Обзор "Рынок ИТ-услуг: консалтинг, интеграция, аутсорсинг" подготовлен
CNewsAnalytics

Российский рынок свыкается с идеей аутсорсинга ИБ

Российский рынок свыкается с идеей аутсорсинга ИБ

Аутсорсинг в сфере ИБ принято считать мало перспективным, особенно в российских реалиях, направлением. Слишком мало на местном рынке поставщиков, предлагающих услуги такого рода,  имеющих солидный и положительный опыт работы. И слишком уж рискованно передавать подобные функции вовне. С другой стороны, решать вопросы ИБ своими силами у компаний не всегда получается квалифицированно и оперативно, что вынуждает пересматривать свое отношение к аутсорсингу по этому направлению.

Сегодня все чаще компании, не работающие в сфере ИT, перекладывают вопросы, связанные с программной и аппаратной настройкой компьютеров, корпоративной сетью, телефонной связью и с другими средствами инфокоммуникаций, на внешних специалистов. Это позволяет в ряде случаев сократить издержки на поддержание и развитие информационной системы компании, снизить риски, а также привлечь более квалифицированных специалистов и получить качественно новый уровень сервиса — одним словом, переложить большинство забот об ИТ на чужие плечи и сконцентрироваться на основной бизнес-деятельности.

Аутсорсинг в сфере ИБ долгое время считался мало перспективным в российских реалиях направлением. Однако, как показало последнее исследование компании «Информзащита», сегодня большинство респондентов (32%) относятся к аутсорсингу в целом положительно. Правда, передавать часть своих функций сторонним организациям спешат далеко не все. 18% опрошенных компаний по-прежнему смущает факт передачи ответственности за те или иные процессы внешним организациям.

Как вы относитесь к аутсорсингу?

Источник: «Информзащита», 2006

При этом, если компания всё-таки решается передать сторонним субподрядчикам какие-либо функции связанные с ИТ или ИБ, то в основном это работы по техническому сопровождению программно-аппаратного обеспечения, а также в ряде случаев работы по обнаружению вторжений.

В каких областях компания передает субподрядчикам функции, связанные с ИТ/ИБ?

Источник: «Информзащита», 2006

Правда, хотелось бы отметить, что называть аутсорсингом техническое сопровождение и поддержку не совсем правильно. Истоками такого отождествления этих двух понятий являются «нераскрученность» и отсутствие широкой практики использования того спектра сервисов, которые могут предоставить аутсорсеры заказчику. В отличие от аутсорсинга, услуги по технической поддержке и сопровождению носят характер  разовых обращений клиента в случаях возникновения каких-то проблем с программно-аппаратной частью. Именно в этих случаях специалисты от исполнителя выезжают к клиенту или консультируют его по электронной почте или e-mail. В остальное время они не в курсе, что и как происходит в системе заказчика, какие изменения вносятся и какие настройки реализуются. Конечно, можно говорить о так называемой расширенной технической поддержке, когда на территории заказчика постоянно присутствует специалист или специалисты со стороны исполнителя, но это скорее подходит под категорию аутсорсинг персонала.

Хотелось бы определиться с тем, что мы понимаем под аутсорсингом, так как есть некоторая неясность и путаница в понимании сущности и критериев этого явления. Самое общее определение следующее: аутсорсинг — это способ оптимизации деятельности предприятий за счет сосредоточения усилий на основном предмете деятельности и передачи непрофильных функций и корпоративных ролей внешним специализированным компаниям. Если внести в это определение больше конкретики, то аутсорсинг — это определенная схема оказания услуг, при которой внешнему субподрядчику передаётся процесс,постоянно присутствующий в компании, а не возникающих время от времени. Этот процесс должен быть очень тесно связан с другими организационными процессами. Поэтому взаимодействие между компанией и аутсорсером должно носить постоянный характер, а сам сервис должен быть настроен под конкретные требования заказчика

Таким образом, критериями аутсорсинга могут являться, во-первых, постоянное протекание «отдаваемого» процесса в компании и его тесная взаимосвязь с другими бизнес-процессами, а во-вторых, постоянное и пролонгированное во времени взаимодействие между заказчиком и компанией-аутсорсером.

Специфика аутсорсинга в сегменте ИБ

Если фокусироваться на сегменте ИБ, то проблемы с аутсорсингом возникают в основном по причине того, что, во-первых, на российском рынке мало компаний, предлагающих услуги такого рода, а во-вторых, практически отсутствуют те, кто реально осуществляет и имеет солидный и положительный опыт работы в этом направлении. Поэтому многие организации опасаются передавать функции связанные с информационной безопасностью внешним организациям и предпочитают делать всё самостоятельно. Но как показывает практика, не у всех это получается квалифицированно и оперативно.

Существует много причин подобной ситуации, но основной из них  является отсутствие в компаниях необходимого количества обученных и профессиональных специалистов по ИБ, к тому же не каждая организация способна и считает целесообразным содержать штат работников, мониторящих все события ИБ круглосуточно. Но, как известно, атаки происходят не только в рабочее время, а, напротив, в то время, когда сотрудников нет на месте. В этой связи, особенно для крупных компаний, передача части функций по обеспечению ИБ сторонним организациям является реальным выходом из проблемной ситуации.

На Западе аутсорсинг ИБ давно получил широкое распространение — в виде специализированных технических центров, берущих на аутсорсинг различные процессы, связанные с обеспечением информационной безопасности компании. Стоит отметить, что подобные центры уже появляются и в России.

Такие центры в основном являются выделенным бизнес и техническим подразделением крупной компании-интегратора. Подобное подразделение оснащено всем необходимым программно-аппаратным обеспечением и имеет в своём штате высококвалифицированных специалистов, осуществляющих удаленный мониторинг, защиту и управление информационной безопасностью клиента в режиме реального времени и в режиме 24*7*365. Естественно что подобные центры требуют больших затрат на создание, поэтому, естественно, что иметь такое подразделение в структуре своей компании заказчику невыгодно.

Среди тех сервисов, которые могут оказывать подобные технические центры, наиболее распространенным является мониторинг событий информационной безопасности и системных журналов. Все необходимые для анализа данные собираются со всей сети, или же с отдельных средств безопасности клиента. После консолидации они передаются по выделенному каналу в специализированный центр компании аутсорсера, обрабатываются, анализируются и клиент получает необходимые отчёты.

С обговоренной периодичностью, компания-аутсорсер может осуществлять сканирования сети клиента. Определив необходимое количество IP-адресов, производятся регулярные сканирования, которые могут быть как внешними, так и внутренними.

Также на аутсорсинг может передаваться управление защитой сети, серверов, рабочих станций клиента и управление и мониторинг межсетевых экранов. Сотрудники центра в режиме 24*7*365 отслеживают, реагируют и предотвращают попытки осуществляемых злоумышленниками атак. При этом средства защиты клиента всегда вовремя обновляются и настраиваются по его запросам.

Данные услуги могут оказываться как отдельно, так и в определенных взаимодополняющих связках. Сама схема оказания данных услуг выглядит следующим образом. После заключения договора специалисты компании-аутсорсера проводят обследование сети заказчика. После этого согласованный список устройств подключается к программно-аппаратному оборудованию технического центра аутсорсера. И после процесса тестирования связи и оборудования начинается непосредственно сама работа.

Проблемы и сдерживающие факторы

Но при всей видимой простоте и логичности подобных схем существует ряд проблем. Главная и основная проблема и опасение клиентов — это сохранность конфиденциальности передаваемой аутсорсеру информации. Данный риск неизбежен, но минимизировать его возможно в первую очередь соответствующими договорными отношениями между заказчиком и аутсорсером. Ответственность поставщика услуги за возможный ущерб, нанесенный бизнесу клиента из-за каких либо ошибок и нарушений должна регламентироваться в соглашении об уровне обслуживания, так называемом  Service Level Agreement (SLA). Именно в нем прописываются все детали оказываемых услуг и ответственности сторон. Для успешного выполнения данного соглашения у компании-аутсорсера должен быть накоплен достаточный опыт реализации подобных проектов. Кроме того, не стоит забывать, что сотрудники компании-аутсорсера, как правило, обладают высоким уровнем профессионализма и компетенции в обеспечении информационной безопасности. При этом аутсорсер несет прописанную в договоре ответственность за утечку конфиденциальной информации клиента, выраженную в денежном отношении.

Ещё одна проблема и опасение клиента заключается в боязни потери контроля над своей сетью и своими устройствами по обеспечению ИБ. Эту проблему решает контроль над действиями специалистов компании-аутсорсера. В основном он осуществляется через специализированный web-портал, который поддерживается аутсорсером. На данном портале находятся и отражаются все события, произошедши в сети заказчика, а также информация о статусе работ по этим событиям. Помимо этого клиент может ознакомиться с действующей на его устройствах политиками и настройками, узнать статус работоспособности собственных устройств и так далее.

В заключении хотелось бы сказать, что на сегодняшний день происходит определенная смена парадигмы. Если раньше аутсорсинг воспринимали как отдачу или даже отторжение какого-то процесса из компании, полная передача его обслуживания субподрядчику, т.е. исключение из общей связки бизнес-процессов компании,  то сейчас можно говорить о разделении ответственностей между заказчиком и исполнителем. Сейчас приходит понимание того, что аутсорсером придётся управлять и контролировать его деятельность на всех этапах проекта. Так как аутсорсинг подразумевает под собой передачу «на сторону» не какой-то отдельной функции, а определенный бизнес-процесс, встроенный в общий бизнес компании. Поэтому от заказчика, несомненно, потребуются определенные усилия как по созданию, так и постоянному поддержанию партнерских взаимоотношений с компанией-аутсорсером.

Наталья Зосимовская

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2006 г.

Toolbar | КПК-версия | Подписка на новости  | RSS