`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Информационная безопасность и аутсорсинг

+33
голоса

На первый взгляд, кажется, что информационная безопасность и аутсорсинг — вещи мало совместимые, поскольку кто же в здравом уме и твердой памяти будет отдавать на аутсорсинг такую деятельность? На самом деле, при трезвом рассмотрении, оказывается, что как раз информационная безопасность, как и, скажем, бухгалтерия, относится к немногим вещам, которые не просто можно, а прямо-таки нужно отдавать на аутсорсинг.

Инфобез важен? Безусловно. Вопрос: кто лучше справится с задачей его обеспечения — безопасник с небольшим опытом работы, которого вы в состоянии нанять, или несколько десятков безопасников с приличным опытом, уровнем знаний и сплоченностью коллектива? Ответ, как мне кажется, вполне очевиден. Возникает, правда, закономерный вопрос: если нам с трудом хватает денег на одного слабого безопасника, откуда мы возьмем целую толпу сильных? Для этого и придумана такая штука, как аутсорсинг.

Приличная команда неплохих безопасников может обеспечивать безопасность достаточно большого числа компаний, получая от каждой из них не самые большие деньги, но если сложить все компании вместе, то заработок получится уже достаточно приличным. Вот как это работает. Современные технологии позволяют обеспечить удаленное решение проблем информационной безопасности, на первый план выходит уже не присутствие человека физически на своем рабочем месте, а его компетенция.

К сожалению, тех, к кому можно было бы прийти за решением своих проблем в сфере информационной безопасности, сегодня мало. Они сегодня больше занимаются консалтингом, а это уже немного другое. Но если поискать, то практически в любом достаточно крупном городе обнаружится компания, готовая предоставить аутсорсинговые услуги в сфере информационной безопасности за более-менее вменяемые деньги. Имейте это в виду, господа руководители. На первый взгляд, это кажется абсурдом, но на самом деле, это вполне реальный способ сэкономить.

Конечно, выбор компании, которой вы хотите отдать на аутсорсинг ИБ — дело более чем ответственное, потому что выбрав недостаточно надежного поставщика услуг, можно лишиться не только денег, но и конфиденциальных документов. Впрочем, это достаточно сложная тема, чтобы пытаться вместить её в один пост на блоге.

Я постарался собрать все мысли по поводу аутсорсинга и консалтинга в сфере ИБ в одной статье, буду признателен, если вы поделитесь своими комментариями здесь или на сайте, где она была опубликована.

Информационная безопасность и аутсорсинг

+33
голоса

Напечатать Отправить другу

Читайте также

Что-то Вы намутили. То консалтинг, то аутсорсинг. Похоже, что стоит иногда пользоваться не только стандартами безопасности и соответствия, но и "обычным" ITIL/ITSM, поскольку именно через механизмы ITIL моделируются бизнес-процессы, связанные с аутсорсингом.
И если описать ИБ в терминах ITIL, то окажется, что аутсорсинг целесообразен в крайне ограниченном спектре узких задач и для очень узкого круга компаний. А вот консалтинг - необходим в широком диапазоне. Ну и последние тенденции в мировой практике показывают, что аутсорсинг как "панацея" себя уже исчерпал и ажиотаж спал практически по всем направлениям.

А если подойти к числовым оценкам, то там все еще веселее - если бизнес не может себе позволить затраты на ИБ, то такая ИБ этому бизнесу не нужна. Нужно что-то другое, адекватное размеру и зрелости бизнеса. Аутсорсинг - это инструмент очень зрелого бизнеса.

В подтексте поста завуалирован отсыл к идее, витающей со времён начала популяризации "облаков" - DLP в облаке. Предполагается, что это может заинтересовать сектор среднего и малого бизнеса, у которых на полноценное внедрение нет денег.

Кроме того, существует проблема мотивации. Одно дело, когда защищаешь что-то своё, и совсем другое - защита чужого. Как убедить аутсорсного безопасника в крайней важности защиты той или иной информации? Проблема-с.

По поводу ITIL\ITSM интересно было бы ознакомиться с опытом описание адач ИБ в терминах. Из моего небольшого опыта, связанного с одним российским интегратором, могу сказать, что переход от "сырьевого" представления к "процессам" порой укладывается в головах людей со скрипом.

Аутсорсинг в принципе невозможен без перехода на процессное управление.

Ну а DLP "в облаке" - это вообще сферический конь в вакууме. Точнее - одна большая дыра в безопасности.

Есть ещё не совсем обычный аутсорсинг. Поясню мысль: для наших клиентов техподдержка как бы состоит из двух направлений.

Первое - классическая техническая поддержка. То есть если вылез какой-то баг, что-то не перехватывается и т.д.

Второе - помощь в решении задач. То есть безопасник может сформулировать задачу ("а давайте выявим всех сотрудников, которые не любят руководство компании и нелояльно к нему относятся"), а техподдержка поможет в настройке соответствующей политики. Получается, что настройку проводит удалённый специалист, а уже в дальнейшем инциденты отрабатывает штатный.

Это не совсем аутсорсинг. Это консалтинг.

И не совсем консалтинг. Порой берётся доступ по Team'у и всё делается самими, без пояснений. Зависит от штатного специалиста. Кто-то из них хочет развиваться, кто-то нет.

В итоге, как у Семёна Альтова, получается "между" (есть у него такой короткий монолог). Между аутсорсингом и консалтингом.

Думается мне, что консалтинг в ИБ возможен только в некоторых случаях. Советовать людям, как жить, не погружаясь именно в их проблемы, плохо. А вот в общих темах (требование регуляторов, соответствование требований, проведение сертификации по какому-либо стандарту и т.д.) консалтинг вполне себе актуален.

Вообще-то практика ИБ в не финансовых структурах - это отдельный большой пласт вопросов, в которых очень много "белых пятен". Для среднего бизнеса часто даже построение первичной модели угроз превращается в "детективА-боевикА" для внутреннего специалиста. В таких ситуациях я лично неоднократно пользовался услугами консультантов в конкретных технических областях ИБ. После построения первичной модели уже становится понятно, как разделяются процессы реагирования на внутренние и внешние угрозы. Внешние очень часто можно решать с помощью консалтинга. Внутренние - только самим.

Эта идея вообще не имеет права на жизнь, если отдать информационную безопасность на аутсорсинг, то лучше уж сразу отдать свой бизнес какому то дяде, - ведь это инфобез ключ ко всему. Какая разница кто там будет в этой аутсорсинговой фирме заниматься безопасностью, если он будет каждый раз решать дилемму, - что ему выгодней, получить от вас ежемесячную плату за услуги, или продать все ваши секреты с потрохами конкурентам за куда большую суму, как вы думаете, что выберет организация посторонняя для предприятия? А если компания акционерная, то вообще тут простор еще шире, - можно играть с одними акционерами, против других, работать для облегчения рейдеркого захвата предприятия и много чего другого. Так что такие дела, как кстати и бухгалтерию передают на аутсорсинг или совсем маленькие фирмы или люди без головы.

Собственно, ответил на некоторые Ваши замечания выше. Подобная концепция на большие серьёзные компании не рассчитана. Точно так же, как и с облачной бухгалтерией, подобные решения подойдут мелким компаниям, которые все дела ведут по-белому.

То есть - никому :)

Что вы! А как же люди без головы?)

Им уже ничего не нужно :))

.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT