`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Ярослав Петрухно

Можно ли доверить конфиденциальную информацию ИТ-аутсорсеру?

+26
голосов

Владельцы и менеджеры компаний высказывают много «но» относительно вопроса перевода ИТ-службы на аутсорсинг. Один из главных сдерживающих факторов – опасение возможной утечки информации.

Как раз в этом году международная ассоциация профессионалов по аутсорсингу провела опрос более 100 посетителей и участников мероприятия Outsourcing World Summit. 90% респондентов заявили, что утечка конфиденциальной информации при аутсорсинге привела бы компанию к катастрофе.

Однако, если взять статистику утечки данных, то львиная доля таких утечек – дело рук инсайдеров. Это подтверждает и исследование Enterprise Strategy Group, и отчет Zecurion Analytics. Компания Zecurion Analytics проанализировала 819 случаев утечки конфиденциальной информации, случившиеся по всему миру в 2011 г. В целом, количество случайных утечек (45,2%) почти в полтора раза превосходит число преднамеренных (31,1%). Справедливости ради, доля «неопределенных» утечек, когда умысел не может быть явно определен, весьма высока (23,7%).

При этом ни в одном из проанализированных случаев в качестве виновных аутсорсеры не значатся. Это вполне логично, поскольку они должны заботиться о своей репутации, поэтому одноразовый слив информации или малейшие подозрения в их адрес им крайне не выгодны.

Вообще, чтобы обезопасить себя и свои данные при сотрудничестве с аутсорсером, нужно следовать некоторым простым правилам.

Для начала, заказчику и аутсорсеру необходимо разработать и согласовать политику безопасности. Главная задача здесь – проработать и зафиксировать документально все детали будущего сотрудничества, которые связаны с защитой данных, – чем полнее и детальнее будет утвержденный документ, тем меньше вероятность появления проблем в будущем. Отдельно обсуждаются вопросы разграничения ответственности между заказчиком и аутсорсером, а также санкции и штрафы, которые будут наложены на поставщика услуг за нарушение правил безопасности или в случае выявления факта нарушения.

Абсолютно нормальная практика – когда аутсорсер подписывает соглашение о неразглашении (Non-disclosure agreement, NDA). NDA может быть подписан как между заказчиком и аутсорсером, так и между заказчиком и конкретными ИТ-специалистами компании аутсорсера. Кроме того, при необходимости аутсорсер может предоставить гарантии того, что его ИТ-специалисты не будут участвовать в проектах для других клиентов (прямых конкурентов) без специального разрешения от заказчика.

В мировой практике при заказе аутсорсинговых услуг все активнее используются возможности страхования. Перед заключением договора, в который закладывают объемы компенсаций и возмещений заказчику в случае нарушения информационной безопасности по вине аутсорсера, страховая компания обычно проводит независимый аудит системы информационной безопасности. При сомнениях в способности аутсорсера обеспечить требуемый уровень защиты данных страховка просто не будет оформлена. Так что для компании, помимо возможности компенсировать потери, страховка дает и дополнительную уверенность в надежности аутсорсера. Отметим, что в Украине такой вид страхования пока в зачаточном состоянии.

+26
голосов

Напечатать Отправить другу

Читайте также

Ой, как все просто :)

NDA и страховка не спасает, только немного придает уверенности в благородстве партнера. Доказать место утечки, даже при использовании DLP можно только в 60-70% случаев обнаружения утечки.
А аутсорсер, при любом раскладе, остается еще одной потенциальной "форточкой". И, пока что, однозначного решения ни у кого в мире нет.

Не только аутсорсеры, к сожалению.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT