчета KPI;
  • наличие ряда стереотипов, главным образом психологическая неготовность допустить стороннюю компанию к решению проблем безопасности, а также непонимание сути задач и преимуществ аутсорсинговых проектов, - подчеркнул Сергей Петренко.

Какие еще факторы влияют на выбор поставщиков услуг в области защиты информации? И что эффективнее: аутсорсинговая компания или собственный отдел ИБ? С этими вопросами издание «ЭТ» обратилось к экспертам рынка.

Алексей Алексеев, АО «Лаборатория Касперского»:

- С мнением о том, что бизнесу куда эффективнее перекладывать заботу об ИБ на плечи аутсорсинговых компаний, чем содержать собственный отдел ИБ, в целом согласен. С чем не согласен, так это со словом «перекладывать». Скорее делегировать задачи или привлекать функциональные ресурсы для высвобождения своих. Во все времена бизнес искал ответ на вопрос: «Как добиться роста?» Чем не решение? Привлечение аутсорсинговых компаний, сосредоточенных на чем-то конкретном, профессионалов своего дела. Ведь куда дешевле решать вопросы с профессионалами, чем каждый раз возвращаться к решению той или иной задачи снова и снова, не зная, сколько еще потребуется ресурсов. В то же время аутсорсинговые компании знают, что делают и сколько это может стоить в  зависимости от приложенных усилий. Что эффективнее и безопаснее? Ответить не просто, т.к. не известно, о каких конкретных случаях может идти речь. Считаю, что если речь о развивающемся бизнесе, то эффективнее и безопаснее работать с профессионалами, чем учиться на своих ошибках. Другое дело, если речь о крупном бизнесе. Тогда целесообразнее иметь собственных профессионалов, придерживающихся миссии компании и знающих цели и стратегии ее развития.

Отечественные компании по-разному относятся к инициативам в области сорсинга ИБ. Если в крупном бизнесе есть свои отделы ИБ, то в среднем и малом бизнесе эти услуги, скорее, еще не популярны. Чем это объясняется? Большинство представителей СМБ довольствуются тем, что имеют, большего они не хотят. Они трудоустроены, имеют желаемый доход, их ожидания совпадают с реальностью. Многие из представителей СМБ не имеют конкретной цели. Она должна быть измеримой. Отдельным компаниям стоит задуматься о поиске своей миссии, основанной на пользе обществу и человеколюбии. Те, у кого больше желания быть полезными людям, выделяются в делах и растут. Как правило, они и прибегают к инициативам в области аутсорсинга ИБ. Больше желаний – больше жизни! Больше жизни – больше дел! Больше дел в информационном веке – больше автоматизации или информационных технологий! А информационная безопасность предопределяет варианты автоматизации, снижает вероятность несовершенных или недоделанных дел, уменьшает риски простоя и в конечном итоге обеспечивает повышение эффективности и производительности бизнеса с учетом стратегических целей.

«Нельзя априори считать, что аутсорсинг - это панацея»

Вячеслав Медведев, ведущий аналитик ООО «Доктор Веб»:

- Отказ от собственной системы безопасности, вывод части сервисов компании в облака и иные подобные решения - все это ведет к увеличению затрат на обеспечение безопасности, увеличению времени отклика на инциденты безопасности или падению уровня безопасности. Вполне возможно, что финансово переход на аутсорсинг выгоден, но вот с точки зрения безопасности все обстоит не так радужно. Приведу несколько примеров.

Во-первых, что такое отказ от собственного специалиста по ИБ? Это означает, что вместо сотрудника, который постоянно находится у вас в офисе и готов в любой момент приступить к действиям, вам оказывают услуги дистанционно, или к вам может выезжать инженер нужной квалификации. Теоретически это выгоднее, так как аутсорсинговая компания может содержать большее количество разных специалистов. Но это теоретически. На практике специалист будет добираться до вас длительное время, а в случае эпидемии вредоносных программ все специалисты окажутся в разгоне - ведь их куда меньше, чем обслуживаемых компаний. Еще одна причина отказа от собственного специалиста - допуск неизвестного вам лица к сервисам компании. Своего специалиста проверяет собственная служба ИБ. А кто и когда проверил приходящего специалиста и какая у него на самом деле квалификация?

