|
|
|
Насколько безопасен аутсорсинг ИБ?Аутсорсинг элементов информационной инфраструктуры набирает обороты во всем мире. Однако этот вид деятельности применительно к информационной безопасности в нашей стране только начинает переходить из теоретической плоскости в практическую. И поэтому вопросов у потенциальных заказчиков на первых порах — масса. В первую очередь всех беспокоит, насколько подобный аутсорсинг безопасен? Первый вопрос, который задается провайдерам, объявившим, что проверяемый поток (почтовый, Web, интернет пейджеров) будет проходить проверку на серверах провайдера, обычно звучит так: «…если компания действительно заботится о своей ИТ-безопасности — а через ее почтовый сервер проходят очень важные сведения — вопрос об передаче обслуживания системы защиты периметра, защиты почтового трафика, а также, к примеру, защиты Gateway в руки сторонней организации в принципе стоять не должен. Причины здесь очевидны, объяснять почему, думаю, не стоит». Если речь идет об аутсорсинге обслуживания рабочих станций или межсетевых экранов (IDS), то тон становится еще более драматичным: «… дать возможность неконтролируемого доступа во внутреннюю сеть для неавторизованного персона? Конфигурирование граничных маршрутизаторов силами аутсорсеров?! Дыра в безопасности?!» Как ни странно, подобные сомнения в крупных компаниях терзают именно «технарей». Специалисты по безопасности прекрасно знают, что по открытому (незащищенному) каналу передачи информации, коим является сеть интернет, передавать в открытом виде конфиденциальную информацию нельзя. Если же говорить в общем о безопасности работы с аутсорсером, то необходимо взглянуть на случаи утечек конфиденциальной информации. Сколько инцидентов произошло по вине сотрудников? Тысячи в год. А по вине аутсорсеров? Ни одного. Уровень внутренней безопасности аутсорсера очень высок, начиная от прохождения сертификации ISO 27001, осуществления тщательных проверок кандидатов при приеме на работу, до специально оборудованных помещений для персонала (про вопросы защищенности центров обработки данных и говорить не приходится — к этому вопросу аутсорсеры относятся очень щепетильно). Огромную роль играет репутация поставщика услуг — при хорошем реноме клиенты верят «на юридическое слово» (договор). Но чтобы заработать эту самую репутацию, необходим долгий и упорный труд. С другой стороны, аутсорсеры не всегда готовы сотрудничать с любой компанией. Перед тем как подписывать договор, желательно пройти период опробации услуг. Этот период важен не только клиенту (чтобы понять уровень качества услуг, службы поддержки, а также поработать над договором и т.д.), но и поставщику сервисов. Бывают случаи, что он не в состоянии оказать качественные услуги именно этому клиенту. Простой пример: услуга фильтрации и контроля Web трафика. Канал между клиентом и центром обработки данных провайдера не самый быстрый. В этом случае аутсорсер не может выполнить требований по задержкам в канале, даже несмотря на то, что решение данной проблемы не в компетенции аутсорсера, и он вынужден отказать клиенту. Хотя, по сравнению с другими видами в аутсорсинге ИБ отказ от предоставления услуг по инициативе поставщика услуг встречается реже. В этом бизнесе все несколько проще — или все работает сразу еще во время тестирования, или не работает вовсе — и клиент и поставщик это видят. Но если клиенту все нравится, то договор подписывается в 100% случаев. Вне зависимости от размера клиента или отрасли, в которой он работает. Аутсорсинг выгоден как малым компаниям, так и транснациональным гигантам. Только причины прихода к нему в корне разные — в первом случае у компании нет ресурсов или они ограничены, а во втором — ресурсов много, но хочется сократить издержки, сфокусировать свои силы и повысить качество обслуживания. Для последних немаловажным фактором выбора аутсорсинга является необходимость следовать различным актам и законам соответствия (compliance acts — SOX, Base II и т.