30.10.2008

Возможен ли аутсорсинг информационной безопасности

Олег Седов, CIO

Вопрос о том, возможен ли аутсорсинг информационной безопасности, был поднят с ходе дискуссии на 15-м CIO-Форуме, организованном журналом «Директор информационной службы» и агентством корпоративных коммуникаций OSP-Con. Как выяснилось, ИТ-менеджеры придерживаются полярно противоположных взглядов, к тому же их мнения нередко противоречивы. Развивая тему, мы обсудили ее не только с участниками дискуссии, но и с другими экспертами.

От разочарований к экспертизе

Российский рынок аутсорсинговых услуг входит в интересную фазу. Непонимание и необоснованный оптимизм сменились завышенными ожиданиями, следом за которыми пришел целый шлейф разочарований. Сейчас наступает фаза зрелости, когда к ИТ-менеджерам и руководителям предприятий приходит понимание, кому и зачем нужен аутсорсинг, а сама тема аутсосринга становится практикой, аккумулирующей способы решения возникающих проблем.

Еще недавно решение об аутсорсинговой модели принималось отнюдь не по причине ее эффективности, а как дань моде. Результатом стали неизбежные разочарования. Предприятия нередко стремились отдать на аутсорсинг все свои ИТ-службы и ИТ-услуги, при этом не до конца представляя их объемы, взаимосвязи, значение для бизнеса, мечтая о единственном — чтобы ИТ обходились дешевле. Нередко такие проекты проваливались, а идея аутсорсинга дискредитировалась.

Возможно поэтому Олег Самарин, заместитель технического директора Cisco Systems, считает, что движущей силой аутсорсинга в первую очередь остается экономическая эффективность, а также нехватка квалифицированных кадров и высокие зарплаты при неполной загрузке, в результате чего предприятию становится невыгодно держать своих собственных специалистов.

«Чаще всего на решение об аутсорсинге влияют финансовые факторы. Иногда компании ограничивают закупку оборудования и ПО, чтобы не увеличивать стоимость основных средств, при этом тот же функционал компания готова оплачивать как услугу. Такая финансовая схема улучшает финансовые показатели компании и позволяет экономить на управлении активами», — считает Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch.

По мнению Сергея Петренко, ведущего консультанта по информационной безопасности компании «АйТи», у каждого предприятия имеется сразу несколько причин для принятия решений о передаче информационной безопасности на аутсорсинг: «Это может быть экономическая составляющая — ведь всегда выгоднее получать комплекс услуг за фиксированную плату. В некоторых случаях, передавая выполнение ряда услуг сторонней фирме, компания может снизить свои издержки на информационной безопасности, например, за счет сокращения штатного расписания».

«Следует отметить и такой фактор, как готовность руководства к подобным проектам. Аутсорсинг информационной безопасности — это с точки зрения бизнеса всего лишь одна из множества услуг. Посмотрите на рынок связи, раньше все крупные бизнес-структуры строили собственные сети связи, теперь без проблем пользуются услугами операторов связи», — отмечает руководитель дирекции информационной безопасности компании «ТрансТелеКом» Дмитрий Соболев.

Переход на аутсорсинг в первую очередь призван сделать бизнес более эффективным, соответственно, экономическая выгода появится не сразу, а после того, как правильно отлаженный бизнес получит дополнительную прибыль. Бывают и случаи, когда отказ от аутсорсинга означает проигрыш для бизнеса: время, силы, средства уйдут на освоение непрофильных функций, а конкурентные преимущества в основном деле будут упущены, поэтому главным аутсорсинговым мотивом и в России, и на Западе становится стремление сделать бизнес более управляемым. Непрофильные направления выводятся из компании и передаются на аутсорсинг. Это очень убедительный мотив, особенно для компаний, которые работают в развивающихся сегментах и ставят перед собой амбициозные планы. Ведя при этом агрессивную политику на рынке, они вынуждены все свои ресурсы, как финансовые так и интеллектуальные, тратить на основной бизнес. Все остальное, и не только ИТ, расценивается ими как обуза.

«Если у предприятия есть понимание, что текущая система не удовлетворяет требованиям или если требования изменяются под воздействием внешних обстоятельств (новых запросов клиентов, акционеров и т.д.), то, как правило, очень сложно в короткий срок создать универсальную систему информационной безопасности с нуля или переработать существующую без сторонней помощи. В этих условиях наиболее эффективно привлечь сторонних специалистов и организации с богатым опытом разработки и внедрения таких систем. В дальнейшем аутсорсеры могут обучить внутренних специалистов для ежедневной поддержки отдельных систем и процедур, осуществляя при этом, например, регулярные аудиты», — считает директор по ИТ и информационной безопасности компании Luxoft Иван Гаврилюк.