Во-вторых, перенос части инфраструктуры на удаленную площадку порождает еще больше вопросов. Насколько можно доверять персоналу, имеющему доступ к вашим серверам? Кто будет отвечать за простой вашего сервиса? Как правило, провайдеры не отвечают за ваши убытки, возмещение возможно только как компенсация оплаты времени простоя - а это достаточно ничтожная сумма относительно убытков. Каково будет наказание сотрудника аутсорсера, допустившего возникновение проблем? Может он и дальше будет вас обслуживать?

В-третьих, если аутсорсинговая компания получает доступ к вашим данным и сервисам из сетей и компьютеров, то откуда вы знаете, что сама аутсорсинговая компания (или личные компьютеры ее сотрудников) не взломана? А между тем они имеют доступ к любым вашим данным.

Наконец, рост затрат на ИБ. Если ваши системы обслуживаются только вами, то они могут быть размещены в вашей локальной сети. Если вы передаете их на аутсорсинг или размещаете удаленно, то вам нужно приобрести и использовать средства для защиты канала связи, прокси-сервера для проверки поступающего трафика на случай его подмены, а также резервные сервера для обеспечения работы сотрудников на случай недоступности удаленных сервисов. Вы точно уверены, что это даст экономию бюджета на ИБ?

Вывод прост: нельзя априори считать, что аутсорсинг - это панацея. Решение о передаче систем на обслуживание должно приниматься с учетом различных рисков, а договор обслуживания должен включать описание всех возможных ситуаций

К сожалению, вопрос в том, что принятие решения о передаче систем на аутсорсинг зачастую принимается исключительно менеджерами и исходя из условий минимизации налогообложения. А это не совсем ИБ и стабильность работы компаний.

Подробный расчет

Мария Воронова, ведущий эксперт по информационной безопасности, руководитель направления консалтинга ГК InfoWatch:

- Однозначного ответа на вопрос о том, какой вид сорсинга ИБ эффективнее и безопаснее, дать невозможно - многое зависит от вида деятельности и масштаба организации, а также уровня развития информационной безопасности в ней и степени «паранойи» руководства. Некоторые начальники не склонны доверять внешним специалистам в вопросе обслуживания ИБ-сервисов и чувствительных данных организации.

В первую очередь, руководству организации следует задаться вопросом: какие цели и задачи должна решать ИБ-служба? Далее необходимо произвести расчет, что же будет выгоднее — содержать собственный штат или все же передать оказание ИБ-услуг на аутсорсинг.

Например, компании необходим круглосуточный мониторинг инцидентов и немедленное реагирование. Считаем: в штате должны быть один или два инженера на сутки (или 12 часов) посменно. Таких смен требуется четыре. Следовательно, необходимо восемь собственных ИБ-специалистов. Также считаются внутренние операционные расходы. Следующий шаг для организации — рассчитать стоимость передачи услуг мониторинга ИБ-инцидентов на аутсорсинг. После руководством взвешиваются все «за» и «против» и делается выбор.

Качество и эффективность оказания ИБ-услуг также напрямую зависят от особенностей бизнеса, здесь все очень индивидуально. И при наличии внутренней ИБ-службы, и при использовании аутсорсинговых услуг все эти параметры можно отрегулировать в SLA (соглашение об уровне сервиса), установив соответствующие KPI (ключевые показатели эффективности) процесса/услуги.

Добавлю также, что отрасль информационной безопасности сегодня стала настолько широкой, что классический ИБ-специалист компании вряд ли сможет обладать абсолютно всеми профессиональными компетенциями. А содержать большое подразделение с высококлассными специалистами в области сетевой безопасности, антифрод-анализа, защиты кода, аудита и так далее для многих организаций достаточно невыгодно. Дешевле отдать это направление на аутсорсинг, оставив за собой функцию управления и контроля.

Центры мониторинга и реагирования

Руслан Фахретдинов, ведущий аналитик информационной безопасности ООО «Фродекс»:

- Сравнение эффективности аутсорсинга и инсорсинга ИБ — задача, которая должна решаться исходя из конкретных условий конкретной организации. Когда люди говорят об аутсорсинге ИБ, в настоящее время они чаще всего подразумевают аутсорсинг SOC (центр мониторинга и оперативного реагирования на инциденты безопасности). Поэтому рассмотрим причины использования аутсорсингового SOC.

