Информационная безопасность как сервис

Национальный Банковский Журнал: Почему самое время для aутсорсинга ИБ?

09.03.2016

Статья в журнале NBJ скачать PDF файл

Денис Гущин,
заместитель генерального директора по сопровождению сервисов ИБ ГК Инфосекьюрити;

Александр Дворянский,
коммерческий директор ГК «Инфосекьюрити»


«Бюджет ИБ сокращаем в два раза! Сейчас не время тратиться на мифическую безопасность, и в период кризиса деньги больше нужны на спасение бизнеса». Эти слова все чаще сегодня звучат на совещаниях во многих компаниях. Зачастую отсутствие осознания прямой угрозы заставляет руководство компаний сокращать издержки за счет целевых проектов ИБ и рядовых специалистов по данному направлению. С одной стороны, это действительно имеет экономический эффект. С другой стороны, модернизация процессов ИБ затормаживается, квалифицированные специалисты тонут в «текучке», а число удачных атак значительно возрастает, как и «цена» каждой такой атаки для компании.

В данных условиях наиболее незащищенными остаются банки, которые представляют наиболее подверженную кризису и пользующуюся наибольшим интересом у злоумышленников отрасль. Ни для кого не секрет, что аутсорсинг информационной безопасности в последнее время набирает обороты и, по мнению экспертов, в ближайшие кризисные годы станет основным инструментом обеспечения безопасности для кредитно-финансовых организаций.

Тому есть ряд предпосылок и причин:

1. Направления ИБ у компании, как правило, делятся на исполнение требований регуляторов (compliance); исполнение типовых требований безопасности, с точки зрения необходимости и адекватности; реализацию специфических требований, обусловленных особенностями инфраструктуры и бизнес-процессов организации.

Требования регуляторов вполне унифицированные для большинства компаний кредитно-финансового сектора. Типовые требования интуитивно понятны для руководства большинства компаний и опираются на типовые угрозы ИБ (требования по использованию антивирусных средств, систем Интернет-фильтрации и пр.), потому реализуются априори как обязательные. Со специфическими требованиями немного сложнее, так как они появляются после глубокого анализа и должны иметь скорее нестандартную реализацию.

Для первого и второго направления аутсорсинговые компании имеют разработанные и оптимизированные сервисы. Именно по этой причине, компания-заказчик покупая сервисы у аутсорсинговой компании получает коробочный продукт, который быстро разворачивается, легко интегрируется в существующие процессы и по причине своей унифицированности для «аутсорсера» позволяет снизить материальные издержки. Более того, и для реализации специфических требований, учитывая огромный опыт аутсорсинговых компаний, удается разрабатывать сервисы, которые будут более экономически эффективными для заказчика, нежели разработка и сопровождение аналогичных собственными силами.

2. В кризисное время, когда происходит сокращение персонала, и урезаются бюджеты, наиболее затронутыми являются сотрудники ИБ. Зачастую ответственные по направлению ИБ в компании оставляют небольшую группу высококвалифицированных специалистов (а иногда и одного!), на которых возлагаются все защитные и организационные функции. По сути, у сотрудников не остается времени на формирование и реализацию специфических требований по ИБ, а все рабочее время уходит на выполнение рутинной работы. Компания остается фактически без защиты. В этом случае привлечение аутсорсинговой компании позволяет высвободить высококвалифицированные ресурсы компании под реализацию сложных и наиболее важных проектов ИБ. Рутинная работа полностью делегируется на аутсорс, со стороны заказчика в этой схеме остается единственная функция – контроль.

Безусловно, переход на сервис-ориентированную модель со стороны заказчиков должен происходить осознанно, исходя из реальных потребностей и сформулированных критериев. Компания, которая покупает сервис, должна быть полностью уверена в его необходимости, а также доверять его поставщику. Для этого на сегодняшний день разработано множество инструментов объективной оценки, которые фиксируются в договорных отношениях. При этом, что касается выбора аутсорсинговой компании на молодом и развивающемся рынке, когда правила игры только формируются, главным критерием, конечно же, будет являться опыт и ее репутация.

С полной версией статьи, а так же итогами круглого стола посвященного Антикризисной информационной безопасности в финансовом секторе можно ознакомится здесь: http://nbj.ru/archive/2016/03/144.html

Отправить заявку
Вы не представились
некорректный адрес
поле не заполнено