Аутсорсинг безопасности как бизнес

Рассматриваем основные преимущества от передачи функции обеспечения информационной безопасности профессионалам «со стороны». Рассказываем, что предусмотреть при заключении договора аутсорсинга для его максимальной эффективности

• «Число кибератак в 2022 г. выросло в три раза» — Group-IB;
• «В целом за 2022 год количество кибератак на российские компании выросло в 2 раза» — Ростелеком-Солар;
• «Общее количество инцидентов в 2022 году увеличилось на 20,8%» — Positive Technologies.

Руководители больших и маленьких компаний все чаще начинают задаваться вопросом: «А у нас все защищено?». И случается, что в ответ специалисты IT-службы пожимают плечами и стыдливо отводят глаза в сторону. Или нарочито громко заявляют: «По-другому и быть не может!», хотя в головах витает мысль: «Без понятия. ».

1. Метод «Неуловимого Джо».

«По сравнению с Microsoft и Google мы мелкие, а значит, нас никто не будет атаковать. Следовательно, и вкладываться в инфобез не нужно. Тем более он денег не приносит». Приблизительно такая логическая цепочка выстраивается в голове у многих владельцев бизнеса. Этот подход к ИБ львиной доли организаций понятен, и оспорить его сложно. Но можно.

3 причины вывести склад на аутсорсинг

Проблема в том, что он не отвечает современным угрозам безопасности.

В сегодняшнем мире компания будет взломана не потому, что кому-то интересна, а просто по факту наличия критической уязвимости на внешнем периметре или простого пароля удалённого пользователя. Вопрос с монетизацией такого взлома тоже решен: информация на компьютерах, в базах данных 1С и сетевых каталогах дорога в первую очередь владельцу, поэтому хакер просто её зашифрует, оставив сообщение с требованием выкупа.

2. Добавление задач IT-службе.

«Вроде бы и там и там компьютеры — значит, справятся». Да, и IT, и ИБ — это все про компьютеры, но подход к ним у каждой службы разный.

Задача администратора — сделать так, чтобы система работала. И, например, обработка электронной почты с административными правами и пароль «qwerty» никак этой задаче не противоречат. Безопасник же знает, как работает хакер, и для него подобные действия — верный путь к катастрофе. Потому, что перед ним стоит совсем иная задача — не допустить проникновения злоумышленников в работающую стараниями админа систему.

Вот почему айтишники и безопасники никогда не заменят друг друга. И только синергия двух этих подходов позволяет бизнесу быть уверенным в надежности IT-систем.

3. Создание собственной ИБ-службы и поручение ей задачи обеспечения ИБ.

Классика жанра в разных ее вариациях, действительно работающий вариант. Проблема лишь в том, что далеко не у каждой организации найдется достаточно ресурсов и, самое главное, грамотных специалистов для полного закрытия всех проблем по части обеспечения информационной безопасности.

Но обсудить в этой статье мы хотим четвертый подход, который может отлично работать как самостоятельно, так и в связке с предыдущими двумя. Называется он аутсорсинг, часто незаслуженно обделен вниманием и оброс множеством необоснованных мифов, которые мы и попытаемся развенчать.

55 аутсорсинг охраны труда как бизнес

Аутсорсинг — это передача организацией определенных функций (в данном случае — функции обеспечения информационной безопасности) на исполнение другой компании. Может передаваться вообще все («Сделайте нам красиво!»), а могут конкретные процессы или задачи: настройка средств защиты информации, мониторинг событий информационной безопасности, поддержание в актуальном состоянии документации и прочие.

Если немного абстрагироваться от названия и посмотреть шире, то можно увидеть, что любая услуга, которую покупает компания, будь то техническое обслуживание автомобилей, заправка картриджей или уборка клининговой компанией — все на самом деле является аутсорсингом. То есть выполнением работ для организации квалифицированным персоналом из профильной компании-подрядчика.