Да, в ряде случаев использование аутсорсингового SOC действительно представляется рациональным решением. Причины могут быть разные — отсутствие у заказчика необходимых кадров, сложность построения процессов собственного SOC, отсутствие необходимых технологий и систем защиты (выбор в пользу аренды через/у поставщика SOC), отсутствие знаний, либо невозможность их накопления, или совокупность причин. В любом случае, ряд поставщиков уже заявляет о реализованных успешных примерах использования аутсорсинговых SOC в той или иной мере (поскольку масштаб решаемых SOC задач может быть разным, от случая к случаю).

Однако перед тем, как задумываться об аутсорсинге ИБ, придется учесть множество нюансов. Необходимы:

  • обеспечение поставщиком услуг приемлемого уровня защищенности получаемой, хранящейся и обрабатываемой информации (наличие и соблюдение NDA);
  • метрики эффективности работы SOC;
  • внешний и непрерывный доступ со стороны SOC к информационным системам и системам защиты информации (также наличие резервного канала связи у поставщика);
  • ответственное лицо (ряд лиц) со стороны заказчика, регулирующее взаимодействие с SOC, а также регламенты и условия взаимодействия с поставщиком SOC (в рамках SLA); штрафные санкции для поставщика SOC за несоблюдение SLA;
  • в конце концов, вопросы реагирования на инциденты (как встречавшиеся ранее, так и новые) в случае передачи на аутсорсинг только задач по мониторингу либо при необходимости взаимодействия с госорганами в случае возникновения инцидента.

Кроме того, в настоящее время, на отечественном рынке пока отсутствует как таковое страхование от реализации угроз ИБ, что, безусловно, подтолкнуло бы организации-заказчики к более широкому использованию услуг аутсорсинга ИБ.

Сложно оценивать рынок ИБ по всем отраслям заказчиков. Многие отечественные компании до сих пор со скепсисом относятся к аутсорсингу ИБ. Но, очевидно, что с каждым годом ситуация меняется в лучшую сторону. На этот тренд реагируют и отечественные регуляторы. Например, ФСТЭК (Федеральная служба по техническому и экспортному контролю) меняет требования для получения лицензии на осуществление деятельности по технической защите конфиденциальной информации. Так, федеральная служба устанавливает достаточно жесткие условия, которые должны быть выполнены поставщиком услуг для получения лицензии на осуществление деятельности по мониторингу информационной безопасности средств и систем информатизации (т. е. как раз аутсорсинг SOC). Это уже существенные коррективы для рынка, которые могут повысить доверие к поставщикам услуг ИБ со стороны заказчиков.

Правда, следует отметить, что использовать аутсорсинг SOC, как и строить собственный SOC, нужно, предварительно оценив необходимость реализации проекта, масштаб действий и примерную стоимость. Это же относится и к аутсорсингу ИБ в целом.

«Расходы на аутсорсинг будут несколько ниже»

Сергей Антонян, руководитель направления исследований финансовых технологий Аналитического центра НАФИ:

- Универсального рецепта для бизнеса в целом не существует. Каждый раз нужно оценивать целесообразность аутсорсинга функций информационной безопасности и принимать решение индивидуально. Главные критерии, которые нужно при этом рассматривать: масштаб деятельности компании, уровень рисков, которым она подвержена, работает ли компания с персональными данными, является ли публичной.

Рассчитать минимальные затраты на содержание собственного отдела информационной безопасности несложно: минимально требуется два-три специалиста по информационной безопасности и руководитель отдела. Средняя стоимость таких специалистов на рынке труда известна. Также известен минимальный набор технических решений для обеспечения корпоративной информационной безопасности.

Минимальные затраты на собственный отдел безопасности составят несколько миллионов рублей в год. Расходы на аутсорсинг буду несколько ниже.

Возможно и комбинированное решение, когда часть функций корпоративной информационной безопасности сосредоточена внутри, а часть отдана на аутсорсинг. Решать, что лучше подходит вашей компании, нужно индивидуально.

Безусловно, аутсорсинг в области информационной безопасности сегодня востребован среди отечественных компаний. Услуги могут предоставляться как отдельно, так и интегрироваться в инфраструктуру безопасности компании.

Сегодня множество факторов повышают значимость информационной безопасности в компании: цифровизация бизнеса, появление новых технологий, увеличивающаяся активность киберпреступников, постоянное изменение и усложнение способов атак, новые требования государства по защите информации.

Основные причины, по которым компании обращаются к аутсорсингу функций информационной безопасности: ограниченность ресурсов ИТ и ИБ, недостаток компетенций, а также необходимость быстрого развертывания корпоративной системы ИБ. Привлечение внешних провайдеров услуг помогает компании воспользоваться лучшими практиками в области ИБ.

Наиболее перспективная модель предоставления услуг ИБ – это SeCaaS:Security As A Service (информационная безопасность в облаке). Задачи корпоративной информационной безопасности растут быстрее, поэтому в будущем облачные сервисы информационной безопасности будут все более востребованы.

«Аутсорсинг с каждым годом будет только развиваться»

Андрей Прозоров, руководитель экспертного направления Solar Security:

Многие компании сейчас начали использовать услуги аутсорсинга ИБ, для этого есть много причин:

  • отсутствие необходимых квалифицированных и мотивированных кадров внутри организации;
  • необходимость высвобождения ключевых специалистов для других проектов и задач;
  • необходимость снижения зависимости от собственных работников организации;
  • четкое разграничение ответственности;
  • повышение прозрачности и предсказуемости расходов на ИБ;
  • оптимизация расходов на ИБ;
  • удобное масштабирование (расширение и уменьшение объема услуг);
  • финансовая ответственность провайдера (обычно неустойка, но может быть и возмещение ущерба);
  • повышение общего уровня ИБ за счет использования современных технологий и методологий;
  • возможность обеспечения отдельных процессов ИБ в режиме 24х7;
  • возможность быстрого усиления ИБ;
  • возможность быстрого внедрения отдельных процессов ИБ (в том числе и для compliance);
  • возможность быстрого повышения уровня зрелости отдельных процессов ИБ.

Все больше российских компаний начинают использовать услуги аутсорсинга ИБ, и, что интересно, регуляторы тоже активно начинают об этом говорить и «регулировать». Так, например, в ЦБ РФ в рамках ТК 122 сейчас разрабатывается ГОСТ «Управление риском нарушения ИБ при аутсорсинге», который даст рекомендации финансовым организациям о безопасном использовании услуг аутсорсинга. Так или иначе, аутсорсинг уже пришел в Россию и с каждым годом будет только развиваться.

Александр Левашов, главный редактор TAdviser.ru:

- На мой взгляд, ряд функций информационной безопасности можно и нужно передавать на аутсорсинг сторонним организациям. Прежде всего, это аудит информбезопасности, разработка нормативных документов по ИБ, обучение сотрудников, организация виртуальных частных сетей, построение защищённых каналов связи, систем защиты от спама.

Гораздо реже на аутсорсинг передается, например, управление системой для предотвращения утечек данных. В то же время, популярность набирают аутсорсинговые услуги круглосуточного мониторинга и реагирования на инциденты кибербезопасности.

Специалисты ожидают, что в ближайшие три-пять лет инициативы в области сорсинга ИБ займут свое достойное место в процессе совершенствования и повышения «зрелости» корпоративного управления отечественных компаний. Российские службы ИБ выбирают инициативы сорсинга информационной безопасности как одно из основных направлений своего развития и совершенствования.