д.). Ряд сервисов были специально созданы для того, чтобы облегчить большим компаниям соблюдение норм этих законов. Например, сервис архивирования электронных сообщений. По SOX все электронные сообщения, адресованные определенным лицам, должны храниться в течение 7 лет. Можно, конечно, организовать хранилище своими силами, но при использовании аутсорсинга получается выгоднее, в том числе и с экономической точки зрения. Выгоден ли аутсорсинг клиентам? Обеспечение ИБ — специфический бизнес-процесс. В нем интегрировано управление целым спектром рисков, оценка вероятного ущерба от которых зачастую не измеряется деньгами. Однако, отдельные его элементы, например, защита от спама, весьма показателен в этом вопросе: его много, его видят почти все и мешает он сильно. Вариантов решения этой задачи три: во-первых, сделать всё своими силами с использование бесплатных (Open Source) продуктов; во-вторых, своими силами, но с использованием коммерческих (платных) решений; и третий вариант — отдать решение задачи аутсорсера. На IV конференции «Проблемы спама и ее решения», проходившей в начале ноября 2006 года в Москве, выступал системный администратор крупной компании (более 3000 сотрудников), который самостоятельно, используя только Open Source продукты, избавил свою компанию от спама (качество решения пока не рассматривается). Прямые затраты на решение — ноль. А вот косвенные издержки огромны. По словам администратора, ему потребовался не один год на решение задачи и создание системы защиты от спама. Не сомнений, что это был высокооплачиваемый сотрудник, и затраты лишь на одну его зарплату составляла десятки тысяч долларов в год. Второй фактор — время, два года. Третий, пожалуй, самый важный фактор для CIO и CEO — что случится, когда этот сотрудник уволится? Сможет ли кто-нибудь разобраться в системе и поддерживать ее также эффективно? Другой вариант решения — купить коммерческое программное обеспечение. Прямые затраты уже отличны от нуля. Время, затраченное на решение задачи, будет, конечно, гораздо меньше. Но оно потребуется в будущем — на обслуживание системы. Экономическая эффективность заметно выше. Но осталась еще проблема приема спама (хотя бы SMTP сессий), перегрузок системы от спам-атак, установка новых версий, обновлений, мониторинг и т.д. Третий вариант — аутсорсинг. Да, стоимость обслуживания будет выше, чем покупка коммерческого ПО, но не в разы. При этом никаких затрат на обслуживание, а это время, которое, как известно, деньги. Например, зарплата и так перегруженных ИТ-специалистов. Второе — нет необходимости принимать весь сетевой «мусор», а это экономия на трафике, дисковом пространстве и на времени работы серверов. Кроме этого, функционал доступных сервисов больше, чем у стандартного ПО. Здесь наглядно работает принцип «платя больше, и получаешь больше, при этом еще и экономишь на косвенных издержках». То есть, при аутсорсинге очень хорошо видно, на что пошли средства: уровень косвенных затрат существенно ниже и, соответственно, все затраты «как на ладони». Из чего складывается совокупная стоимость владения? Для подсчета совокупной стоимости владения (TCO) системой борьбы со спамом необходимо учитывать все факторы, влияющие на стоимость обслуживания на протяжении всего жизненного цикла продукта в компании: от выбора решения, до деинсталляции. При этом за время жизни продукта принимается три года. Фаза планирования. Во-первых, систему необходимо выбрать. Затем выбранное решение необходимо протестировать. По завершении тестирования необходимо восстановить стенд в первоначальное состояние. Причем, чем сложнее реальная ИТ-инфраструктура, тем сложнее должен быть стенд, и тем дольше продлится тестирование. Разумеется, на фазе планирования необходимо составить план внедрения и развертывания системы. Чем больше филиалов, а так же удаленных подразделений, тем сложнее будет внедрение. Приобретение. Фаза приобретения решения также состоит из нескольких этапов. Сначала необходимо найти поставщика, затем провести переговоры с выбранным поставщиком согласовать цены, условия поставки, технического обслуживания и поддержки. Далее, покупка будет согласована внутри компании и совершена покупка. Последний этап — обучение персонала, ответственного за обслуживание приобретаемого оборудования и программного обеспечения. Установка, интеграционные работы и настройка. Все приобретенное оборудование и программное обеспечение необходимо установить согласно плану развертывания, разработанному ранее. Затем оборудование необходимо интегрировать в уже существующую инфраструктуру, произвести перенастройку (если требуется) и первоначальную настройку программного обеспечения. При установке в филиалах можно сэкономить время за счет использования уже один раз настроенной конфигурации (если в компании используются типовые конфигурации). Повседневная работа. После того как система будет установлена и настроена, администратор, во-первых, должен периодически тестировать систему с тем, чтобы быть уверенным, она функционирует в штатном режиме. Во-вторых, антивирус и антиспам необходимо периодически обновлять, что требует расходов на трафик. В большинстве компаний происходят кадровые перестановки, в связи с этим необходимо добавлять и удалять пользователей, менять