Рассматриваем основные преимущества от передачи функции обеспечения информационной безопасности профессионалам «со стороны». Рассказываем, что предусмотреть при заключении договора аутсорсинга для его максимальной эффективности

Иллюзия защищенности личных и корпоративных данных «по умолчанию», еще недавно царившая в умах большинства, понемногу начинает развеиваться. Все чаще в СМИ появляются новости об очередном взломе, «утечке», успешных компьютерных атаках:

Руководители больших и маленьких компаний все чаще начинают задаваться вопросом: «А у нас все защищено?». И случается, что в ответ специалисты IT-службы пожимают плечами и стыдливо отводят глаза в сторону. Или нарочито громко заявляют: «По-другому и быть не может!», хотя в головах витает мысль: «Без понятия…».

Задача обеспечения информационной безопасности компании — не тривиальная. Есть несколько подходов к ее решению:

  1. Метод «Неуловимого Джо».

«По сравнению с Microsoft и Google мы мелкие, а значит, нас никто не будет атаковать. Следовательно, и вкладываться в инфобез не нужно. Тем более он денег не приносит». Приблизительно такая логическая цепочка выстраивается в голове у многих владельцев бизнеса. Этот подход к ИБ львиной доли организаций понятен, и оспорить его сложно. Но можно. Проблема в том, что он не отвечает современным угрозам безопасности.

В сегодняшнем мире компания будет взломана не потому, что кому-то интересна, а просто по факту наличия критической уязвимости на внешнем периметре или простого пароля удалённого пользователя. Вопрос с монетизацией такого взлома тоже решен: информация на компьютерах, в базах данных 1С и сетевых каталогах дорога в первую очередь владельцу, поэтому хакер просто её зашифрует, оставив сообщение с требованием выкупа.

  1. Добавление задач IT-службе.

«Вроде бы и там и там компьютеры – значит, справятся». Да, и IT, и ИБ — это все про компьютеры, но подход к ним у каждой службы разный.

Задача администратора – сделать так, чтобы система работала. И, например, обработка электронной почты с административными правами и пароль «qwerty» никак этой задаче не противоречат. Безопасник же знает, как работает хакер, и для него подобные действия – верный путь к катастрофе. Потому, что перед ним стоит совсем иная задача – не допустить проникновения злоумышленников в работающую стараниями админа систему.

Вот почему айтишники и безопасники никогда не заменят друг друга. И только синергия двух этих подходов позволяет бизнесу быть уверенным в надежности IT-систем.

  1. Создание собственной ИБ-службы и поручение ей задачи обеспечения ИБ.

Классика жанра в разных ее вариациях, действительно работающий вариант. Проблема лишь в том, что далеко не у каждой организации найдется достаточно ресурсов и, самое главное, грамотных специалистов для полного закрытия всех проблем по части обеспечения информационной безопасности.

Но обсудить в этой статье мы хотим четвертый подход, который может отлично работать как самостоятельно, так и в связке с предыдущими двумя. Называется он аутсорсинг, часто незаслуженно обделен вниманием и оброс множеством необоснованных мифов, которые мы и попытаемся развенчать.

Аутсорсинг — это передача организацией определенных функций (в данном случае — функции обеспечения информационной безопасности) на исполнение другой компании. Может передаваться вообще все («Сделайте нам красиво!»), а могут конкретные процессы или задачи: настройка средств защиты информации, мониторинг событий информационной безопасности, поддержание в актуальном состоянии документации и прочие.

Если немного абстрагироваться от названия и посмотреть шире, то можно увидеть, что любая услуга, которую покупает компания, будь то техническое обслуживание автомобилей, заправка картриджей или уборка клининговой компанией — все на самом деле является аутсорсингом. То есть выполнением работ для организации квалифицированным персоналом из профильной компании-подрядчика.

В аутсорсинге информационной безопасности есть множество плюсов:

  1. Проще. Остается в прошлом проблема с набором персонала и оценкой его квалификации. Теперь это проблема подрядчика. В условиях острого дефицита квалифицированных рабочих кадров в сфере ИБ этот плюс был и остается одним из самых значительных.

  2. Дешевле. Выигрыш в цене происходит за счет распределения ресурсов аутсорсера между несколькими заказчиками, отсутствия капитальных затрат (покупка оборудования, ПО и пр.), гибкой настройки пакета услуг.