Автор: Борис Кудряшов

Подписывайтесь на наш Telegrambot @expertrtbot, чтобы быть в курсе самых важных новостей. Для этого достаточно иметь Telegram на любом устройстве, пройти по ссылке и нажать Start.
Подписаться Распечатать
Нашли ошибку? Выделите ее и нажмите Ctrl + Enter
Читать также
09:54 - "Univation Technologies" оценит все возможности создания производства катализаторов на ОЭЗ "Алабуга" 09:33 - Россия планирует организовать производство вертолетов в Мексике 09:00 - Президент РТ посетил в Хьюстоне Университет Райса 08:00 - Mitsubishi отзывает более 160 тысяч автомобилей в Северной Америке 23 Октября - Президент РТ в Хьюстоне встретился с генеральным директором компании «Эмерсон» в России 23 Октября - ПАО «Казаньоргсинтез» и Univation Technologies подписали соглашение о долгосрочном сотрудничестве 23 Октября - Минниханов: мы заинтересованы в привлечении американского бизнеса и капитала 23 Октября - МТС закупит оборудование Ericsson для сетей 5G и IoT на €400 млн 23 Октября - Новак: в Россию из Турции до 1 ноября будут поставлены до 50 тыс. тонн томатов 23 Октября - Послом России во Франции назначен Алексей Мешков 23 Октября - АО «Изоляционный трубный завод» стал 15-м резидентом ТОСЭР «Набережные Челны» 23 Октября - В 2017 году в Казани выполнен капитальный ремонт на сумму 1,5 млрд. рублей 23 Октября - В Соединенные Штаты Америки с рабочим визитом прибыл Рустам Минниханов 22 Октября - Капитализация биткойна превысила $100 млрд 22 Октября - СМИ: Каталония провозгласит независимость 23 октября 22 Октября - Бывший футболист Каха Каладзе победил на выборах мэра Тбилиси 22 Октября - Путин поздравил Назарбаева с 25-летием дипломатических отношений между Россией и Казахстаном 22 Октября - Страны ОПЕК+ в сентябре исполнили обязательства на 120% 22 Октября - В Германии продают «Копейку» 1976 года выпуска 21 Октября - Россия и Турция рассматривают возможность использования нацвалют при взаиморасчетах
Все события

Мероприятия

Все мероприятия

Корпоративные Блоги

Все блоги

Опрос

Как Вы считаете, станет ли Казань местом проведения юношеских Олимпийских игр в 2023 году?

Экономика и финансы

  1. Morgan Stanley повысил прогноз роста ВВП России в 2017–2018 годах
    Инвестиционный банк Morgan Stanley повысил оценку роста ВВП России в 2017 году до 2% с 1,5% и до 2,2% с 1,8% в 2018 году. Среди причин роста — увеличение потребления, которому поспособствовало замедле
  2. «Райффайзенбанк» приостановил работу отделений из-за сообщения о взрывном устройстве
    «Райффайзенбанк» сообщил о временной приостановке работы отделений и call-центра из-за сообщения о взрывном устройстве.
  3. В России запретят снимать наличные по анонимным банковским картам
    Премьер-министр Дмитрий Медведев заявил, что снятие наличных по неименным банковским картам будет запрещено. На этой неделе в правительстве одобрили законопроект о запрете снимать наличные с анонимных
Подписаться

Топ

  1. Капитализация биткойна превысила $100 млрд
    21 октября капитализация биткойна превысила $100 млрд. На пике в 17.30 мск она приближалась к $102,...
  2. В Нижнем Новгороде задержаны «черные банкиры», чей доход оценивается в 20 млн рублей
    В Нижнем Новгороде была задержана группа «черных банкиров». Они занимались незаконным обналичиванием...
  3. Где в Казани райский труд?
    При жесткой конкуренции на рынке труда работодатели все чаще задаются вопросом: как создать условия ...
  4. 32,1 млн рублей выделил исполком Казани на новогодние подарки детям
    Согласно сайту госзакупок, 32,1 млн рублей выделил исполком Казани на новогодние подарки детям....
  5. Рустам Минниханов открыл в Казани новое здание городской поликлиники №21
    Сегодня в Казани на улице Рихарда Зорге, 103 состоялось торжественное открытие нового здания городск...

Интервью

«Цензуры в прямом смысле этого слова у нас нет»

«Цензуры в прямом смысле этого слова у нас нет»

С 30 мая по 3 июня в ТГАТ имени Камала играла труппа одного из старейших и лучших российских театров – Александринского. Вниманию казанской публики театр представил спектакли-лауреаты премии «Золотая маска» «Ревизор» и «Женитьба».

10.3393 Mb