Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

ИТ-безопасность в чужие руки — надёжно и выгодно?

ИТ-безопасность в чужие руки — надёжно и выгодно?

Недавно мы рассматривали оправданность расходования средств на обеспечение ИТ-безопасности в компании по различным направлениям и вероятным угрозам. Есть ли способ повысить уровень ИТ-безопасности в компании и, возможно, хорошо сэкономить при этом? А как вам мысль отдать безопасность вашей компании в сфере ИТ на аутсорсинг?

Первая реакция на такое предложение — резкое неприятие самой идеи — отдавать на откуп сторонней компании святая святых компании, важнейшую информацию, стратегический ресурс... Список можно довольно долго продолжать. Однако, не будем торопиться, рассмотрим все за и против спокойно и без эмоций. В вопросе обеспечения ИТ-безопасности у сторонней компании есть ряд очевидных преимуществ.

Кто в компании отвечает за обеспечение безопасности? Сотрудники компании. Чем они рискуют в случае своего участия в компрометации данных? Практически ничем, кроме увольнения, а судебное преследование не рассматриваем, ввиду малой распространённости этого явления в родных пенатах. Репутация? Смешно. Идя на преступление, злоумышленник взвешивает все возможные риски и значит вопрос с его репутацией уже для него решён — у него непременно есть материальная или моральная (после успешного “дела” его обязательно возьмут на другую более заманчивую работу) заинтересованность в совершении преступления против своей компании. А вот сторонней компании, взявшей на себя заботу о вашей информационной безопасности абсолютно не всё равно, какая у неё репутация. Даже один подтверждённый факт компрометации данных клиента по вине компании-аутсорсера способен поставить крест на всём бизнесе аутсорсера по ИТ-безопасности. Итак, в области мотивации обеспечения ИТ-безопасности сторонняя компания пока опережает собственных сотрудников компании.

Ещё один плюс — эффективность выполнения работы. Как правило, в компаниях у сотрудников ИТ-службы нет конкретных специализаций — все они “специалисты во всём”, в том числе и в обеспечении ИТ-безопасности. В отличии от них, у хорошей компании-аутсорсера специалисты по обеспечению ИТ-безопасности для большей эффективности всегда специализированы для выполнения своих задач и, таким образом, теоретически обеспечат более высокое качество в обеспечении информационной безопасности компании.

И, наконец, про главное — вопрос цены. Сможет ли компания сэкономить на обеспечении ИТ-безопасности, наняв компанию-аутсорсера? Рассмотрим типичные ситуации, например, собственный специалист компании по обеспечению ИТ-безопасности внезапно заболел (взял отпуск по семейным обстоятельствам, рожает ребёнка и т.п.). Т.е. на какое-то время никто в компании эту безопасность не обеспечивает. С компанией-аутсорсером такая ситуация возникнуть не может в принципе, в конце-концов, SLA подписано и уровень услуг необходимо поддерживать, иначе смотри плюс № 1 про репутацию. Таким образом, даже переплатив за услуги сторонней компании, вы можете быть уверены, что эти услуги будут выполнены в любом случае (или можно понести штрафные санкции, компенсировать убытки и т.п.) соответственно риск понести убытки по вине ИТ-безопасности существенно снижаются. Многие ли собственные сотрудники готовы подписать соглашение о компенсации убытков, случившихся по их вине? Далее — никаких затрат с вашей стороны на обслуживание системы обеспечения безопасности, покупку специализированного ПО, его настройку, обучение персонала — это всё вопросы, решаемые сторонней компанией. Если эта компания занимается вашим внешним трафиком и почтой, соответственно она “режет” весь спам, нежелательные файлы, закачиваемые сотрудниками и фильтрует запросы ваших сотрудников (одноклассники-вконтактики) — вот вам ещё один плюс в виде экономии на входящем/исходящем трафике, плюс место на жёстких дисках серверов и рабочих станций.

Возможно, я перечислил и не все достоинства передачи функций обеспечения ИТ-безопасности сторонней компании на аутсорсинг, но и того что было рассмотрено вполне достаточно. Если кто-то может справиться с задачей лучше вас за разумную цену, думаю для человека здравомыслящего решение очевидно.

Дополнительные материалы

Комментарии (1)

  • Аватар

    Ларькин Денис Юрьевич [Vasy911], 03 июля 2011, 01:24

    1
    Красиво в теории, хуже в практике.

    Фраза " А вот сторонней компании, взявшей на себя заботу о вашей информационной безопасности абсолютно не всё равно, какая у неё репутация." - мало применима в России, ну может быть к 5-10 компаниям занимающимся информационной безопасностью это не применимо. У нас половина компаний каждые несколько лет юр лица меняют, какая тут уж репутация.

    "Т.е. на какое-то время никто в компании эту безопасность не обеспечивает. С компанией-аутсорсером такая ситуация возникнуть не может в принципе, в конце-концов, SLA подписано и уровень услуг необходимо поддерживать, иначе смотри плюс № 1"

    Часто хорошо только на словах, в бытность свою работая в одном интеграторе, видел и не раз, что квалификация сотрудников может ОЧЕНЬ отличаться и если сотрудник, который "вел" компанию заболел и уволился а поставили низкоквалифицированного - то куча ругани, напряжения, взаимоупреков. Наблюдаю ту же ситуацию с позиции заказчика, сотрудники сопровождения сильно отличаются квалификацией.

    "Далее — никаких затрат с вашей стороны на обслуживание системы обеспечения безопасности" - это миф. Будут как капитальные затраты, так и операционные. Начиная от "обновления версии системы разработчика А, на новую" , заканчивая - новые смарткарты, ключи, и т.п. Не будет оутсорсер это брать все на себя, либо ежемесячная цена будет сильно не разумной.