Подписаться
Читать в телеграм
Прежде чем переходить к системному изложению нашего подхода к решению этой задачи в крупных компаниях, хотелось бы поделиться нашим взглядом на причины возникновения темы как таковой, а также ответить на вопрос: «Является ли спрос на услуги аутсорсинга ИБ естественной потребностью, вызванной ростом уровня зрелости процессов обеспечения ИБ в российских компаниях, либо это искусственно создаваемый интерес к модной нынче теме?». Для этого приведем наиболее часто встречаемые поводы для начала разговора об ИБ-аутсорсинге со стороны потенциальных и реальных заказчиков данной услуги.
В нашей практике нередки случаи, когда крупные компании, особенно финансового и страхового сектора, хотят ограничить «зоны влияния» собственного ИБ-персонала. Задачей обеспечения безопасности информации они занимаются уже довольно давно, поэтому зачастую сложность систем защиты, так же как и количество уникальных компетенций обслуживающего их персонала, достигает высокого уровня. В какой-то момент руководство понимает, что ключевые знания о том, как должны функционировать механизмы обеспечения ИБ, как правильно настраивать средства защиты и управлять ими, содержатся исключительно в головах ответственных за ИБ специалистов. Они не закреплены в полной мере в документальном виде. Поэтому увольнение подобных сотрудников либо переход всей команды в другую компанию приведет к фактической остановке процессов обеспечения информационной безопасности. Топ-менеджмент окажется в затруднительном положении, оставшись с глазу на глаз со всеми ИТ-угрозами и рисками без должной поддержки. Зачастую ситуация усугубляется фактом перехода сотрудников к прямому конкуренту, который вместе с квалифицированным персоналом получает информацию об архитектуре и уязвимостях систем защиты соседа по рынку.
Другой пример – компании, активно и успешно отдающие на аутсорсинг обслуживание ИТ-систем как непрофильное для себя направление деятельности (например, ритейлеры). Зачастую в связи с кажущейся на первый взгляд независимостью функционирования основных бизнес-процессов компании от работы ИТ руководство не уделяет достаточного внимания вопросам обеспечения безопасности данных, обрабатываемых информационными системами. Однако рыночная конкуренция требует все более быстрого принятия решений, поэтому степень проникновения ИТ в таких компаниях неизбежно растет. При этом профессиональный ИТ-аутсорсер, обслуживающий системы организации, может гарантировать уровень сервиса в части работоспособности, доступности и восстановления ИТ-ландшафта, но никак не защищенность обрабатываемых данных.
Такие компании приходят к осознанию необходимости решения вопросов ИБ по-разному, но обычно вследствие возникновения каких-либо серьезных неприятностей, например утечки незащищенных конфиденциальных данных, или проверки регулятором режима обработки персональных данных на соответствие законодательству. Сразу после этого заказчик обращается к своему ИТ-аутсорсеру с требованием взять на себя в том числе решение задач обеспечения ИБ. Однако тот в подавляющем большинстве случаев разводит руками и ссылается на отсутствие необходимых для такого рода услуг компетенций и инфраструктуры. Тогда заказчику приходится искать подобные предложения на рынке…
По опыту мы знаем, что аутсорсинг ИБ также интересен компаниям, на первый взгляд совсем не похожим на потенциального заказчика такого рода услуг. В них служба ИБ имеет значительный штат специалистов, регулярно выделяются бюджеты на покупку и развитие систем информационной безопасности, процессы управления ИБ правильно выстроены, задокументированы и постоянно модернизируются согласно стратегии планомерного развития на 3–5 лет. Однако XXI век не оставляет шанса на успех в случае отсутствия постоянных преобразований, зачастую носящих не эволюционный, а революционный характер. Новые направления деятельности, слияния и поглощения, рыночная ситуация – все это приводит к необходимости изменения существующих и создания новых бизнес-процессов, что в свою очередь провоцирует значительный рост ИБ-рисков.
Поэтому в самый неожиданный момент перед службой ИБ возникает задача защиты абсолютно нового для нее сегмента ИТ-ландшафта. Например, построения системы защиты от мошенничества в связи с появлением нового направления деятельности или крупными финансовыми потерями в результате мошеннических действий. При этом сроки, отведенные руководством для запуска сервиса, не позволяют системно подойти к приобретению и накоплению знаний по тематике, планомерно выстроить процессы и аккуратно подобрать соответствующую задаче систему. Выходом в такой ситуации становится использование необходимого сервиса из облака оператора профессиональных аутсорсинговых услуг ИБ с фиксированной ежемесячной платой и отсутствием капитальных вложений. В итоге сервис может выступить в роли и временного спасательного круга, позволив провести полноценный старт этого направления в компании, и постоянного решения.
Необходимость использования сервисов ИБ по аутсорсинговой модели может возникнуть и без каких-либо значительных изменений в структуре деятельности компании. Примером может служить возникающая по мере эволюционного развития ИБ потребность во внедрении центра оперативного управления и реагирования на инциденты ИБ (Security Operation Center). И тогда ключевыми проблемами могут стать как стоимость капитальных вложений на лицензии SIEM-решений и затраты на их внедрение, так и необходимость быстрого расширения штата службы ИБ (при мониторинге 24*7*365 плюс 7–8 специалистов). Обосновать и согласовать такое кадровое изменение крайне трудно, а эффективно эксплуатировать систему существующими ресурсами, при этом беря на себя обязательства по высокой скорости выявления и расследования инцидентов, невозможно из-за существующей загрузки специалистов.
Приведенные нами примеры возникающих у заказчиков задач показывают, что аутсорсинг ИБ – это реальная потребность рынка. При этом предложений – ответов на спрос – на данный момент явно не достаточно. Мы хотим поделиться опытом и наработками в организации подобного рода сервисов для своих клиентов, о чем и рассказываем в следующих статьях.
