Поделиться
Club.CNews: Аутсорсинг информационной безопасности. Несколько слов в защиту концепта
Участвуя во всевозможных мероприятиях по информационной безопасности, с удовлетворением отметил развитие процесса «управления рисками информационной безопасности» как основополагающей и направляющей силы.
Если ранее зона ответственности ИБ представлялась как высококвалифицированная работа на грани борьбы с хакерами, то теперь значительную долю работы можно сделать с помощью мыши (слава Богу, что не всю). Межсетевые экраны уважаемых фирм говорят, что контролируют каждый байт, системы противодействия «спаму», антивирусные решения, DLP-системы, системы контроля действий пользователя и т.д. поставляются в виде готовых коробок. PLUG и, как бы, PLAY. Можно расслабиться и заняться модным трендом - качественным анализом рисков. Казалось бы.
Однако развитие ИТ не дремлет: «облака», мобильный доступ и т.д. Это сложные высокотехнологичные решения, а как их делать на местах, мало кто знает. Поэтому CIO и развивают аутсорсинг ИТ (или подряд, если угодно), справедливо полагая, что формировать свой штат, обучать его, тестировать решения и т.д. уже непозволительная роскошь для бизнеса. Не говоря о затратах на основные средства. Уровень технологии уже вышел за рамки серверной комнаты. Мир потребления достиг ИТ-сферы, можно использовать, не задумываясь, как это работает. В результате, CIO уже «там», а CISO ещё «здесь». Опять втягиваемся в рутинный процесс «обеспечения информационной безопасности», а риски потом посмотрим, когда время будет.
Кстати, что имеем в части типового «обеспечения информационной безопасности» в свете привлечения внешних поставщиков услуг?
Первое. Общесистемный вопрос – персонал. Поиск, обучение, мотивация. Отпуск, больничный, хэдхантинг. Очень хорошо, если специалисты документируют всё, к чему прикасаются, но это редкость. Менталитет диктует человекозависимость. Кроме того, считается, что работники несут, кроме технической компетенции, некое ноу-хау, «как здесь всё устроено».
Второе – вопрос внедрения решений. У всех ли есть человеческие и материальные ресурсы на построение пилотных проектов по выбору, скажем, той же DLP для нужд именно Вашей компании? Есть «волшебный квадрант», но хорошо бы всё увидеть своими глазами. Далее, решение внедрили, как его эксплуатировать? Как добиться максимума от дорогостоящего изделия?
Третье – аудиты, проверки соответствия и т.д. С учётом «горизонтальных связей» в коллективе получить истинную картину состояния может быть проблематично. Опять же вопрос квалификации, точнее опыта именно в данном аспекте. Не всегда специалист по защите персональных данных имеет практический опыт по другим направлениям.
Четвёртое – разнообразие среды обработки информации. Кто будет ставить задачу по обеспечению безопасности типовой гетерогенной среды Oracle, MS SQL, Linux, MS Exchange, CISCO? А контролировать? Нужны разноплановые специалисты хорошего уровня. Туда же к первому вопросу.
Пятое, расследование инцидентов. Понятно, что если речь идёт о серьёзных событиях, то нужны особая квалификация и специальные методики и средства.
Шестое, анализ рисков информационной безопасности. Вот тут требуется погружение в бизнес-процесс, но можно использовать в качестве дополнительного источника компетенции сторонние ресурсы.
Наконец, автоматизированные системы, работающие по принципу «одного окна», туда входные данные – обратно выходные. Скажем, удостоверяющий центр, если он есть, не обязательно должен быть именно своим.
Привлечение аутсорсинга позволило бы локальному подразделению ИБ сосредоточиться на анализе рисков информационной безопасности, то есть на том, что являет собой современное прочтение данного направления деятельности. Под термином «анализ рисков» понимается прогнозирование вариантов реализации наихудших сценариев, а не лежащие на поверхности уязвимости. Небольшое очень специфическое отступление, скажите, а Ваши серверы настроены на автоматическое корректное завершение работы при пороговом срабатывании их термодатчиков? Второстепенные серверы выключатся ли по сигналу системы бесперебойного питания о том, что электричества, к примеру, нет больше часа и хорошо бы поэкономить? Если да - Вы большой молодец, ведь дежурные админы и «дизель» не всегда спасают. Безопасность - это конфиденциальность, целостность и доступность, мда…
Кстати, вопросы передачи подрядной организации сведений ограниченного распространения решаются договорными отношениями, а с точки зрения угроз утечки информации наибольший ущерб не от специалистов ИТ или ИБ, потенциально имеющих некий доступ к данным, а от внутренних пользователей, использующих эти данные в повседневной работе, неоценённых своим руководством, просто увольняющихся «с наработками», или теряющих флешки и т.д.
Каждая компания решает сама, когда всё ещё растить своих сотрудников и покупать локальные решения, а когда уже пора переходить на аутсорсинг. Истина в разумном компромиссе, ведь стандарты требуют наличия собственных подразделений ИБ, но никто не говорит, что их численность должна быть в десятки человек. К слову, здесь не поднимались вопросы размещения сотрудников, оплаты их труда с учётом налогообложения, оснащения их рабочих мест и иные аспекты, которые принято объединять условным названием TCO.
Может, пора ломать стереотипы?
Короткая ссылка
