Аутсорсинг ИБ. Плюсы, минусы, подводные камни

Аутсорсинг ИБ. Плюсы, минусы, подводные камни

Рассматриваем основные преимущества от передачи функции обеспечения информационной безопасности профессионалам «со стороны». Рассказываем, что предусмотреть при заключении договора аутсорсинга для его максимальной эффективности

Иллюзия защищенности личных и корпоративных данных «по умолчанию», еще недавно царившая в умах большинства, понемногу начинает развеиваться. Все чаще в СМИ появляются новости об очередном взломе, «утечке», успешных компьютерных атаках:

Руководители больших и маленьких компаний все чаще начинают задаваться вопросом: «А у нас все защищено?». И случается, что в ответ специалисты IT-службы пожимают плечами и стыдливо отводят глаза в сторону. Или нарочито громко заявляют: «По-другому и быть не может!», хотя в головах витает мысль: «Без понятия…».

Задача обеспечения информационной безопасности компании — не тривиальная. Есть несколько подходов к ее решению:

  1. Метод "Неуловимого Джо".

«По сравнению с Microsoft и Google мы мелкие, а значит, нас никто не будет атаковать. Следовательно, и вкладываться в инфобез не нужно. Тем более он денег не приносит». Приблизительно такая логическая цепочка выстраивается в голове у многих владельцев бизнеса. Этот подход к ИБ львиной доли организаций понятен, и оспорить его сложно. Но можно. Проблема в том, что он не отвечает современным угрозам безопасности.

В сегодняшнем мире компания будет взломана не потому, что кому-то интересна, а просто по факту наличия критической уязвимости на внешнем периметре или простого пароля удалённого пользователя. Вопрос с монетизацией такого взлома тоже решен: информация на компьютерах, в базах данных 1С и сетевых каталогах дорога в первую очередь владельцу, поэтому хакер просто её зашифрует, оставив сообщение с требованием выкупа.

2. Добавление задач IT-службе

«Вроде бы и там и там компьютеры – значит, справятся». Да, и IT, и ИБ — это все про компьютеры, но подход к ним у каждой службы разный.

Задача администратора – сделать так, чтобы система работала. И, например, обработка электронной почты с административными правами и пароль «qwerty» никак этой задаче не противоречат. Безопасник же знает, как работает хакер, и для него подобные действия – верный путь к катастрофе. Потому, что перед ним стоит совсем иная задача – не допустить проникновения злоумышленников в работающую стараниями админа систему.

Вот почему айтишники и безопасники никогда не заменят друг друга. И только синергия двух этих подходов позволяет бизнесу быть уверенным в надежности IT-систем.

3. Создание собственной ИБ-службы и поручение ей задачи обеспечения ИБ.

Классика жанра в разных ее вариациях, действительно работающий вариант. Проблема лишь в том, что далеко не у каждой организации найдется достаточно ресурсов и, самое главное, грамотных специалистов для полного закрытия всех проблем по части обеспечения информационной безопасности.

Но обсудить в этой статье мы хотим четвертый подход, который может отлично работать как самостоятельно, так и в связке с предыдущими двумя. Называется он аутсорсинг, часто незаслуженно обделен вниманием и оброс множеством необоснованных мифов, которые мы и попытаемся развенчать.

Аутсорсинг — это передача организацией определенных функций (в данном случае — функции обеспечения информационной безопасности) на исполнение другой компании. Может передаваться вообще все («Сделайте нам красиво!»), а могут конкретные процессы или задачи: настройка средств защиты информации, мониторинг событий информационной безопасности, поддержание в актуальном состоянии документации и прочие.

Если немного абстрагироваться от названия и посмотреть шире, то можно увидеть, что любая услуга, которую покупает компания, будь то техническое обслуживание автомобилей, заправка картриджей или уборка клининговой компанией — все на самом деле является аутсорсингом. То есть выполнением работ для организации квалифицированным персоналом из профильной компании-подрядчика.

В аутсорсинге информационной безопасности есть множество плюсов:

  1. Проще. Остается в прошлом проблема с набором персонала и оценкой его квалификации. Теперь это проблема подрядчика. В условиях острого дефицита квалифицированных рабочих кадров в сфере ИБ этот плюс был и остается одним из самых значительных.
  2. Дешевле. Выигрыш в цене происходит за счет распределения ресурсов аутсорсера между несколькими заказчиками, отсутствия капитальных затрат (покупка оборудования, ПО и пр.), гибкой настройки пакета услуг.
  3. Быстрее. Все процессы у подрядчика уже отработаны – остается только внедрить.
  4. Профессиональнее. Аутсорсинг дает возможность доступа к широкому спектру компетенций. У ИБ-аутсорсера их явно больше, чем у одного штатного сотрудника. Также не стоит забывать о глубине экспертизы и широте опыта, которые нарабатываются годами в профильных компаниях.
  5. Эффективнее. Доступ к экспертам аутсорсера осуществляется «по необходимости». Например, нет нужды постоянно держать инженера в штате для расследования компьютерных инцидентов, можно обращаться за услугой только по факту инцидента.

Конечно, не обходится и без минусов. Пожалуй, будет правильнее назвать их «подводными камнями», которые можно успешно обойти при должной подготовке:

  1. Зависимость от поставщика услуг. В случае разрыва договора компания может остаться без защиты. Нивелируется заблаговременной проработкой процесса смены компании-аутсорсера.
  2. Необходимость настройки пакета услуг. Как правило, предлагаются типовые услуги, которые настраиваются под конкретного заказчика. Да, согласование всех нюансов потребует времени. Но с каждым днем предложений на рынке услуг ИБ становится все больше, и они смогут закрыть потребности любого клиента.
  3. Невозможность контролировать все процессы. На долю заказчика приходится только верхнеуровневый контроль в рамках договора. Но если вы платите за результат – то и особо не важно, что делается внутри у подрядчика. И даже наоборот – при правильной настройке взаимодействия с аутсорсером возможность делегировать часть рутинных контрольных функций можно считать скорее плюсом, чем минусом.

Что же останавливает компании от передачи ИБ на аутсорсинг? Возражения и страхи, вызванные, как правило, отсутствием опыта работы с адекватным и профессиональным подрядчиком и неактуальные на практике:

  • «Это дорого!». Выше уже упоминалось, за счет чего аутсорсинг выигрывает у штатной команды в стоимости. Добавим немного конкретики: вы не организуете рабочих мест для персонала, не платите им премий, не посылаете их на учебу, не платите за них налоги. Да, все эти издержки заложены в стоимость услуг аутсорсера, но они распределяются между множеством заказчиков. В итоге получается дешевле. По мнению компании Инфосистемы Джет, аутсорсинг дешевле штата в среднем на 20-30 %, а в некоторых случаях и на 50 %.
  • «Невозможно полноценно оценивать все процессы, точно ли аутсорсеры справятся как надо». Вопрос доверия — краеугольный в сфере ИБ. Но точно также невозможно оценить врача, который вас лечит, или педагога, который вас учит. Для того, чтобы быть уверенным в подрядчике, следует основательно подойти к вопросу его выбора. Найти надежную компанию, которой доверяете как себе, бывает нелегко, но эта игра стоит свеч.
  • «Аутсорсер имеет доступ к нашей конфиденциальной информации». Эта «опасность» нивелируется подписанием NDA (соглашение о нераспространении конфиденциальной информации), условиями договора (к чему должны иметь доступ, а к чему нет) и тонкой настройкой правил доступа специалистов подрядчика. При грамотном подходе существенных отличий между персоналом аутсорсера и вашими наемными сотрудниками не будет. Более того, у всех на слуху истории, когда увольняющийся работник в обиде удаляет (уносит конкуренту) результаты своей работы, чем наносит определенный ущерб.
  • «Исполнитель не подчиняется напрямую, из-за этого теряется оперативность». Для выполнения задач под управлением штатных сотрудников есть свой вид аутсорсинга — аутстаффинг. Вы покупаете время специалиста, и он подчиняется вам напрямую – никаких потерь драгоценного времени.
  • «Сначала нормально обслуживают, а потом ни одного выхода на работу, а деньги платить надо». Для контроля аутсорсера существует SLA (соглашение об уровне сервиса), в котором четко прописаны все его обязанности и сроки их исполнения. Нарушение подрядчиком зафиксированных в SLA договоренностей означает нарушение договора аутсорсинга, а значит, снимает с заказчика обязательства по оплате.
  • «Аутсорсеры делают небезопасные удалёнки». Тут сама формулировка намекает: если подрядчик ИБ устанавливает небезопасные удаленные подключения, он этим расписывается в своей профнепригодности. Следует отказаться от его услуг и искать проверенную компанию.
  • «Постоянно отвлекают наших штатных IT-шников». Это убеждение опровергнуть сложнее всего, ибо процесс обеспечения ИБ действительно тесно связан с ИТ. И как бы противоречиво это не звучало – информационную безопасность обеспечивают в первую очередь сотрудники службы ИТ. Специалисты ИБ занимаются контролем и выработкой мер, которые внедряют ИТ. Можно сказать, что безопасники – голова, а администраторы – руки единого организма, обеспечивающего информационную безопасность систем компании. Так что, увы – без «отвлекания айтишников» ничего не получится. Но точно также будет работать и ваш собственный специалист ИБ. Получается, это возражение касается не столько аутсорсинга, сколько работы службы ИБ в принципе.
  • «В случае если подрядчик уходит, сложно разобраться самостоятельно в том, за что отвечали аутсорсеры». Если подрядчик внедряет и эксплуатирует для вас систему информационной безопасности, в договоре аутсорсинга можно и нужно прописать для него обязательство по документированию внедряемой системы и созданию комплекта рабочих регламентов для сотрудников. Стоит отметить, что ответственный подрядчик даже после окончания контракта проконсультирует своего клиента и не оставит его у «разбитого корыта».

Подводя итоги, можно сказать, что аутсорсинг информационной безопасности – дело ответственное и требующее внимания заказчика на начальном этапе. Однако, при правильном подходе, имеющее массу преимуществ и по многим параметрам более эффективное, чем содержание собственной службы ИБ. Особенно для небольших компаний. Надеемся, что мы смогли донести всю выгоду аутсорсинга в реализации системы информационной безопасности и развенчать самые распространенные страхи, связанные с ним. Главное в этом деле – найти «своего» аутсорсера: ответственного эксперта, с кем вам и вашей компании будет удобно и спокойно.

Аделина Любимова, Origin Security

11
1 комментарий

Решить некоторые вопросы с контролем сотрудников на удаленке позволяет корпоративный мессенджер с системой отчетов, если она сделана как полагается, конечно. Используете подобную?