Аутсорсинг інформаційної безпеки

Ринок Аутсорс-послуг сьогодні активно закріпився в бізнес-середовищі вітчизняних та зарубіжних компаній. Послугами аутсорсу користуються не тільки маленькі фірми, а й компанії середнього розміру, крупні постачальники та замовники. Ні кого вже не здивуєш діяльністю відданою на аутсорсинг: бухгалтерські послуги, юридичне супроводження, логістика, адміністрування ІТ-інфраструктури. Прийшла черга і послуг інформаційної безпеки (ІБ), які теж стали представлятися як сервіс.

Доволі часто далеко не всі компанії, неважливо малого чи середнього розміру, можуть зібрати в своєму штаті достатню кількість висококваліфікованих спеціалістів в області ІБ, а тому й приходиться або обмежуватись тим рівнем ІБ, який можна забезпечити власними силами, або звернутись до зовнішніх постачальників. Важливо відмітити те, що навіть тим організаціям, які можуть дозволити собі серйозну команду спеціалістів ІБ, все таки іноді доводиться вдаватися до точкового аутсорсингу.

Аутсорсинг (від англ. оutsourcing: (othersourceusing) використання зовнішнього джерела/ресурсу) – передача організацією, на основі договору, певних бізнес-процесів або виробничих функцій на обслуговування іншої компанії, що спеціалізується у відповідній області.

На відміну від послуг сервісу та підтримки, що мають разовий, епізодичний, випадковий характер і обмежених початком і кінцем, на аутсорсинг передаються зазвичай функції по професійній підтримці безперебійної працездатності окремих систем та інфраструктур на основі довготривалого контракту (не менше 1-го року). Наявність бізнес-процесу є відмінною рисою аутсорсингу від різних інших форм надання послуг і абонентського обслуговування. Базова перевага аутсорсингу для діяльності організації полягає в тому, що аутсорсинг оптимізує цю діяльність за рахунок того, що дозволяє сконцентрувати функціонування на основному, першочерговому напрямку. За рахунок такої практичної цінності аутсорсинг швидко і успішно прижився у бізнес-сфері як технологія, що допомагає вирішити проблему скорочення прихованих витрат, підвищення адаптації до умов зовнішнього середовища, що змінюються, покращення якості послуг та продукції, що випускається, кваліфікованого управління ризиками.

На заході вже давно існують компанії, що спеціалізуються тільки на наданні послуг по аутсорсингу ІБ. Такі компанії називаються Managed Security Service Providers (MSSP) і надають послуги аутсорсинга всіх фундаментальних підсистем ІБ, наприклад:

  • управління міжмережевими екранами;
  • управління системами виявлення та запобігання вторгнень (IPS/IDS);
  • управління системи захисту від DDoS;
  • управління системами контентної фільтрації електронної пошти та веб-трафіку;
  • аналіз вразливостей і тестування системи (включаючи проведення тестів на проникнення);
  • управління антивірусними системами;
  • управління системами збору і обробки інформації про інциденти (SIEM);
  • управління системами аутентифікації і авторизації;
  • управління криптографічними системами, включаючи побудову віртуальних приватних мереж (VPN) та інфраструктури відкритих ключів (PKI).

Обов’язково необхідно пам’ятати, що сервіс-провайдер управляє інфраструктурою ІБ, її сегментами або деякими процесами системи управління ІБ, але не несе відповідальності за розробку корпоративної політики ІБ чи вимог до системи ІБ, хоча зобов’язаний їх дотримуватись.

Зокрема при використанні аутсорсингу ІБ рекомендується дотримуватися наступних правил:

  • Не можна передавати на аутсорсинг задачу без метрик результативності і без розуміння чіткого результату.
  • Не можна передавати на аутсорсинг задачу, розмір якої не відповідає розміру бізнеса сервіс-провайдера.
  • Не можна передавати сервіс-провайдеру функцію «прийняття ризиків». При виконанні цих трьох умов проекти по аутсорсингу інформаційної безпеки не мають викликати проблем на стороні клієнта.

В сфері ІБ-аутсорсинга існує два варіанта реалізації:

  • Перший – коли існуючі задачі та роботи, а також відповідальність за їх виконання передаються із внутрішнього підрозділу зовнішньому підряднику.
  • Другий – коли, використовуючи аутсорсинг, компанія-замовник розраховує серйозно підвищити рівень безпеки чи отримати якісно нові можливості.

В першому випадку до аутсорсингу звертаються через обмеженість людських ресурсів. В другому, як правило, компанії оцінюють в першу чергу швидкість запуску сервісу ІБ і його довготривалу вартість.

Аутсорсинг актуальний, наприклад, коли потребується цілодобове функціонування підсистем ІБ і оперативна реакція на інциденти в режимі 24/7, а також в умовах територіальної розподіленості. Стандартною практикою стала передача на аутсорсинг процесів ІБ, що потребують рутинних операцій, цілодобового моніторингу, оперативної реакції, а також високої кваліфікації персоналу: антивірусний захист, обслуговування периметрових засобів захисту, виявлення і запобігання кібератак, управління криптографічними системами (VPN, PKI), збір і аналіз подій інформаційної безпеки. Це може бути застосовано в першу чергу для компаній, що розміщують свої дані на зовнішніх ресурсах, наприклад в ЦОД .

Також аутсорсинг ІБ слід використовувати в наступних ситуаціях:

  • Якщо необхідно отримати об’єктивну оцінку (різноманітні види тестування на відповідність вимогам, стандартам, на стійкість до проникнення і т. д.);
  • Якщо економічна ефективність порахована та аутсорсинг буде значно вигіднішим для вирішення разових або проблем, що рідко виникають;
  • Якщо необхідно вирішити певне коло здач за обмежений час.

Так само варто відзначити варіанти ІБ-аутсоріснга, а саме, перший варіант – повний аутсорс всієї системи ІБ, і, другий – аутсорс окремих бізнес-процесів.

Взаємозв’язок ІТ та ІБ-аутсорсинг в наші дні

Послуги, які надаються сьогодні аутсорсинговими компаніями, включають і розробку на заказ будь-якого програмного забезпечення, і забезпечення діяльності ІТ-інфраструктури компанії. Якщо замовляти ПЗ для власних потреб можуть дозволити собі лише дійсно великі компанії. Що мають серйозний дохід, а ось другий варіант ІТ-аутсорсинга сьогодні з успіхом використовують підприємства будь-якого розміру.

Сьогодні тенденції розвитку сфери ІТ приводять до того, що в цій сфері виразно формується окрема ніша – забезпечення інформаційної безпеки організацій. Через дуже широке застосування інформаційних технологій, а також постійно зростаючу важливість даних в роботі як комерційних, так і державних організацій, забезпечення інформаційної безпеки  також є все більш вадливим аспектом їх роботи. В наш час в багатьох компаніях працюють спеціальні відділи інформаційної безпеки, які забезпечують захист корпоративних даних від самих різних загроз, як за межами компанії, так і існуючих в ній самій.

Разом із зростанням вартості забезпечення інформаційної безпеки сьогодні все частіше виникає питання про те, яким чином можна зекономити на цій статті витрат. Аутсорсинг виступає в цьому випадку одним з найбільш ймовірних шляхів для вирішення проблеми.

Аутсорсинг та консалтинг в світлі ІБ

Необхідно відокремлювати аутсорсинг інформаційної безпеки від консалтинга ІБ в даній області. Хоча заради справедливості необхідно уточнити, що дуже часто самі компанії, які надають аутсорсингові та консалтингові послуги, плутають ці терміни.

Консалтинг (англ. consulting – консультувати)  – це вид професійних послуг (зазвичай ці послуги платні), які надаються корпоративним клієнтам, які цікавляться оптимізацією свого бізнесу.

До консалтингу зазвичай визначають розробку різних порад і вимог, які відносяться до підтримки інформаційної безпеки організації на належному рівні. Типові приклади тих робіт, які виконують консалтингові компанії, що спеціалізуються на ІБ, включають:

  • Економічний аналіз системи ІБ;
  • Розробку методики для якісного аналізу захищеності організації;
  • Розробку порад із захисту інформаційної системи;
  • Розробку вимог до системи для захисту інформації, які відповідають особливостям організації;
  • Розробку технічного завдання для створення системи забезпечення інформаційної безпеки;
  • Складання огляду ПЗ для забезпечення інформаційної безпеки за раніше заданими критеріями;
  • Розробку вимог в плані кваліфікації співробітників відділу інформаційної безпеки;
  • Розробку нормативних актів і політики для забезпечення інформаційної безпеки.

Консалтинг в області безпеки даних, само собою, також можна назвати досить важливим компонентом для створення надійного захисту даних організації, він допомагає оптимізувати витрати в цій графі бюджету компанії. Але все-таки, консалтинг і аутсорсинг – різні речі, які органічно доповнюють один одного.

Фахівці компанії MO Group спеціалізуються на аутсорсингу ІБ компаній, забезпечують управління міжмережевими екранами та системами виявлення та запобігання вторгнень (IPS/IDS), проводять тести на проникнення, контролюють системи аутентифікаії та авторизації, забезпечуючи повну інформаційну безпеку своїх клієнтів. Cпеціалісти компанії MO Group можуть надати Вам всю необхідну інформацію провести тестування та проінформувати з приводу цін і терміну виконання робіт за телефонами +380 50 705 82 24 та +380 67 589 42 70

Замовити консультацію

Даний матеріал підготовлений спеціалістами MO Group на базі публікацій закордонної преси.

Об авторе: Alyona

оставьте ответ

Ваш электронный адрес не будет опубликован.