Любой аутсорсинг вызывает опасения с точки зрения безопасности, а аутсорсинг средств защиты – тем более. Именно поэтому это направление развивается медленнее других, хотя у него имеются свои специфические преимущества. Дефицит кадров в сфере ИБ еще больше, чем в целом по ИТ-рынку. К тому же обеспечивать защиту приходится 24 часа в сутки, поэтому на некоторые позиции нужно нанимать сразу по два специалиста, которые мониторили бы угрозы посменно. В этих условиях проще оказывается обратиться к фирме, специализирующейся на оказания услуг информационной безопасности.
В силу ряда факторов во многих компаниях падает уровень профессиональной подготовки сотрудников отдела ИБ, объясняет Михаил Башлыков, руководитель направления информационной безопасности компании «Крок». «Это серьезная проблема, так как число поддерживаемых ИТ-систем год от года только увеличивается. Компетенция персонала часто не соответствуют современным вызовам рынка. Кроме того, людей физически не хватает, и в итоге бесполезно тратить деньги на покупку сложной системы, если специалисты попросту не могут работать с ней. В этом ситуации аутсорсинг — выход, так как вопросы найма, обучения и управления персоналом автоматически снимаются с заказчика и перекладываются на аутсорсера».
Самый SOC защиты
Классическая модель аутсорсинга ИБ предполагает использование услуг внешнего операционного центра (Security Operations Center, SOC) для мониторинга и управления защитой периметра компании. В центре данные, приходящие с разных устройств, приводятся к единому формату, происходит их категоризации и фильтрация. В результате выявляются инциденты, которые действительно могут нанести вред компании. Далее специалисты центра либо передают информацию во внутренний ИТ-департамент заказчика, либо сами вносят изменения в политики и настройки безопасности, если это предусматривает контракт.
Второе направление называется Security-as-a-Service, такие сервисы возникли в последние несколько лет и обязаны своим появлением развитию облачных технологий. В этом случае программное обеспечение не устанавливается на локальные машины по лицензиям, а берется в аренду из удаленного ЦОДа. На данный момент такая концепция еще не получила широкого развития, в то время как SOC широко используются во всем мире.
Регуляторы стимулируют аутсорсинг
Рынок услуг аутсорсинга ИБ растет быстрыми темпами. В 2012 г. мировая выручка провайдеров услуг по управлению безопасностью (managed security services, MSS) составила $2,62 млрд. К 2018 г. она увеличится вдвое и достигнет $5,5 млрд, утверждают аналитики Frost & Sullivan.
Для России характерны те же тенденции, что и для развитых стран, но с отставанием на несколько лет. «Сейчас рынок аутсорсинга ИБ находится в зачаточном состоянии, поэтому его оценки имеют очень большую погрешность. По нашим подсчетам, рынок аутсорсинга ИБ без сервиса и техподдержки составляет $10−15 млн», – рассказывает Игорь Ляпунов, директор центра информационной безопасности компании «Инфосистемы Джет».
Доля аутсорсинга в общем рынке ИБ в России пока незначительна, но игроки отрасли полны оптимизма: «В настоящий момент рынок аутсорсинга можно оценить на 2-3 % от общего объема российского рынка информационной безопасности, но можно с уверенностью утверждать, что этот сегмент в ближайшем будущем будет увеличиваться, причем темпами, опережающими общий рост рынка информационной безопасности», – делится своим мнением директор по развитию компании Leta Александр Бондаренко. Из крупнейших игроков рынка ИТ, так или иначе заявляющих об услугах аутсорсинга, можно отметить «Крок», «Информзащиту», Leta, «Инфосистемы Джет».
Развитие российского рынка стимулируют регуляторы: «Существуют обязательные к исполнению требования законодательства, например, в области защиты персональных данных, которые затрагивают большинство компаний», – отмечает Татьяна Скрипкарь, руководитель отдела аудита и консалтинга Group-IB. Естественно, далеко не для каждого предприятия экономически целесообразно заниматься самостоятельным приведением инфраструктуры к соответствию законодательству. В некоторых случаях услуги сторонних специалистов просто неизбежны: «Следует помнить, что вследствие требований регуляторов сопровождение средств криптографической защиты должно осуществляться компаниями, обладающими специальными лицензиями, что делает подобного рода услуги практически обязательными», – объясняет Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies.
Нужен ли внутренний отдел ИБ?
Российские компании выводят на аутсорсинг в первую очередь два типа задач. «К первому типу относятся задачи, для решения которых требуются редкие дорогие технические компетенции. Например, приведение процессов ИБ к соответствию требованиям регуляторов в области ИБ. Ко второй категории – большие по объему однотипные ежедневные задачи, например, поддержка и сопровождение систем ИБ», – рассказывает Елизавета Спасенных, менеджер по развитию бизнеса компании «Информзащита».
Если на аутсорсинг передается только часть сервисов ИБ, то обычно это наименее критичные с точки зрения рисков сервисы, например защита сайта от DDoS, утверждает заместитель начальника отдела информационной безопасности «Банка ИТБ» Станислав Шпак: «Другой распространенный пример – обращение в компанию-интегратор для выполнения работ по развертыванию систем защиты (таких как системы обнаружения внешних и внутренних угроз), с последующей поддержкой их работы уже силами собственной службы ИБ».