1. Проще. Остается в прошлом проблема с набором персонала и оценкой его квалификации. Теперь это проблема подрядчика. В условиях острого дефицита квалифицированных рабочих кадров в сфере ИБ этот плюс был и остается одним из самых значительных.
2. Дешевле. Выигрыш в цене происходит за счет распределения ресурсов аутсорсера между несколькими заказчиками, отсутствия капитальных затрат (покупка оборудования, ПО и пр.), гибкой настройки пакета услуг.
3. Быстрее. Все процессы у подрядчика уже отработаны — остается только внедрить.
4. Профессиональнее. Аутсорсинг дает возможность доступа к широкому спектру компетенций. У ИБ-аутсорсера их явно больше, чем у одного штатного сотрудника. Также не стоит забывать о глубине экспертизы и широте опыта, которые нарабатываются годами в профильных компаниях.
5. Эффективнее. Доступ к экспертам аутсорсера осуществляется «по необходимости». Например, нет нужды постоянно держать инженера в штате для расследования компьютерных инцидентов, можно обращаться за услугой только по факту инцидента.

1. Зависимость от поставщика услуг. В случае разрыва договора компания может остаться без защиты. Нивелируется заблаговременной проработкой процесса смены компании-аутсорсера.
2. Необходимость настройки пакета услуг. Как правило, предлагаются типовые услуги, которые настраиваются под конкретного заказчика. Да, согласование всех нюансов потребует времени. Но с каждым днем предложений на рынке услуг ИБ становится все больше, и они смогут закрыть потребности любого клиента.
3. Невозможность контролировать все процессы. На долю заказчика приходится только верхнеуровневый контроль в рамках договора. Но если вы платите за результат — то и особо не важно, что делается внутри у подрядчика. И даже наоборот — при правильной настройке взаимодействия с аутсорсером возможность делегировать часть рутинных контрольных функций можно считать скорее плюсом, чем минусом.

1. «Это дорого!». Выше уже упоминалось, за счет чего аутсорсинг выигрывает у штатной команды в стоимости. Добавим немного конкретики: вы не организуете рабочих мест для персонала, не платите им премий, не посылаете их на учебу, не платите за них налоги. Да, все эти издержки заложены в стоимость услуг аутсорсера, но они распределяются между множеством заказчиков. В итоге получается дешевле. По мнению компании Инфосистемы Джет, аутсорсинг дешевле штата в среднем на 20-30 %, а в некоторых случаях и на 50 %.
2. «Невозможно полноценно оценивать все процессы, точно ли аутсорсеры справятся как надо». Вопрос доверия — краеугольный в сфере ИБ. Но точно также невозможно оценить врача, который вас лечит, или педагога, который вас учит. Для того, чтобы быть уверенным в подрядчике, следует основательно подойти к вопросу его выбора. Найти надежную компанию, которой доверяете как себе, бывает нелегко, но эта игра стоит свеч.
3. «Аутсорсер имеет доступ к нашей конфиденциальной информации». Эта «опасность» нивелируется подписанием NDA (соглашение о нераспространении конфиденциальной информации), условиями договора (к чему должны иметь доступ, а к чему нет) и тонкой настройкой правил доступа специалистов подрядчика. При грамотном подходе существенных отличий между персоналом аутсорсера и вашими наемными сотрудниками не будет. Более того, у всех на слуху истории, когда увольняющийся работник в обиде удаляет (уносит конкуренту) результаты своей работы, чем наносит определенный ущерб.
4. «Исполнитель не подчиняется напрямую, из-за этого теряется оперативность». Для выполнения задач под управлением штатных сотрудников есть свой вид аутсорсинга — аутстаффинг. Вы покупаете время специалиста, и он подчиняется вам напрямую — никаких потерь драгоценного времени.
5. «Сначала нормально обслуживают, а потом ни одного выхода на работу, а деньги платить надо». Для контроля аутсорсера существует SLA (соглашение об уровне сервиса), в котором четко прописаны все его обязанности и сроки их исполнения. Нарушение подрядчиком зафиксированных в SLA договоренностей означает нарушение договора аутсорсинга, а значит, снимает с заказчика обязательства по оплате.
6. «Аутсорсеры делают небезопасные удалёнки». Тут сама формулировка намекает: если подрядчик ИБ устанавливает небезопасные удаленные подключения, он этим расписывается в своей профнепригодности. Следует отказаться от его услуг и искать проверенную компанию.
7. «Постоянно отвлекают наших штатных IT-шников». Это убеждение опровергнуть сложнее всего, ибо процесс обеспечения ИБ действительно тесно связан с ИТ. И как бы противоречиво это не звучало — информационную безопасность обеспечивают в первую очередь сотрудники службы ИТ. Специалисты ИБ занимаются контролем и выработкой мер, которые внедряют ИТ. Можно сказать, что безопасники — голова, а администраторы — руки единого организма, обеспечивающего информационную безопасность систем компании. Так что, увы — без «отвлекания айтишников» ничего не получится. Но точно также будет работать и ваш собственный специалист ИБ. Получается, это возражение касается не столько аутсорсинга, сколько работы службы ИБ в принципе.
8. «В случае если подрядчик уходит, сложно разобраться самостоятельно в том, за что отвечали аутсорсеры». Если подрядчик внедряет и эксплуатирует для вас систему информационной безопасности, в договоре аутсорсинга можно и нужно прописать для него обязательство по документированию внедряемой системы и созданию комплекта рабочих регламентов для сотрудников. Стоит отметить, что ответственный подрядчик даже после окончания контракта проконсультирует своего клиента и не оставит его у «разбитого корыта».

