| +26 голосов |
|
Владельцы и менеджеры компаний высказывают много «но» относительно вопроса перевода ИТ-службы на аутсорсинг. Один из главных сдерживающих факторов – опасение возможной утечки информации.
Как раз в этом году международная ассоциация профессионалов по аутсорсингу провела опрос более 100 посетителей и участников мероприятия Outsourcing World Summit. 90% респондентов заявили, что утечка конфиденциальной информации при аутсорсинге привела бы компанию к катастрофе.
Однако, если взять статистику утечки данных, то львиная доля таких утечек – дело рук инсайдеров. Это подтверждает и исследование Enterprise Strategy Group, и отчет Zecurion Analytics. Компания Zecurion Analytics проанализировала 819 случаев утечки конфиденциальной информации, случившиеся по всему миру в 2011 г. В целом, количество случайных утечек (45,2%) почти в полтора раза превосходит число преднамеренных (31,1%). Справедливости ради, доля «неопределенных» утечек, когда умысел не может быть явно определен, весьма высока (23,7%).
При этом ни в одном из проанализированных случаев в качестве виновных аутсорсеры не значатся. Это вполне логично, поскольку они должны заботиться о своей репутации, поэтому одноразовый слив информации или малейшие подозрения в их адрес им крайне не выгодны.
Вообще, чтобы обезопасить себя и свои данные при сотрудничестве с аутсорсером, нужно следовать некоторым простым правилам.
Для начала, заказчику и аутсорсеру необходимо разработать и согласовать политику безопасности. Главная задача здесь – проработать и зафиксировать документально все детали будущего сотрудничества, которые связаны с защитой данных, – чем полнее и детальнее будет утвержденный документ, тем меньше вероятность появления проблем в будущем. Отдельно обсуждаются вопросы разграничения ответственности между заказчиком и аутсорсером, а также санкции и штрафы, которые будут наложены на поставщика услуг за нарушение правил безопасности или в случае выявления факта нарушения.
Абсолютно нормальная практика – когда аутсорсер подписывает соглашение о неразглашении (Non-disclosure agreement, NDA). NDA может быть подписан как между заказчиком и аутсорсером, так и между заказчиком и конкретными ИТ-специалистами компании аутсорсера. Кроме того, при необходимости аутсорсер может предоставить гарантии того, что его ИТ-специалисты не будут участвовать в проектах для других клиентов (прямых конкурентов) без специального разрешения от заказчика.
В мировой практике при заказе аутсорсинговых услуг все активнее используются возможности страхования. Перед заключением договора, в который закладывают объемы компенсаций и возмещений заказчику в случае нарушения информационной безопасности по вине аутсорсера, страховая компания обычно проводит независимый аудит системы информационной безопасности. При сомнениях в способности аутсорсера обеспечить требуемый уровень защиты данных страховка просто не будет оформлена. Так что для компании, помимо возможности компенсировать потери, страховка дает и дополнительную уверенность в надежности аутсорсера. Отметим, что в Украине такой вид страхования пока в зачаточном состоянии.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +26 голосов |
|
Ой, как все просто :)
NDA и страховка не спасает, только немного придает уверенности в благородстве партнера. Доказать место утечки, даже при использовании DLP можно только в 60-70% случаев обнаружения утечки.
А аутсорсер, при любом раскладе, остается еще одной потенциальной "форточкой". И, пока что, однозначного решения ни у кого в мире нет.
Не только аутсорсеры, к сожалению.