Привет, Хабр! Сегодня мы хотим поделиться интересным мнением портала TAG Cyber о перспективах расширения бизнеса сервис-провайдеров (MSP) в области киберзащиты, что должно сделать их MSSP (Managed Security Service Providers). Под катом — разбор мнения экспертов из последнего квартального отчета, включая 5 основных препятствий, которые мешают MSP успешно развивать экспертизу в сфере ИБ. Если вы работаете в компании сервис-провайдере или хотели бы увидеть такие услуги в портфеле вашего MSP, приглашаем вас принять участие в опросе и обсудить вопрос трансформации MSP в MSSP в комментариях.
Бизнес полагается на сервис-провайдеров — MSP. И на сегодня это неоспоримый факт, потому что емкость рынка MSP оценивается примерно в $200 миллиардов. Большинству компаний удобнее отдать хотя бы часть ИТ на аутсорсинг. Но уж если избавляться от ИТ функций, логично отдать вместе с ними и вопросы защиты информации. Чтобы взять на себя эту задачу провайдеры безопасности (MSSP — Managed security service providers) должны располагать уже отработанными практиками и согласно контрактам (если их составляли юристы заказчика) принимать на себя ответственность за бреши в системах ИБ, если они приведут как каким-то реальным инцидентам.
Сегодня мы расскажем о том, как видят процесс появления сервисов киберзащиты эксперты портала TAG Cyber, которые каждый квартал готовят огромный 100-страничный отчет-исследование о рынке информационной безопасности. Это действительно уважаемое издание (стоит отметить хотя бы тот факт, что TAG Cyber считает Acronis “Distinguished Vendor” :), и на страницах 2021 2nd Quarter Report можно найти много интересного, включая интервью, оценки экспертов, сравнения решений в сфере ИБ, аналитику и даже некоторые технические материалы. Однако особого внимания заслуживает позиция редакторов о трансформации MSP в MSSP и практические рекомендации по ее осуществлению.
Что нужно малому бизнесу?
Несмотря на то, что MSSP — это лишь часть большого рынка MSP, его емкость уже оценивается в $30 миллиардов. С одной стороны, эксперты TAG Cyber уверены, что он мог бы быть и больше, если бы многие представители малого и среднего бизнеса попросту не отказывались от средств ИБ из-за недостатка бюджетов. Но с другой стороны, именно эта отложенная потребность создает предпосылки к внедрению сервисов безопасности провайдерами по всему миру. Ведь они могли бы принести MSP дополнительный доход, обеспечивая бизнесу ту защиту, в которой он нуждается.
Стоит отметить, что помимо ежеквартальных исследований и отчетов портал TAG Cyber также развивает программу Cyber Corps, которая помогает малому бизнесу разобраться в вопросах ИБ. Интересно, что по результатам отзывов ее участников предприниматели прекрасно знают о потребности в киберзащите, но часто не могут решить, что вообще им нужно с точки зрения ИБ. Для этого не хватает ресурсов, компетенции или просто времени.
Поэтому многие представители бизнеса склоняются к тому, чтобы отдать ИБ в целом на откуп MSSP и “жить спокойно”. И фактически здесь существует три пути развития событий — заказчик может решить, что все очень сложно и просто вытеснить проблему ИБ из своего сознания (до первого серьезного инцидента), найти своего провайдера MSSP и попросить сервис-провайдера с ним интегрироваться (что сложно и не всегда получается) или получить услуги ИБ от того же провайдера, с которым он уже работает. Поэтому для всех будет проще, если услуги киберзащиты будут предлагаться из тех же рук, что и прочие ИТ сервисы.
Трансформация из MSP в MSSP
По данным TAG Cyber подобная трансформация начала происходить и за последние годы набирает заметные обороты (конечно, первым делом на западных рынках). Изучение основных проблем, с которыми сталкивались провайдеры на этом пути, стало основой для базовых рекомендаций. Пожалуй, их действительно необходимо соблюдать, чтобы проект внедрения новых сервисов стал прибыльным делом, а не проблемной дырой в бюджете. Итак, TAG Cyber рекомендует 5 основных шагов, которые нужно совершить провайдерам до выкатки экспертизы MSSP на рынок.
Стратегия: Большинству сервис-провайдеров не удается добавить сразу весь спектр сервисов безопасности в свое портфолио. Причина — в нехватке средств. Ведь для того, чтобы внедрить весь спектр решений для всего жизненного цикла нужно внедрить сразу несколько решений, наработать экспертизу, организовать их продвижение — в общем потратить немало денег. Поэтому лучше всего выбрать сначала те области, в которых лежат потребности уже существующих клиентов. Для кого-то это будет защита эндпоинтов, для других — организация резервного копирования с восстановлением из облака и так далее.
Технологии: Если направление для развития экспертизы безопасности выбрано, нужно решить, что будет проще и выгоднее — создать самостоятельно, купить или взять в аренду (например, заключив соглашение с провайдером MSSP). Прежде чем сделать выбор, провайдерам нужно тщательно взвесить финансовый эффект от каждой из моделей в долгосрочной перспективе. Например, эксперты TAG отмечают, что партнерские соглашения легче заключить, но часто они приводят к более высокой стоимости сервисов для конечных заказчиков, а значит — к потере конкурентных преимуществ.
Подготовка персонала и обучение: Допустим, оптимальный способ внедрения новых решений был найден. Но перед тем, как они начнут окупаться, нужно обеспечить техническую поддержку в режиме 24x7x365 (а также желательно разработать методы реагирования на случай обнаружения инцидентов). Сможете ли провайдер нанять достаточно экспертов в области ИБ? Будут ли организованы тренинги и обучения, чтобы персонал был в курсе всех новшеств из области киберзащиты? Если для предоставления услуг было выбрано партнерское решение, сможет ли вендор своевременно провести инструктаж, сопровождать обновления и апгрейды? На все эти вопросы нужно найти ответы раньше анонса новых предложений.
Интеграции: Как сказал бы КО, “ИБ не может существовать отдельно от ИТ. Но если заглянуть в вопрос интеграции глубже, можно найти массу оптимизаций для упрощенного менеджмента и мониторинга просто за счет взаимодействия разных систем управления на уровне API. Однако некоторые устаревшие системы вообще ни с чем не интегрируются без доработки напильником. Да и современные продукты порой просто не очень хорошо работают с какими-то определенными другими решениями. Так что провайдерам нужно убедиться еще и в том, что новые сервисы будут работать нормально, не создавая зоопарка систем и дополнительной нагрузки на персонал.
Ценообразование: Если все основные вопросы решены, сервис-провайдеры могут получить хорошую прибыль от услуг в сфере безопасности просто за счет масштаба — если одни и те же решения и сотрудники, обслуживают разных клиентов. При этом эксперты TAG отмечают, что провайдеры могут выставлять достаточно высокие цены за действительно экспертную поддержку, но в сфере базовых услуг максимальный спрос следует ожидать от малого бизнеса, который просто не может позволить себе дорогие услуги, равно как и самостоятельное развитие экспертизы в сфере ИБ.
Так стоит ли ожидать, что MSP будут становиться MSSP?
На глобальном уровне добавление к модели MSP сервисов MSSP — это прекрасная возможность для бизнеса. Однако далеко не все провайдеры пока встают на этот путь, потому что для оказания услуг безопасности недостаточно просто купить какие-то новые решения или заключить соглашения с действующими MSSP. Для перехода требуется поэтапный план, продуманная стратегия и поддержка со стороны клиентов. Поэтому ожидать трансформации MSP в MSSP действительно стоит, но, вероятно, она будет происходить постепенно и завершится успехом только для тех компаний, которые будут внедрять новые сервисы постепенно и в полном соответствии с ожиданиями клиентов.