Аутсорсинг информационной безопасности: преимущества, риски и перспективы
В чем преимущества и риски ИБ-аутсорсинга. Какие задачи можно доверить внешним исполнителям, а что оставить внутри компании
Эксперт с более чем 40-летним опытом работы в направлении кибербезопасности
К услугам ИТ-аутсорсинга бизнес уже привык. Это выгодно и удобно: можно оптимизировать затраты, привлечь профессионалов и сконцентрироваться на ключевых процессах. Но когда речь заходит об информационной безопасности, компании проявляют гораздо большую осторожность. Тем не менее вызовы последних лет заставляют по-новому взглянуть на вопросы ИБ.
В чем преимущества и риски ИБ-аутсорсинга? Что может предложить российский рынок? Какие задачи можно доверить внешним исполнителям, а какие лучше оставить внутри компании? Рассказывает Олег Босенко, директор департамента по кибербезопасности IBS.
Ситуация на рынке информационной безопасности
Еще несколько лет назад на российском ИБ-рынке большинство крупных системных решений были иностранного производства. Особенно если говорить про высокопроизводительную аппаратную часть, т.к. бизнесу нужны продукты, способные обеспечить работу с большими потоками и объемами информации.
Если в таких сегментах, как антивирусное ПО, SIEM, сканеры отечественные решения уже давно не уступают иностранным, то в других сферах отечественным продуктам было сложно конкурировать в функциональности. Поэтому они применялись преимущественно в тех областях, где требовался высокий уровень конфиденциальности, а использование иностранных средств было запрещено нормативными документами.
Ситуация существенно изменилась после 2022 года, когда многие глобальные вендоры покинули РФ. К этому времени российские продукты по подавляющему большинству направлений начали догонять зарубежные по качеству. Например, уже есть вполне конкурентоспособные отечественные решения для контроля пользователей, управления средствами межсетевого экранирования. Но по некоторым направлениям, несмотря на общий прогресс, отставание сохраняется. Это касается программно-аппаратных решений для межсетевого экранирования для крупного бизнеса, а также средств контроля безопасности программного обеспечения.
Стоит также отметить изданный в мае 2022 года указ Президента РФ N 250. Владельцы таких объектов до 1 января 2025 года обязаны перейти на отечественные средства защиты информации.
Сейчас на российском ИБ-рынке можно выделить две ключевые потребности. Во-первых, нужно выстроить архитектуру внедрения отечественных средств ИБ во взаимодействии с ИТ-архитектурой. Во-вторых, необходимо организовать техподдержку этих средств. Пока только самые крупные ИБ-компании обладают достаточной партнерской сетью для поддержки своих продуктов.
Ситуация с кадрами тоже непростая. Хотя инженеров по информационной безопасности на рынке достаточно, в то же время наблюдается нехватка специалистов более высокого уровня, таких как ИБ-архитекторы и эксперты по анализу и управлению системами безопасности.
В такой ситуации все более востребованными становятся услуги по ИБ-аутсорсингу.
Что можно отдать на аутсорс
Аутсорсинг информационной безопасности — это не просто передача управления безопасностью информационных систем сторонней организации. Речь идет о включении внешних специалистов в процесс защиты данных. Это как доверить другим людям управление замком от квартиры. Хотя вы подписываете договор и соглашение по уровню предоставляемых услуг (SLA), риски, связанные с передачей контроля, все равно остаются. И эти риски надо оценивать при принятии решения. Следует учитывать, что и внутренние ресурсы тоже не могут гарантировать абсолютную защиту информации. На этом балансе рисков всегда принимается решение об аутсорсинге.
Мой коллега, Василий Саутин, руководитель дирекции по развитию бизнеса IBS, считает, что передача задач информационной безопасности на аутсорсинг — это стратегический шаг, требующий тщательного анализа рисков и возможностей, выходящих за рамки обычной экономии или повышения удобства. Каждая компания должна взвесить, какие аспекты ИБ можно доверить внешним исполнителям, а какие лучше оставить под собственным контролем. Универсального решения здесь не существует: то, что подходит одной организации, может оказаться неэффективным или даже опасным для другой. Важно учитывать уникальные потребности бизнеса, уровень зрелости внутренних процессов и степень готовности к сотрудничеству с внешними подрядчиками. Только такой взвешенный и индивидуальный подход позволит не только минимизировать риски, но и максимально использовать потенциал аутсорсинга для обеспечения устойчивой и надежной защиты корпоративной информации.
Однако крупным компаниям в любом случае не рекомендуется переводить на аутсорсинг:
- информационные ресурсы топ-менеджмента;
- системы, содержащие государственную тайну;
- системы, которые пока находятся на стадии внедрения и оказывают значительное влияние на архитектуру всего информационного ландшафта.
Также стоит помнить, что для ИБ-аутсорсинга важно физическое присутствие специалиста в том же городе, где находится компания-заказчик. Работа по инцидентам редко проводится в удаленном формате в отличие от поддержки ИТ-систем в целом.
Кроме того, законодательство запрещает размещать значимые объекты критической инфраструктуры в облачной инфраструктуре. Они должны оставаться в собственности владельца. Так что он не может просто отдать облачной компании свои ресурсы на аутсорс вместе с защитой информации, придется пустить аутсорсинг к себе «в дом».
ИБ-аутсорсинг основывается на договорных отношениях, поэтому важно четко и подробно прописать в документах все аспекты защиты и обслуживания. Обычно используется работа по модели T&M, когда заказчик оплачивает подрядчику фактически затраченное время и использованные материалы.
Плюсы ИБ-аутсорсинга для заказчика
- Обеспечение информационной безопасности в условиях кадрового дефицита. Аутсорсинг позволяет решать проблемы ИБ, даже когда на рынке наблюдается дефицит высококвалифицированных специалистов.
- Экономия ресурсов. При аутсорсинге специалист привлекается для выполнения конкретного объема задач. Нет необходимости нанимать его в штат и постоянно оплачивать его работу. Быстрый ввод и вывод аутсорсингового персонала позволяют гибко реагировать на изменения в потребностях компании.
- Качество. Аутсорсинговые компании несут ответственность за качество предоставленных услуг. Они подбирают и обучают своих специалистов, гарантируя высокий уровень профессионализма и надежности. Это освобождает заказчиков от необходимости самостоятельно оценивать и развивать компетенции сотрудников в области ИБ.
- Широкая экспертиза. Аутсорсеры работают с клиентами из различных отраслей экономики, накапливая опыт и знания в разных сферах. Оплачивая услуги одного внешнего сотрудника, заказчик получает доступ к возможностям целого коллектива.
Несмотря на риски, связанные с передачей контроля внешним подрядчикам, ИБ-аутсорсинг дает компании значительные преимущества, позволяя обеспечить устойчивость и безопасность бизнеса в условиях растущих киберугроз и постоянно усложняющихся технологий.