  3. Быстрее. Все процессы у подрядчика уже отработаны – остается только внедрить.

  4. Профессиональнее. Аутсорсинг дает возможность доступа к широкому спектру компетенций. У ИБ-аутсорсера их явно больше, чем у одного штатного сотрудника. Также не стоит забывать о глубине экспертизы и широте опыта, которые нарабатываются годами в профильных компаниях.

  5. Эффективнее. Доступ к экспертам аутсорсера осуществляется «по необходимости». Например, нет нужды постоянно держать инженера в штате для расследования компьютерных инцидентов, можно обращаться за услугой только по факту инцидента.

Конечно, не обходится и без минусов. Пожалуй, будет правильнее назвать их «подводными камнями», которые можно успешно обойти при должной подготовке:

  1. Зависимость от поставщика услуг. В случае разрыва договора компания может остаться без защиты. Нивелируется заблаговременной проработкой процесса смены компании-аутсорсера.

  2. Необходимость настройки пакета услуг. Как правило, предлагаются типовые услуги, которые настраиваются под конкретного заказчика. Да, согласование всех нюансов потребует времени. Но с каждым днем предложений на рынке услуг ИБ становится все больше, и они смогут закрыть потребности любого клиента.

  3. Невозможность контролировать все процессы. На долю заказчика приходится только верхнеуровневый контроль в рамках договора. Но если вы платите за результат – то и особо не важно, что делается внутри у подрядчика. И даже наоборот – при правильной настройке взаимодействия с аутсорсером возможность делегировать часть рутинных контрольных функций можно считать скорее плюсом, чем минусом.

Что же останавливает компании от передачи ИБ на аутсорсинг? Возражения и страхи, вызванные, как правило, отсутствием опыта работы с адекватным и профессиональным подрядчиком и неактуальные на практике:

  • «Это дорого!». Выше уже упоминалось, за счет чего аутсорсинг выигрывает у штатной команды в стоимости. Добавим немного конкретики: вы не организуете рабочих мест для персонала, не платите им премий, не посылаете их на учебу, не платите за них налоги. Да, все эти издержки заложены в стоимость услуг аутсорсера, но они распределяются между множеством заказчиков. В итоге получается дешевле. По мнению компании Инфосистемы Джет, аутсорсинг дешевле штата в среднем на 20-30 %, а в некоторых случаях и на 50 %.

  • «Невозможно полноценно оценивать все процессы, точно ли аутсорсеры справятся как надо». Вопрос доверия — краеугольный в сфере ИБ. Но точно также невозможно оценить врача, который вас лечит, или педагога, который вас учит. Для того, чтобы быть уверенным в подрядчике, следует основательно подойти к вопросу его выбора. Найти надежную компанию, которой доверяете как себе, бывает нелегко, но эта игра стоит свеч.

  • «Аутсорсер имеет доступ к нашей конфиденциальной информации». Эта «опасность» нивелируется подписанием NDA (соглашение о нераспространении конфиденциальной информации), условиями договора (к чему должны иметь доступ, а к чему нет) и тонкой настройкой правил доступа специалистов подрядчика. При грамотном подходе существенных отличий между персоналом аутсорсера и вашими наемными сотрудниками не будет. Более того, у всех на слуху истории, когда увольняющийся работник в обиде удаляет (уносит конкуренту) результаты своей работы, чем наносит определенный ущерб.

  • «Исполнитель не подчиняется напрямую, из-за этого теряется оперативность». Для выполнения задач под управлением штатных сотрудников есть свой вид аутсорсинга — аутстаффинг. Вы покупаете время специалиста, и он подчиняется вам напрямую – никаких потерь драгоценного времени.

  • «Сначала нормально обслуживают, а потом ни одного выхода на работу, а деньги платить надо». Для контроля аутсорсера существует SLA (соглашение об уровне сервиса), в котором четко прописаны все его обязанности и сроки их исполнения. Нарушение подрядчиком зафиксированных в SLA договоренностей означает нарушение договора аутсорсинга, а значит, снимает с заказчика обязательства по оплате.