На самом деле список сервисов, которые бизнес доверяет внешним специалистам по ИБ, очень широк. Среди них можно отметить периметровую защиту, сервисы удаленного доступа и подключения контрагентов, средства настройки политик безопасности рабочих мест в филиальной сети, управление инцидентами ИБ, межсетевое экранирование.
Наконец, в некоторых случаях компании полностью отказываются от внутренних департаментов. «Одна крупная торговая компания передала нам аутсорсинг функции всего отдела ИБ. Но пока такие случаи — исключение, а не практика», – рассказывает Михаил Башлыков. У «Инфосистемы Джет» есть два заказчика, которые обслуживаются в режиме полного аутсорсинга ИБ. «Но это все же не типичное поведение для отечественных компаний», – согласен представляющий эту компанию Игорь Ляпунов.
Единственное, что всегда остается внутри компании это разработка стратегии в области ИТ. Опрошенные CNews эксперты единодушны во мнении, что внутри компании должен оставаться человек, который будет отвечать за создание концепции ИБ и контролировать работу сервис-провайдера. «На наш взгляд, в скором времени вопросами информационной безопасности в компании начнут заниматься не инженеры, а так называемые риск-менеджеры, которые будут определять необходимые контрмеры для защиты компании, а их реализацией на практике будут заниматься сторонние компании», – говорит Михаил Башлыков. По его словам, при взаимодействии сотрудников отделов информационной безопасности с бизнес-пользователям, существует много специфичных тем, потому при передаче ИБ на аутсорсинг важно, чтобы в компании по-прежнему решались функции постановки задач и контроля их исполнения. «Обязательно в штате должен остаться хотя бы один сотрудник, который сформулирует основные требования для аутсорсера и оценит результаты», – резюмирует эксперт.
Основные риски
Переход на аутсорсинг вызывает множество вопросов на стороне заказчика. Перечислим некоторые из вопросов, которые часто вызывают беспокойство:
Во-первых, это нарушение конфиденциальности информации и неправомерный доступ к системам. Решением в таком случае станет детально продуманный SLA, шифрование данных, соглашение о неразглашении конфиденциальной информации, комментирует Алена Чапоргина, руководитель группы по внедрению систем безопасности и непрерывности бизнеса компании Leta.
Во-вторых, неквалифицированный персонал организации-аутсорсера может нанести ущерб организации. Чтобы избежать этого, нужно изучить портфолио специалистов, которые будут привлекаться на работы, ознакомиться с набором лицензий регулирующих органов и сертификатов по ИБ, собрать отзывы предыдущих клиентов поставщика.
В-третьих, недобросовестный провайдер может не выполнить обязательства по SLA. С целью не попасть в такую ситуацию, Алена Чапоргина рекомендует проводить периодический аудит поставщика услуг, осуществлять мониторинг и анализ его деятельности.
В-четвертых, внешнему подрядчику может не хватить знаний о внутренней практике заказчика: «С одной стороны, не каждая организация в состоянии построить эшелонированную систему информационной безопасности; с другой – насколько безопасна система, которую для вас построили другие? Не секрет, что средства информационной безопасности тем эффективнее, чем лучше при их разработке и внедрении учитывались технологические процессы деятельности организации. Далеко не всегда заказчик может обрисовать для компании аутсорсера полную картину, и велика вероятность упустить какие-то мелкие, но значащие детали, что снизит общую эффективность защиты – ведь слабость всей системы определяется наименее слабым ее звеном», – комментирует Станислав Шпак.
Какова экономия от внедрения аутсорсинга?
Из-за дефицита специалистов аутсорсинг ИБ становится бизнес-стратегией, направленной на сокращение кадровых затрат за счет вывода непрофильной деятельности за рамки компании. Также в качестве предпосылок к переходу могут выступать высокая скорость запуска услуг. «Подключение аутсорсинговой услуги может занять неделю, тогда как построение собственной системы – не менее месяца», – приводит пример Игорь Ляпунов.
Заключение договора с провайдером позволяет заранее установить суммы штрафов. Оценка ущерба осуществляется преимущественно по показателям доступности системы/сервиса ИБ. «Для каждого обслуживаемого объекта устанавливаются нормы времени на его обслуживание и значительные штрафы за их превышение, которые максимально невыгодны для подрядчика», – рассказывает Елизавета Спасенных. «Со своих сотрудников, как ни странно, много спросить не удастся – если что увольнение – максимальная ответственность. А при аутсорсинге можно прописать обязательства исполнителя вплоть до финансовых», – добавляет Илья Трифаленков, директор центра информационной безопасности R-Style.
Наконец, к переходу на аутсорсинг способствует более низкая стоимость услуги. «Если речь идет о чистом сервисе без, например, платежей за аренду лицензий, то он на 20−25% дешевле реализации такой услуги внутри компании. Если же есть арендная составляющая, то большинство финансовых схем сходятся в ноль на периоде 3,5−5 лет. То есть суммарная стоимость, заплаченная аутсорсеру, начинает превышать полную стоимость владения собственной инфраструктурой и персоналом через 3,5–5 лет», – делится опытом Игорь Ляпунов. «Выгода от вывода ИБ на аутсорсинг составляет порядка 20-30% от бюджета, однако может достигать и больших показателей в зависимости от организации», – дает похожую оценку Елизавета Спасенных.
Поделиться