Источник: spark.ru

Аутсорсинг ИБ, внутренняя безопасность. Куда податься заказчику

Сегодня решили поговорить о том, готовы ли компании отдавать на аутсорсинг внутреннюю безопасность. Многие годы считалось, что нет. Но ситуация меняется. В этом посте не будем говорить про «за и против аутсорсинга», а сделаем обзор, на что может рассчитывать заказчик, если у него уже появилась потребность как-то решать проблему утечек информации.

Сразу оговоримся, мы собирали информацию о тех услугах, которые:

А) подрядчики сами называют аутсорсингом;
Б) аутсорсингом не называются, но по факту решают какой-то вопрос, который мог бы решить специалист в штате (при его наличии).

В каком-то идеальном мире задачи ИБ, и в частности защиты от инсайдерских рисков, решаются внутри компании силами штатных специалистов. Они сами раскладывают бизнес-процессы, прописывают политики безопасности, вводят режим коммерческой тайны, ведут разъяснения и обучающие курсы для сотрудников, выявляют и расследуют инциденты.

В реальной жизни есть причины, по которым компаниям приходится преодолеть презрение сопротивление и поднять вопрос о том, чтобы отдать часть задач по внутренней безопасности аутсорсеру.

Вот основные

1. Нет специалиста в штате или он есть, но перегружен, не специализируется на защите от инсайдерских рисков.
2. Дефицит кадров – компания не может найти ИБ-специалиста нужной квалификации.
3. Нет специализированного ПО для мониторинга в автоматическом режиме.
4. В целом непонятно, сколько стоит информационная безопасность, оправданы ли расходы на организацию всей этой работы.

Из чего выбирать

Если рассматривать услуги, объединенные термином «аутсорсинг внутренней информационной безопасности», в России сейчас представлены такие:

1. Аудит и анализ состояния ИТ-инфраструктуры.
2. Разработка нормативных документов.
3. Форензика (расследование инцидентов).
4. SOC (организация и обслуживание мониторингового центра).
5. Обучение/тренировка персонала.
6. Сопровождение информационных систем (систем аутентификации и авторизации, DLP, SIEM, IDS/IPS).

Временная помощь

Так как мы имеем в виду заказчика, перед которым только встал вопрос защиты от утечек данных, запрос к внешнему эксперту тут как правило такой: посмотреть настройки сетевого оборудования, оценить входящий/исходящий трафик, оценить количество внешних подключений к серверам; выстроить систему доступов; решить, какое ПО поставить на тест, а на какое не тратить время, оценить результаты тестов.

Т.е. по большому счету – «только спросить».

Предложения на рынке такого консалтинга разнообразное. На «посоветоваться» всегда можно найти и фрилансера. Но костяк рынка – это учебные центры и компании, специализирующиеся на ИБ ЦИБИТ, «Академия ИБ», АКРИБИЯ, УЦСБ, AZONE IT и другие. (Вынесем за скобки «больших советчиков» с «четверкой» аудиторов во главе – они делят львиную долю мирового оборота от ИБ-консалтинга, но их услуги доступны только крупным заказчикам).

Перечисленные игроки могут закрыть и разовые задачи, когда нужно провести какую-то работу, для которой пока нецелесообразно нанимать человека в штат: обучить персонал, адаптировать политики безопасности, привести в порядок документы на соответствие требованиям регуляторов. И конечно, расследовать нарушение или корпоративное преступление, если вдруг в компании случилось ЧП.

При этом для расследования инцидентов информационной безопасности используют не только кибер-методы (здесь самый известный игрок – Group IB). Могут добавляться и «аналоговые» инструменты: анализ документов, опросы сотрудников и т.д. Поэтому, строго говоря, детективы, полиграфологи, профайлеры – это в своих узких задачах тоже участники ИБ-аутсорсинга.

Есть на рынке предложение по тонкой настройке политик безопасности в DLP-системе. По мере внедрения у пользователя могут возникнуть попутные вопросы: как быть с «железом», как настроить допуски, какие документы подписать с сотрудниками. Независимые компании оказывают такие услуги, но по сути – это работа хороших отделов внедрения, инженеров и техподдержки самого вендора.

Рынок пока разношерстный просто в силу своего молодого возраста. Но на нем уже сформировалось изобильное предложение под большинство запросов заказчика в разовой помощи ИБ-специалиста.

Регулярный мониторинг

Если компании нужно решать не разовые задачи, а защищать информацию в постоянном режиме, потребуется DLP-система. Иначе предотвращать, выявлять и разбирать инциденты внутренней безопасности сложно. Без человека, который будет анализировать информацию из нее, софт мало эффективен. Но большинство компаний с коллективами от 100 человек часто просто не могут ответить на вопрос «оно нам надо?»

Поэтому возникает следующий уровень аутсорсинга – отдать за штат управление системой и аналитику инцидентов из DLP. Пока на этом рынке работают единицы (собственно, «СёрчИнформ», Softline, «Инфосистемы Джет»). Услуга реализуется в нескольких форматах в зависимости от уровня доступа, который заказчик готов дать аутсорсеру, то есть от доверия к нему.

Что может делать аутсорсер?

1. Мониторить события и передавать отчеты об инцидентах без какой-то их дополнительной проработки.
2. Делать первичный разбор инцидента, анализировать контекст; экстренно реагировать на критичные нарушения.
3. Делать полноценные расследования инцидента, давать рекомендации по профилактике рецидивов.

Из-за того, что рынок еще развивается, заказчику не всегда легко сформулировать запрос, выбрать формат работы с аутсорсером, расставить приоритеты контроля. Соответственно и подписание SLA со старта не всегда возможно.

Тем не менее эффективный формат взаимодействия уже получает очертания. Вот подход, в рамках которого работают зарубежные аутсорсеры (MSSP, Managed Security Services Provider):

1. Персональный ИБ-аналитик настраивает систему в соответствии с задачами, поставленными заказчиком.
2. Заказчику предоставляются максимальные полномочия в системе. Заказчик обговаривает «красные линии» и пожелания (говорит, кого выводит из-под мониторинга, уточняет наиболее актуальные задачи и т.д.)
3. Обнаружив инцидент, ИБ-аналитик связывается с заказчиком по оговоренному каналу связи (задача – донести информацию максимально быстро).
4. Предоставляет отчеты по графику и за выбранный период (раз в день/неделю/месяц).
5. Заказчик может работать в системе вместе с ИБ-аналитиком или самостоятельно.

• Информационная безопасность
• ИТ-аутсорсинг
• ИБ-аутсорсинг

• Блог компании SearchInform
• Информационная безопасность
• IT-стандарты
• Управление персоналом

Источник: habr.com

Своя служба безопасности или аутсорсинг?

Как, потратив минимум времени и усилий, сделать компанию наиболее защищенной от всевозможных угроз – исходящих от сотрудников компании и внешних? Сегодня многие объекты, находятся под круглосуточной охраной. Такая необходимость вызвана статистикой, свидетельствующей о том, что грабежи, разбои и незаконные проникновения в частную собственность остаются частым явлением.

Вариантов охраны бизнеса и имущества может быть несколько: созданная на объекте служба безопасности с самостоятельно подобранными кадрами, вневедомственная охрана (сотрудники МВД) или частное охранное предприятие, заключившее с компанией договор аутсорсинга.

Среди части руководителей российских организаций и предприятий до сих пор бытует мнение, что собственная служба безопасности справится с охраной имущества, людей и бизнеса более эффективно, нежели охранное агентство, заключившее с компанией договор аутсорсинга.

Ситуация вполне объяснимая, учитывая нежелание многих компаний, в том числе с абсолютно прозрачной налоговой историей, допускать к контролю за бизнесом сторонних сотрудников, а также доверять им сведения, являющиеся коммерческой тайной. Некоторые директора предприятий считают, что подобранные ими специалисты, находящиеся на содержании компании, смогут гарантировать более гибкий подход к безопасности бизнеса. По их мнению, за годы работы, направленной на поддержание безопасности сохранности имущества и бизнеса, штатным сотрудникам СБ становятся известны все «подводные камни».

Сегодня даже многие крупные холдинги с собственной разветвленной сетью СБ, не говоря уже о предприятиях малого и среднего бизнеса, используют аутсорсинг службы безопасности для решения определенных задач и повышения эффективности в этой сфере. Как правило, на аутсорсинг передается часть направлений комплексной безопасности. Это могут быть проверка контрагентов и партнеров компании, взаимодействие с госорганами, решение внешних конфликтов, сбор коммерческой информации, инженерно-техническое обеспечение систем безопасности (систем видеонаблюдения, СКУД и т.д.).

Менее крупными компаниями нередко на аутсорсинг передаются также вопросы кадровой безопасности (проверка нанимаемых работников, проблемные увольнения, профилактическая работа с сотрудниками) и соблюдения режима на предприятии. Конечно, чтобы обеспечить должный уровень обеспечения техническими средствами наблюдения и безопасности, лучше довериться специалистам с многолетним опытом работы. Услуги таких высококлассных технических специалистов предоставляет, например, один из отделов Группы компаний ITI – лидера на рынке безопасности, который занимается безопасностью комплексно, оказывает такие услуги, как установление каналов утечки информации, контроль за соблюдением коммерческой тайны.

Предприятия среднего бизнеса, испытывающие наибольшее давление конкурентов, подвержены максимальному количеству рисков. Накопленные активы в виде производственных мощностей и недвижимого имущества, увеличение стоимости бренда привлекают внимание рейдеров, а также нередко увеличивают прессинг со стороны криминальных структур и правоохранительных органов. С ростом стоимости компании вопросы обеспечения безопасности становятся одним из важнейших условий ее процветания.

Часто, если собственная СБ оказывается недостаточно действенной, используется помощь сторонних компаний, оказывающих услуги обеспечения безопасности на аутсорсинге. В этом случае аутсорсинговая СБ не вступает в конкуренцию с собственной службой безопасности, а перекрывает неохваченные направления для того, чтобы повысить уровень защищенности компании.

Что касается малых предприятий, то они в большей части случаев и вовсе не занимаются вопросами безопасности на постоянной основе, и аутсорсинг на этапе, когда количество работников фирмы не превышает нескольких человек, также более выгоден, чем создание и финансирование личной СБ.

Для предприятий наиболее выгодно получить в партнеры серьезного игрока не только на силовом, но и на правовом поле, ресурсы которого минимизируют все возможные риски в области безопасности бизнеса. Возьмем, к примеру, группу компаний ITI. Клиенты, которых на аутсорсинге ведет служба безопасности холдинга, чувствуют себя спокойно, зная, что при внештатной ситуации сотрудники ITI могут подключить своих коллег из других подразделений – вызвать группу немедленного реагирования, привлечь юристов, экспертов по информационной безопасности.

В век современного высокотехнологичного бизнеса вопросы безопасности компании нередко выходят за рамки компетенции личной службы безопасности. Поэтому для владельцев бизнеса, которые осознают, что не могут просчитать все возможные риски, связанные с безопасностью, разумным решением может стать реорганизация СБ и заключение договора с действительно сильным игроком на силовом и правовом поле — таким, например, как группа компаний ITI.

1. Своя служба безопасности, как правило, не способна защитить предприятие от риска утечки информации, эффективно взаимодействовать с госорганами, проверить благонадежность партнеров.
2. Риски просчитать сложно. Безопасность компании – вопрос, зачастую выходящий за рамки компетенции личной СБ.
3. Выход – партнерство с сильным игроком на силовом и правовом поле, таким например, как группа компаний ITI.

Источник: iti-group.ru