  • «Аутсорсеры делают небезопасные удалёнки». Тут сама формулировка намекает: если подрядчик ИБ устанавливает небезопасные удаленные подключения, он этим расписывается в своей профнепригодности. Следует отказаться от его услуг и искать проверенную компанию.

  • «Постоянно отвлекают наших штатных IT-шников». Это убеждение опровергнуть сложнее всего, ибо процесс обеспечения ИБ действительно тесно связан с ИТ. И как бы противоречиво это не звучало – информационную безопасность обеспечивают в первую очередь сотрудники службы ИТ. Специалисты ИБ занимаются контролем и выработкой мер, которые внедряют ИТ. Можно сказать, что безопасники – голова, а администраторы – руки единого организма, обеспечивающего информационную безопасность систем компании. Так что, увы – без «отвлекания айтишников» ничего не получится. Но точно также будет работать и ваш собственный специалист ИБ. Получается, это возражение касается не столько аутсорсинга, сколько работы службы ИБ в принципе.

  • «В случае если подрядчик уходит, сложно разобраться самостоятельно в том, за что отвечали аутсорсеры». Если подрядчик внедряет и эксплуатирует для вас систему информационной безопасности, в договоре аутсорсинга можно и нужно прописать для него обязательство по документированию внедряемой системы и созданию комплекта рабочих регламентов для сотрудников. Стоит отметить, что ответственный подрядчик даже после окончания контракта проконсультирует своего клиента и не оставит его у «разбитого корыта».

Подводя итоги, можно сказать, что аутсорсинг информационной безопасности – дело ответственное и требующее внимания заказчика на начальном этапе. Однако, при правильном подходе, имеющее массу преимуществ и по многим параметрам более эффективное, чем содержание собственной службы ИБ. Особенно для небольших компаний. Надеемся, что мы смогли донести всю выгоду аутсорсинга в реализации системы информационной безопасности и развенчать самые распространенные страхи, связанные с ним. Главное в этом деле – найти «своего» аутсорсера: ответственного эксперта, с кем вам и вашей компании будет удобно и спокойно.

Комментарии (1)


  1. danilbal
    12.04.2023 10:50

    Аутсорсинг всегда зло, даже по Вашим аргументам:

    Это дорого - вместо оплаты учебы, премий, налогов своей команды, приходится оплачивать ту же учебу, ту же премию, и даже налоги чужой команды, плюс налоги, премии, учебу их начальства, уборщиц, секретарш.

    Квалификация специалистов аутсорсеров всегда ниже. Все всегда оптимизируют и кроме пары по-настоящему толковых спецов в команде аутсорсера, остальные просто бывшие студенты, набирающие опыт. А специалистов я и не увижу никогда, в лучшем случае этот студент будет звонить и переспрашивать.

    В нашей стране (да и в прочих не сильно лучше) NDA особо ничего не значит, потери от утечек и сливов компенсировать не сможет. Даже если через годы добиться судебной компенсации, толку от этого будет уже мало.

    Про оперативность как раз можно решить, указав в договоре SLA. По времени - практически единственное что можно измерить, но аутстаф это вообще что-то странное и непонятно чем он может быть лучше найма своего сотрудника.

    Про SLA указать что-то измеримое кроме времени реакции всегда тяжело, даже время устранения (проведения работ) чаще всего не может быть заранее определено, а вписывать каждую работу на десятки страниц - не выйдет. В результате ответственности толком и не выходит.

    Про небезопасные удаленки вообще жуткий вопрос, но то что если атака делает удаленку невозможной, помощь аутсорсера можно и не ждать - это факт.

    Про взаимосвязи ИТ и ИБ можно спорить, чаще всего ИБешнику от ИТешника требуется разве что патч-менеджмент, большинство же задач вполне разделяется. Но это больше от структуры зависит.

    И последнее, если любой подрядчик уходит - разобраться будет сложно, вне зависимости от того, наемный это работник или подрядчик, и вне зависимости от того придет на его место подрядчик или работник. Документации каждый пишет "для себя" любой и все равно придется ее корректировать.

    Подводя итог, вполне допустимо привлекать подрядчика для проведения какого-либо объема работ, внедрения СОИБ, модернизации. Но на постоянное обеспечение защищенности - я бы не стал. И для понимания - это по опыту работы с подрядчиками и аутсорсерами, а не мои фантазии.