Аутсорсинг информационной безопасности в России: страшно ли передавать ИБ в чужие руки

Аутсорсинг информационной безопасности в России: страшно ли передавать ИБ в чужие руки

Аутсорсинг информационной безопасности в России: страшно ли передавать ИБ в чужие руки

Каковы основные преимущества и подводные камни передачи функций по обеспечению информационной безопасности профессионалам «со стороны»? Можно ли таким образом и сэкономить ресурсы, и повысить общую киберустойчивость?

 

 

 

 

 

 

  1. Введение
  2. Рынок аутсорсинга информационной безопасности
    1. 2.1. Современная концепция аутсорсинга информационной безопасности на рынке
    2. 2.2. Внутренние специалисты против аутсорсинга: выбор оптимального варианта
    3. 2.3. Оценка экономической целесообразности аутсорсинга
  3. Выбор лучшего провайдера услуг по информационной безопасности
    1. 3.1. Риски, связанные с аутсорсингом
    2. 3.2. Выбор провайдера услуг
    3. 3.3. Ответственность и гарантии провайдеров в сфере информационной безопасности
  4. Прогнозы экспертов по развитию аутсорсинга
  5. Выводы

Введение

Аутсорсинг ИБ становится всё более популярным способом защитить корпоративные данные и системы. Обеспечение информационной безопасности за счёт ресурсов стороннего поставщика услуг может уменьшить затраты, повысить эффективность и уровень защищённости (о существующих решениях по обеспечению ИБ читайте в нашей подборке). Это может быть привлекательным вариантом для тех организаций, которые не имеют внутренних ресурсов или опыта для эффективного управления своей кибербезопасностью. Однако важно тщательно оценить потенциальные риски и преимущества, а также выбрать надёжного поставщика услуг.

 

Рисунок 1. Эксперты отрасли в студии телепроекта AM Live

Эксперты отрасли в студии телепроекта AM Live

 

Спикеры прямого эфира:

  • Максим Ежов, руководитель отдела продуктового развития сервисов MSS, Angara Security;
  • Александр Быков, руководитель направления сервисов защиты, Nubes;
  • Константин Мушовец, директор USSC-SOC, УЦСБ;
  • Вячеслав Железняков, директор по развитию бизнеса, группа компаний SolidLab;
  • Александр Голубчиков, руководитель направления развития продуктов кибербезопасности, «МегаФон ПроБизнес»;
  • Екатерина Сюртукова, руководитель департамента сервисов кибербезопасности, Innostage;
  • Дмитрий Карасев, руководитель направления развития сервисов безопасности и образовательных продуктов, «Лаборатория Касперского».

Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «АМ Медиа».

 

 

Рынок аутсорсинга информационной безопасности

Современная концепция аутсорсинга информационной безопасности на рынке

Что же такое аутсорсинг в 2024 году?

Вячеслав Железняков:

— Аутсорсинг информационной безопасности — это совокупность работ по программному обеспечению, оборудованию, которыми пользуется компания, но которые ей при этом не принадлежат.

 

Вячеслав Железняков, директор по развитию бизнеса, группа компаний SolidLab

Вячеслав Железняков, директор по развитию бизнеса, группа компаний SolidLab

 

Екатерина Сюртукова добавила, что любая задача или функция становится аутсорсинговой, если передаётся в ведение внешней экспертной компании, вне зависимости от сложности выполняемой работы. Главным отличительным признаком является передача управления сервис-провайдеру, при условии, что контроль качества остаётся на стороне заказчика, считает Дмитрий Карасев.

Ведущий предложил экспертам дать ответ на вопрос, почему компании всё чаще переходят на аутсорсинг. Первым поделился своим мнением Максим Ежов, отметивший, что главным фактором в настоящее время является кадровый голод. При острой нехватке специалистов передача части функций сторонней экспертной компании может значительно снизить нагрузку на них. Также эксперт отметил, что каждое решение в области информационной безопасности требует особой узкой компетенции, а найти такого специалиста, который бы в равной степени владел всеми необходимыми навыками, весьма трудно. В такой ситуации также приходит на помощь аутсорсинг.

 

Илья Шабанов, ведущий и модератор дискуссии , генеральный директор «АМ Медиа» 

Илья Шабанов, ведущий и модератор дискуссии , генеральный директор «АМ Медиа»

 

Александр Быков отметил, что в связи с быстрым развитием рынка информационных технологий компании принимают решение отдавать часть процессов, которые ещё не успели модернизировать, сторонним компаниям, что позволяет идти в ногу со временем. Ещё одним важным двигателем повышения спроса на аутсорсинг, по мнению Екатерины Сюртуковой, является импортозамещение. Действительно, многие компании столкнулись с необходимостью перехода на отечественные аналоги, и сторонние организации позволяют быстро осуществить переход на новое оборудование с последующей поддержкой его работоспособности.

Дмитрий Карасев поделился с коллегами мнением, что аутсорсинг позволяет руководителям компаний оценивать степень эффективности вложений в информационную безопасность, а также отслеживать работу организации.

 

Дмитрий Карасев, руководитель направления развития сервисов безопасности и образовательных продуктов, «Лаборатория Касперского»

Дмитрий Карасев, руководитель направления развития сервисов безопасности и образовательных продуктов, «Лаборатория Касперского»

 

Ведущий обобщил мнения экспертов и отметил, что немаловажным фактором развития отрасли является отсутствие прямых ограничений на применение аутсорсинга со стороны ФСТЭК и ФСБ России. Однако следует учитывать, что ответственность за ИБ-инциденты всегда лежит на заказчике (предлагаем нашу подборку самых громких российских ИБ-инцидентов 2023 года). Именно поэтому надо ответственно подходить к выбору провайдера.

 

Рисунок 2. Что ограничивает вас в использовании аутсорсинга ИБ?

Что ограничивает вас в использовании аутсорсинга ИБ?

 

Ведущий продемонстрировал результаты опроса, согласно которым 32 % респондентов обеспокоены отсутствием реальной ответственности у провайдера. 27 % опрошенных видят значительные риски несанкционированного доступа. 24 % считают, что стоимость услуг провайдера слишком высока. Эти и другие факторы препятствуют более активному использованию ИБ-аутсорсинга.

Внутренние специалисты против аутсорсинга: выбор оптимального варианта

Вопрос доверия очень остёр в работе как со своей командой, так и со сторонней организацией, отмечает спикер Екатерина Сюртукова. При этом определяющим фактором при выборе является уровень экспертности и подготовки специалистов. Также не стоит забывать и о методах контроля за работой системы информационной безопасности, которые необходимо применять независимо от того, кто выполняет работу.

Что дешевле: аутсорсинг или собственная команда? Анализ стоимости каждая компания проводит исходя из личных особенностей и потребностей. При оценке затрат однозначно стоит учитывать, сколько ресурсов потребуется для достижения одного и того же результата при работе собственной команды и на аутсорсинге.

В настоящее время многие компании отдают провайдерам построение систем как по информационной безопасности, так и по информационным технологиям. Однако Екатерина Сюртукова считает, что реагирование по ключевым бизнес-системам не стоит отдавать на аутсорсинг. Пристального контроля со стороны заказчика требуют и все технологические решения.

Оценка экономической целесообразности аутсорсинга

Велико количество примеров, когда аутсорсинг дешевле, напоминает Вячеслав Железняков. Ведь один специалист, даже самый квалифицированный, не может заменить экспертную команду.

Бизнес-задача является определяющим фактором в оценке эффективности работы команды по информационной безопасности, отметил Александр Быков. В связи с необходимостью комплексного подхода и большой сложностью чаще всего дешевле обратиться за помощью в сторонние организации.

 

Александр Быков, руководитель направления сервисов защиты, Nubes

Александр Быков, руководитель направления сервисов защиты, Nubes

 

Константин Мушовец считает, что при выстраивании системы защиты на долгосрочный период чаще является более выгодным отказаться от аутсорсинга и отдать предпочтение собственной команде.

Эксперт Дмитрий Карасев добавил, что необходимо постоянно совершенствовать систему безопасности. И если начальные инвестиции можно точно определить, то стоимость обновления всех сервисов предсказать крайне сложно. Учитывая затраты на повышение квалификации сотрудников, модернизацию оборудования и программного обеспечения, выгоднее всё же прибегнуть к аутсорсингу.

Стоимость программного обеспечения несравнима со стоимостью команды, поделился своим опытом спикер Александр Голубчиков. На горизонте длительного планирования собственная команда будет значительно дороже аутсорсинга.

 

Александр Голубчиков, руководитель направления развития продуктов кибербезопасности, «МегаФон ПроБизнес»

Александр Голубчиков, руководитель направления развития продуктов кибербезопасности, «МегаФон ПроБизнес»

 

Обращение к сторонним организациям также целесообразно для разовых проектов, когда программное обеспечение требуется на короткий промежуток времени.

Выбор лучшего провайдера услуг по информационной безопасности

Риски, связанные с аутсорсингом

В договоре должны быть прописаны правила отчуждения, потому что чрезвычайно важно, чтобы контент всегда оставался у заказчика. Также необходимо проверять внешними сервисами качество работы провайдера. Эти правила помогут значительно снизить связанные с аутсорсингом риски, отметила спикер Екатерина Сюртукова.

Эксперты указали на важность проработки условий и договоров с сервис-провайдером для минимизации рисков, которые могут возникнуть при отказе от аутсорсинга или при масштабировании компании.

 

Рисунок 3. Какую главную задачу вы хотели бы решить с помощью аутсорсинга ИБ?

Какую главную задачу вы хотели бы решить с помощью аутсорсинга ИБ?

 

По данным опроса зрителей телеэфира AM Live, 34 % респондентов хотят решить с помощью аутсорсинга проблему нехватки кадров. 30 % выразили желание повысить уровень защищённости. 15 % опрошенных высказались за сокращение затрат на ИБ.

Выбор провайдера услуг

При выборе провайдера услуг стоит обратить внимание на время реакции на запросы. Это позволит понять, перегружен ли поставщик, хорошо или плохо у него выстроены внутренние процессы, отметил Константин Мушовец.

 

Константин Мушовец, директор USSC-SOC, УЦСБ

Константин Мушовец, директор USSC-SOC, УЦСБ

 

Дмитрий Карасев отметил важность качественной проработки договора с указанием зон ответственности заказчика и исполнителя.

Екатерина Сюртукова обратила внимание экспертов на широту экспертизы, так как качественно выполнить поставленную задачу может только та компания, которая отлично работает как в информационных технологиях, так и в информационной безопасности.

Необходимо также учитывать, как компания — поставщик услуг способна защитить сама себя, как у неё выстроены процессы по информационной безопасности и какие кейсы она имеет, отметил спикер Александр Голубчиков.

Хороший провайдер должен проявлять гибкость, поделился своим мнением Вячеслав Железняков, и предоставлять немного больше услуг, чем изначально было прописано в договоре.

Максим Ежов добавил, что пилотный проект или демоверсия на этапе заключения договора являются показателем работоспособности компании. При этом заказчик имеет возможность оценить скорость работы технических специалистов, их гибкость и навыки коммуникации, сделать вывод о зрелости поставщика услуг.

 

Максим Ежов, руководитель отдела продуктового развития сервисов MSS, Angara Security

Максим Ежов, руководитель отдела продуктового развития сервисов MSS, Angara Security

 

Несомненна важность выбора в пользу такого провайдера услуг, который имеет широкий набор компетенций — даже при том, что специализированный провайдер может оказывать качественные услуги на конкретном решении.

Ответственность и гарантии провайдеров в сфере информационной безопасности

Сервис страхования, по мнению спикера Екатерины Сюртуковой, проще всего реализовать для простых сервисов. Это важно для понимания того, когда наступает страховой случай и что необходимо сделать для его предотвращения.