настройки в уже работающей системе. И наконец, при возникновении сбоев в системе, требуется время на восстановление и на общение со службой поддержки. Обновление и патчи. За время жизни продукта разработчик системы выпускает, как правило, две новых версии (или «больших» обновления). Установку новой версии необходимо спланировать и протестировать на специальном стенде. Также после установки новой версии требуется провести дополнительные настройку и обучение персонала. Кроме плановых выпусков новых версий выпускаются еще и патчи (заплатки). Их количество может доходить до 10-12 в год (чаще всего два патча в год). На их установку также требуется дополнительное время. И чем сложнее ИТ-инфраструктура предприятия, тем больше времени потребуется на установку новых версий и патчей. Завершение использования. На этой фазе необходимо деинсталлировать программное обеспечение, деинтегрировать аппаратные средства и модифицировать настройки таким образом, что бы ИТ инфраструктура функционировала без системы информационной безопасности. Условный пример из реальной жизни. Исходные данные: компания, в которой работает 1100 человек, два почтовых сервера. Час работы администратора обходится предприятию 19 долларов (компания не в Москве). Каталожная стоимость решения на 3 года — около 40.000 долларов. Трех летние услуги аутсорсера обходятся в 67.000 долларов. Цель: обеспечить безопасность почтовых потоков. Задача: сравнить TCO «стандартного» решения и на основе аутсорсинга. На первый взгляд использование покупного решения кажется гораздо дешевле. Однако мы не учитываем косвенных издержек: стоимость рабочего времени в случае использования собственных сил составила бы 23.353 долларов, а во втором (аутсорсинг) — 4. 219 долларов (разница около 1.000 рабочих часов за три года или более 6 человеко-месяцев). Далее, необходимо сравнить затраты на трафик. Исходя из среднерыночной цены за передачу одного Гигабайта данных, стоимость обновлений и антивируса, и антиспам решения составит около 2.500 долларов в год, а трафик, генерируемый спамом, в наше время стоит компаниям около 4. 500 долларов в год. Итого, TCO с учетом всех факторов: обычного решения — около 81.000 долларов, а аутсорсинга — 59.000 долларов. Не стоит забывать про 6 месяцев сэкономленного времени, которое можно направить на решение других задач! И последний по порядку, но не по значимости фактор — у своего специалиста могут быть свои, личные проблемы. Директор по ИТ другой крупной компании описывает: «системный администратор может заболеть. У него может быть отпуск или рожает жена. Наконец, он занят, потому что сейчас пишет на что-то на болванку DVD. А вот в случае аутсорсинга с подрядчиком подписывается SLA (соглашения об установлении уровня сервисов). В конце концов, это договорные отношения». Именно так. Взаимоотношения с аутсорсером строятся на договорной основе и заказчик получает не только гарантии по уровню качества, но и возможность применить санкции в случае нарушения гарантий. Много ли внутренних специалистов готово подписать такое соглашение и, тем более, его выполнять? Быстро растущий бизнес Выгоден ли аутсорсинг ИБ как бизнес? Кто может быть поставщиком подобных услуг? На этот вопрос необходимо ответить другим вопросом — а может ли, скажем, Web-студия написать антивирус? Наверное, да, но качество этой разработки будет не очень высоким. Поставщиком любых услуг должен быть профессионал, эксперт. И экспертизу надо нарабатывать. Годами. Бизнес аутсорсинга ИБ выгоден и перспективен, иначе бы им не занимались десятки компаний в мире и не меньше 5 в России, вот только настоящих профессионалов не очень много, но такая картина наблюдается на любом молодом, растущем и перспективном рынке. Аутсорсинг ИБ набирает обороты во всем мире, в том числе и в России. В мире объем рынка услуг ИБ составляет чуть более 400 млн долларов. Данных о выручке никто не раскрывает, но эксперты говорят, что за 2006 год все российские поставщики услуг этого рода заработали не более 0,5 млн долларов. Сюда не включаются услуги аутсорсера по фильтрации почтового трафика вместе с хостингом почтового сервера. Ожидается, что в 2007 году эта цифра вырастет раза в три минимум. 2008 год будет не менее успешным. Планка в 10 миллионов, по оценкам специалистов, будет достигнута в обозримом будущем. Эта цифра считается пороговой, после которой на рынке следует ожидать появления глобальных игроков. Следствием станет обострение конкуренции. Остается надеяться, что за это время российские поставщики успеют дорасти до необходимого уровня, что бы составить достойную конкуренцию мировым грандам. Андрей Никишин |