Кадровый мотив

Проблема дефицита квалифицированных кадров в той или иной степени касается всех. Она усугубляется тем, что ИТ-решения все более усложняются и требуется более глубокая экспертиза для их внедрения, поддержки и сопровождения. Это означает, что специалистов компании необходимо непрерывно обучать и платить им достойные зарплаты. Компания, для который ИТ и информационная безопасность не являются основным бизнесом, никогда не сможет конкурировать по зарплатам персонала с профессиональной специализированной компанией, где у специалистов зарплата всегда будет выше, потому что в ИТ-компании они работают в центрах прибыли, а не в центре затрат, какими обычно являются ИТ-отделы предприятия.

Если ИТ-директору и удастся добиться от руководства компании одобрения и понимания того, что его сотрудники должны непрерывно обучаться, то, как только они наберут необходимую компетенцию, они тут же получат предложение от специализированных компаний с большей зарплатой.

«Вспомним классическую ситуацию: отдел информационной безопасности на предприятии не слишком большой, а спектр задач, которые на него возлагаются, крайне широк, — рассуждает Михаил Орешин, директор московского филиала компании “Поликом Про”. — Отделы информационной безопасности просто вынуждены передавать часть функций на аутсорсинг. По большому счету, на аутсорсинг может отдаваться все, кроме, пожалуй, принятия решений о том, какая информация является критичной для бизнеса и оперативных мероприятий».

Поддержка и сопровождение систем собственными силами становятся необоснованно дорогими, и имеет смысл объединить усилия по информационной безопасности, например, с поставщиком телекоммуникационных услуг, считает руководитель практики информационной безопасности компании Energy Consulting Integration Андрей Голов. Вторым фактором в пользу аутсосинга он считает потерю компетенции в области информационной безопасности (например, вследствие увольнения ключевых сотрудников). Третьим фактором может стать изменение ИТ-стратегии, например, региональная экспансия и децентрализация — при отсутствии квалифицированных кадров в регионах эти процессы повлекут за собой частичный аутстаффинг или аутсорсинг систем.

Что передавать?

Одно из правил аутсорсинга гласит, что передавать можно только те сервисы и услуги, которые можно выделить из общей совокупности задач. Поэтому, как отмечает руководитель службы информационной безопасности в странах СНГ компании «Вымпелком» Станислав Попов, передавать на аутсорсинг можно, прежде всего, внешние аудиты информационной безопасности. «Практически всегда на аутсорсинге осуществляется разработка и внедрение решений по безопасности, — добавляет он. — Кроме того, на аутсорсинге часто реализуется поддержка третьего уровня решений по безопасности (обычно это поддержка от вендора). Поддержка второго уровня (администрирование средств) также может быть реализована силами компании-аутсорсера, но не всегда и везде это возможно. Однозначно можно передать решение инцидентов по атакам из Internet. Скорее всего, никогда не будут переданы на аутсорсинг управление информационной безопасностью, решение внутренних инцидентов и управление ключевыми средствами защиты».

Этот список дополняет руководитель направления информационной безопасности департамента ИТ-инфраструктурных решений компании «Ситроникс информационные технологии» Сергей Зорин: «На аутсорсинг можно отдать не только различные виды аудитов информационной безопасности, но также разбор инцидентов, организацию “ловушек”. Следует отметить, что на основе рекомендаций по результатам аудита обычно разрабатываются политики безопасности и другие организационные документы, что тоже часто отдается на аутсорсинг. Вывести на аутсорсинг следует и деятельность, требующую лицензирования. На аутсорсинг можно отдать и организацию коммуникаций: различного рода VPN-решения, защиту от DDoS-атак, управление сложными системами предотвращения вторжений. Можно еще отметить развивающуюся область конкурентной разведки».

По мнению Леонида Короха, CIO компании Aladdin, ответ на вопрос о том, что передавать на аутсорсинг, зависит от ряда факторов, начиная от профиля и специализации компании-заказчика и заканчивая уровнем доверия к аутсорсеру и экономическими аспектами: «Проще сказать, какие мероприятия информационной безопасности нельзя “выносить из избы”. К ним прежде всего относятся все аспекты защиты конфиденциальной информации и персональных данных. Вопросы управления системой информационной безопасности, распределения прав доступа и полномочий сотрудников в системе также не стоит выносить на аутсорсинг. А вот то, что касается фильтрации контента, защиты от массовых вирусных и спам-эпидемий — эти аспекты информационной безопасности можно и нужно отдавать на откуп профессионалам».

Риски аутсорсинга информационной безопасности

В России бытует убеждение, что при аутсорсинге количество и объемы рисков возрастают. На самом деле при аутсорсинге одни риски заменяются другими. Например, уходит риск потери компетенции технического персонала или риск внеплановых убытков от порчи оборудования, так как эта проблема переходит в компетенцию поставщика услуг, при этом аутсорсер, принимая на себя риск порчи оборудования, существенно его сокращает, во-первых, благодаря более высокой компетенции своего персонала, а во-вторых — более качественной поддержке со стороны вендоров.

Гаврилюк убежден, что риски при аутсорсинге скорее уменьшаются, так как снижаются риски неквалицированного подхода и выполнения чьего-то политического заказа внутри предприятия. «Тем не менее идеальный подход — это когда созданная и построенная аутсорсерами система информационной безопасности проходит независимый аудит на соответствие стандартам безопасности, например ISO 27001».

Корох отмечает, что если смотреть на вопрос несколько шире, взяв, к примеру, тему аутсорсинга разработки приложений, то, пожалуй, самым опасным стал бы риск уязвимости корпоративного ПО: «В самом деле, по данным аналитической группы Quocirca, 90% организаций, пострадавших от действий киберпреступников, отдавали в аутсорсинг разработку более 40% своих систем, 60% заказчиков не проверяет безопасность решений на наличие “дыр”, а еще 20% вообще не заботятся вопросами безопасности. Замечу, это западное исследование, где культура ведения проектов на аутсорсинге значительно более зрелая, чем в России».

Кроме того, при любом аутсорсинге у заказчика возникают новые, качественно другие риски, например, риск попадания в зависимость от провайдера. «Это общие для аутсорсинга риски — недостаточно подробно составленные SLA, допускающие разночтения, которые каждой стороной будут истолковываться в свою пользу. Эти риски будут уменьшаться по мере наработки опыта. Инструменты контроля нужно, соответственно, выбирать сообразно контрольным параметрам — количеству предотвращенных инцидентов, найденных уязвимостей или ложных срабатываний», — полагает Хайретдинов.

«При наличии SLA риск сводится к ничтожной величине, а если аутсорсер предоставляет дополнительные гарантии (страхует собственные услуги), то заказчик получает даже больше, чем может реализовать сам с точки зрения информационной безопасности.

Несомненно, в первую очередь контроль качества и уровень информационной безопасности достигается обеспечением прозрачности оказываемых услуг. И здесь очень важно использовать те подходы, которые предписывает стандарт ISO 27001:2005. Заказчику должны быть продемонстрированы результаты анализа рисков в границах аутсорсинга, обоснованы меры, которые снижают риски, предоставлен доступ к информации в процессе оказания услуг. В то же время должны быть четко обозначены границы влияния заказчика на процесс оказания услуг и ответственность исполнителя. Ну и конечно, нужен внешний аудит услуг аутсорсинга, который может быть проведен в форме как добровольной сертификации, так и посредством периодических аудиторских проверок», — убежден Соболев.

Перспективы

На CIO-Форуме попытка обсудить вопрос, возможен ли аутсорсинг информационной безопасности, по сути, потерпела фиаско. Один из участников форума поставил точку в этом вопросе, ответив, что, беря в руки телефон, мы уже вынуждены передавать информацию голосом через услуги традиционного оператора связи, поэтому вопрос перешел в плоскость перспектив аутсорсинга информационной безопасности, как и на каких условиях возможна передача сокровенного третьему лицу и что этому мешает.

«Думаю, мешает — не то слово. Скорее, сдерживает. А сдерживает как раз конкретная реализация, недостаточное понимание и умение грамотно оценить такие факторы, как экономическая целесообразность, категория конфиденциальности информации и пр. Но самый главный сдерживающий фактор — это риск потери контроля над защитными средствами компании. Другими словами, сдерживает оценка рисков, связанных с утечкой конфиденциальной информации, оправданности немалых затрат на аутсорсинг и вполне оправданные опасения относительно надежности аутсорсеров. Дело даже не том, что не доверяют партнерам, дело в людях. Никакие договоры и гарантии не снимут реального опасения по отношению к людям, которым ты доверяешь самое главное — безопасность компании», — считает Попов.

Более осторожен в оценках перспектив рынка аутсорсинговых услуг информационной безопасности Голов: «Я не очень верю в развитие аутсорсинга в России в настоящее время, тем более — аутсорсинга систем информационной безопасности. Мне кажется, что мода на это прошла и народ реально начал оценивать ситуацию. Слишком велики риски, высока стоимость услуг, юридически слабо проработаны вопросы (особенно те, что касаются компенсации в случае инцидентов), нет готовности инфраструктуры (особенно в регионах)».

Точка зрения Зорина более оптимистична: «В ближайшей перспективе рынок аутсорсинга будет расти по двум причинам: стандартизация в области информационной безопасности позволит более точно и понятно проводить работы по аудиту, еще один фактор — рост ущерба от кибератак на отказ в обслуживании. Многие компании все больше зависят от бизнеса в Internet. Ужесточение законодательства в области обработки и хранения информации приводит к увеличению затрат компаний на информационную безопасность, и здесь тоже будет наблюдаться рост числа отданных на аутсорсинг проектов. В наш век информатизации и глобализации вряд ли что-то сможет негативно повлиять на развитие рынка информационной безопасности и аутсорсинга услуг информационной безопасности. Если только вмешается глобальный финансовый кризис... Но и это, пожалуй, лишь на время затормозит неуклонное развитие рынка».

Олег Седов