 

Екатерина Сюртукова, руководитель департамента сервисов кибербезопасности, Innostage

Екатерина Сюртукова, руководитель департамента сервисов кибербезопасности, Innostage

 

Реализовать детальную страховую модель при построении системы информационной безопасности «под ключ» весьма трудно. Это приводит к значительному увеличению стоимости контракта, поэтому заказчик чаще всего принимает решение страховать только критически важные системы.

Если заказчик не понимает, какую услугу он хочет получить, то сторонняя компания может понести серьёзные репутационные последствия, отмечает Константин Мушовец. Иногда заказчик просит предоставить уровень сервиса, который не соответствует тому решению, которое он покупает. В этих случаях для минимизации рисков необходимо грамотно выстроить диалог и определить необходимый перечень сервисов.

 

Рисунок 4. Какой ответственности и возмещения какого ущерба по SLA вы ожидаете от провайдеров услуг по ИБ?

Какой ответственности и возмещения какого ущерба по SLA вы ожидаете от провайдеров услуг по ИБ?

 

Согласно результатам опроса, показанным ведущим, 38 % зрителей хотели бы получать от провайдера компенсации за пропущенные инциденты, за причинённый ущерб и за упущенную прибыль. 23 % респондентов ожидают уголовной ответственности для объектов КИИ. 10 % будут довольны хотя бы скидкой.

Прогнозы экспертов по развитию аутсорсинга

Аутсорсинг, по мнению экспертов, продолжит развиваться в ответ на меняющиеся потребности предприятий и технологические достижения.

  • Дефицит квалифицированных специалистов и автоматизация процессов будут способствовать росту аутсорсинга услуг информационной безопасности.
  • Аутсорсинг будет становиться более гибким и автоматизированным, позволяя предприятиям адаптировать услуги под свои конкретные потребности.
  • Предприятия будут отдавать предпочтение тем аутсорсинговым партнёрам, которые гарантируют достижение определённых результатов.
  • Компании будут всё больше осознавать важность информационной безопасности и обращаться к аутсорсинговым партнёрам для обеспечения защиты своих данных и систем.
  • Сложные аутсорсинговые услуги будут становиться более стандартизированными, а стек технологий будет продолжать развиваться, обеспечивая новые возможности для оптимизации и инноваций.

В целом, аутсорсинг будет оставаться важной стратегией для предприятий, стремящихся повысить свою эффективность, сократить расходы и получить доступ к специализированным навыкам и технологиям.

 

Рисунок 5. Каково ваше мнение об аутсорсинге ИБ после эфира?

Каково ваше мнение об аутсорсинге ИБ после эфира?

 

После просмотра эфира 44 % зрителей отметили, что верят в потенциал аутсорсинга. 28 % респондентов по-прежнему скептически относятся к аутсорсингу, несмотря на усилия экспертов. 14 % опрошенных открыты для тестирования новых возможностей.

Выводы

Аутсорсинг может обеспечить ряд преимуществ, включая доступ к специализированным знаниям и навыкам, снижение затрат и повышение гибкости. Тем не менее важно помнить о рисках, связанных с аутсорсингом, таких как потеря контроля над данными и зависимость от стороннего поставщика.

При выборе провайдера услуг по информационной безопасности важно учитывать такие факторы, как опыт, репутация и финансовая стабильность. Также важно убедиться, что провайдер имеет чёткие соглашения об уровне обслуживания (SLA) и предоставляет надёжные гарантии безопасности.

Прогнозы экспертов по развитию аутсорсинга информационной безопасности в целом положительны. Ожидается, что рынок будет продолжать расти в ближайшие годы, поскольку всё больше организаций признают важность защиты своих данных и систем.

В целом, аутсорсинг информационной безопасности может быть эффективным способом укрепить кибербезопасность и сосредоточиться на основных бизнес-целях. Однако важно тщательно оценить потенциальные риски и преимущества, а также выбрать надёжного провайдера услуг.

Телепроект AM Live еженедельно собирает экспертов отрасли в студии для обсуждения актуальных тем российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru