Блокчейн Искусственный интеллект Open Source Интернет вещей Big Data/Аналитика Цифровая трансформация Инновации	Сети/Серверы/СХД/ЦОД ПК и периферия Мобильные решения Инфраструктура	Документооборот/ECM Идеи и практики автоматизации Промышленная автоматизация ИТ-менеджмент Автоматизация	Государство и ИТ ИТ-бизнес ИТ-индустрия	Облака	Безопасность
Сети/Серверы/СХД/ЦОД: Статьи Новости компаний Решения

От ИБ к безопасности бизнеса

Аутсорсинг ИБ — естественна ли потребность?

Алексей Лаврухин, директор по развитию бизнеса Центра информационной безопасности компании «Инфосистемы Джет»

Тема аутсорсинга ИБ в последнее время активно набирает популярность в профессиональном сообществе специалистов по защите информации, а также становится все более заметной на рынке в целом. Ей посвящаются секции и круглые столы крупнейших профильных конференций, ответственные за обеспечение ИБ в крупных компаниях обсуждают между собой применимость такого подхода на практике, кто-то делится уже приобретенным опытом реализации подобных проектов.

Прежде чем переходить к системному изложению нашего подхода к решению этой задачи в крупных компаниях, хотелось бы поделиться нашим взглядом на причины возникновения темы как таковой, а также ответить на вопрос: «Является ли спрос на услуги аутсорсинга ИБ естественной потребностью, вызванной ростом уровня зрелости процессов обеспечения ИБ в российских компаниях, либо это искусственно создаваемый интерес к модной нынче теме?». Для этого приведем наиболее часто встречаемые поводы для начала разговора об ИБ-аутсорсинге со стороны потенциальных и реальных заказчиков данной услуги.

В нашей практике нередки случаи, когда крупные компании, особенно финансового и страхового сектора, хотят ограничить «зоны влияния» собственного ИБ-персонала. Задачей обеспечения безопасности информации они занимаются уже довольно давно, поэтому зачастую сложность систем защиты, так же как и количество уникальных компетенций обслуживающего их персонала, достигает высокого уровня. В какой-то момент руководство понимает, что ключевые знания о том, как должны функционировать механизмы обеспечения ИБ, как правильно настраивать средства защиты и управлять ими, содержатся исключительно в головах ответственных за ИБ специалистов. Они не закреплены в полной мере в документальном виде. Поэтому увольнение подобных сотрудников либо переход всей команды в другую компанию приведет к фактической остановке процессов обеспечения информационной безопасности. Топ-менеджмент окажется в затруднительном положении, оставшись с глазу на глаз со всеми ИТ-угрозами и рисками без должной поддержки. Зачастую ситуация усугубляется фактом перехода сотрудников к прямому конкуренту, который вместе с квалифицированным персоналом получает информацию об архитектуре и уязвимостях систем защиты соседа по рынку.

Другой пример — компании, активно и успешно отдающие на аутсорсинг обслуживание ИТ-систем как непрофильное для себя направление деятельности (например, ритейлеры). Зачастую в связи с кажущейся на первый взгляд независимостью функционирования основных бизнес-процессов компании от работы ИТ руководство не уделяет достаточного внимания вопросам обеспечения безопасности данных, обрабатываемых информационными системами. Однако рыночная конкуренция требует все более быстрого принятия решений, поэтому степень проникновения ИТ в таких компаниях неизбежно растет. При этом профессиональный ИТ-аутсорсер, обслуживающий системы организации, может гарантировать уровень сервиса в части работоспособности, доступности и восстановления ИТ-ландшафта, но никак не защищенность обрабатываемых данных.

Такие компании приходят к осознанию необходимости решения вопросов ИБ по-разному, но обычно вследствие возникновения каких-либо серьезных неприятностей, например утечки незащищенных конфиденциальных данных, или проверки регулятором режима обработки персональных данных на соответствие законодательству. Сразу после этого заказчик обращается к своему ИТ-аутсорсеру с требованием взять на себя в том числе решение задач обеспечения ИБ. Однако тот в подавляющем большинстве случаев разводит руками и ссылается на отсутствие необходимых для такого рода услуг компетенций и инфраструктуры. Тогда заказчику приходится искать подобные предложения на рынке...

По опыту мы знаем, что аутсорсинг ИБ также интересен компаниям, на первый взгляд совсем не похожим на потенциального заказчика такого рода услуг. В них служба ИБ имеет значительный штат специалистов, регулярно выделяются бюджеты на покупку и развитие систем информационной безопасности, процессы управления ИБ правильно выстроены, задокументированы и постоянно модернизируются согласно стратегии планомерного развития на 3–5 лет. Однако XXI век не оставляет шанса на успех в случае отсутствия постоянных преобразований, зачастую носящих не эволюционный, а революционный характер. Новые направления деятельности, слияния и поглощения, рыночная ситуация — все это приводит к необходимости изменения существующих и создания новых бизнес-процессов, что в свою очередь провоцирует значительный рост ИБ-рисков.

Поэтому в самый неожиданный момент перед службой ИБ возникает задача защиты абсолютно нового для нее сегмента ИТ-ландшафта. Например, построения системы защиты от мошенничества в связи с появлением нового направления деятельности или крупными финансовыми потерями в результате мошеннических действий. При этом сроки, отведенные руководством для запуска сервиса, не позволяют системно подойти к приобретению и накоплению знаний по тематике, планомерно выстроить процессы и аккуратно подобрать соответствующую задаче систему. Выходом в такой ситуации становится использование необходимого сервиса из облака оператора профессиональных аутсорсинговых услуг ИБ с фиксированной ежемесячной платой и отсутствием капитальных вложений. В итоге сервис может выступить в роли и временного «спасательного круга», позволив провести полноценный старт этого направления в компании, и постоянного решения.

Необходимость использования сервисов ИБ по аутсорсинговой модели может возникнуть и без каких-либо значительных изменений в структуре деятельности компании. Примером может служить возникающая по мере эволюционного развития ИБ потребность во внедрении центра оперативного управления и реагирования на инциденты ИБ (Security Operation Center). И тогда ключевыми проблемами могут стать как стоимость капитальных вложений на лицензии SIEM-решений и затраты на их внедрение, так и необходимость быстрого расширения штата службы ИБ (при мониторинге 24*7*365 плюс 7–8 специалистов). Обосновать и согласовать такое кадровое изменение крайне трудно, а эффективно эксплуатировать систему существующими ресурсами, при этом беря на себя обязательства по высокой скорости выявления и расследования инцидентов, невозможно из-за существующей загрузки специалистов.

Приведенные нами примеры возникающих у заказчиков задач показывают, что аутсорсинг ИБ — это реальная потребность рынка. При этом предложений — ответов на спрос — на данный момент явно не достаточно. Мы хотим поделиться опытом и наработками в организации подобного рода сервисов для своих клиентов, о чем и рассказываем в следующих статьях.

Контактная информация

Наши сайты: www.jet.su, www.jetinfo.ru. Электронная почта: info@jet.su.

Другие статьи раздела «От ИБ к безопасности бизнеса»