Техническая библиотека CITForum.ru CITKIT.ru - все об Open Source Форумы Курилка
Все новости / Все статьи Деловая газета - шквал(!) IT-новостей :: CITCITY.RU
Первая полоса ИТ-Инфраструктура Телекоммуникации Безопасность BI Интеграционные платформы КИС IT-бизнес Ширпотреб Точка зрения

11.12.2018

Новости:


Все новости

Безопасность

Аутсорсинг IT-безопасности в российском бизнесе

Аутсорсинговая модель организации систем IT-безопасности только зарождается в России. Мировой опыт показывает, что первые шаги будут довольно трудными для поставщиков услуг - требуется преодолеть осторожное отношение к аутсорсингу со стороны потенциальных заказчиков.

Для начала хотелось бы дать определение. Аутсорсинг — передача стороннему подрядчику некоторых бизнес-функций или частей бизнес-процесса компании. Это делается с целью концентрации собственных усилий на традиционных работах, выполняемых собственным персоналом и собственными ресурсами. Передавать на аутсорсинг можно все бизнес-процессы, которые не являются основными для компании. Для аутсорсинга IT-безопасности также используются термины Managed Security Service («управляемый сервис безопасности») или Hosted Security. Кроме того, многие провайдеры подобных услуг не называют себя аутсорсерами, а предпочитают именоваться MSS-провайдерами или HS-провайдерами. Возникает законный вопрос: считать ли организацию антивирусной защиты или, говоря более широко, организацию IT-безопасности ключевой компетенцией компании? Можно ли отдать на аутсорсинг эту функцию? Если можно, то что выиграет фирма, использующая аутсорсинг? Существуют ли случаи, когда использование аутсорсинга не применимо?

В общем виде IT-безопасность не является профильной задачей для организации. Исключение составляют лишь компании, которые сами специализируются на безопасности. Следовательно, отдать IT-безопасность на аутсорсинг можно. Проще и логичнее всего отдавать на аутсорсинг системы защиты периметра — защиту почтового трафика, шлюзов, организацию VPN и систем обнаружения вторжений (Intrusion Detection System). То есть те службы, которые контактируют с внешним миром и которые можно «вынести» за пределы периметра предприятия безболезненно.

В качестве примера аутсорсинга системы IT-безопасности рассмотрим аутсорсинг защиты почтового трафика. Для клиента все выглядит более чем просто — достаточно изменить MX-запись в DNS, и все почтовые сообщения начнут поступать на серверы сервис-провайдера. Там будет происходить обработка писем, а затем чистая почта будет доставляться серверу клиента. Единственное, что должен сделать клиент, указать, что именно он не хочет получать на свой почтовый сервер, например спам, вирусы, порнографические изображения или некоторые прикрепленные файлы (attachments), и что необходимо делать с этой нежелательной корреспонденцией, скажем, удалить или отправить в карантин. В результате все работает, как швейцарские часы (схема 1). Клиенту незачем знать, какие технологии используются у аутсорсера, сколько у него серверов и сколько человек следит за этими серверами.

Схема 1Аутсорсинг фильтрации электронной почты

Разумеется, провайдеры услуг не ограничиваются функциями защиты почтового трафика. Все современные сервисы гарантируют высочайшую безотказность. Так, в случае проблем с почтовым сервером клиента провайдеры гарантируют, что почта не потеряется, а будет сохраняться в специальной базе у провайдера. Более того, некоторые провайдеры предоставляют веб-доступ к этой базе (веб-почта) на то время, пока специалисты заказчика восстанавливают свой почтовый сервер. То есть даже при возникновении проблем с почтовым сервером работа компании не прервется. У сотрудников организации будет возможность получать и отправлять почту.

Другой интересной возможностью для аутсорсинга является услуга по резервному копированию всех почтовых сообщений. Деятельность публичных компаний ограничена законодательными и нормативными актами, регулирующими информационные потоки в компании: Basel II, SOX (Sarbanes-Oxley Act of 2002), HIPAA и другие. Чтобы соответствовать законодательным актам, необходимо, в частности, обеспечивать копирование всех почтовых сообщений и хранение их в течение длительного срока. Именно такой сервис и предоставляют аутсорсеры. В России пока нет подобных актов, но информация о том, что проекты подобных законов рассматриваются во властных структурах, уже есть.

В чем же преимущества использования аутсорсинга по сравнению с другими вариантами? Как правило, сервисы защищают от всех угроз. Если говорить о сервисах защиты почтового трафика, то защита осуществляется от спама, вредоносных программ, атак хакеров (в первую очередь DHA-атак, направленных на обнаружение реальных почтовых адресов). Кроме этого, сервисы защиты почтового трафика минимизируют риски, связанные с неработоспособностью почтового сервера клиента.

В целом же, для подключения к сервису не требуется дополнительного программного и аппаратного обеспечения. Временные затраты на подключение минимальны. Иногда стоимость внедрения традиционной системы информационной безопасности превосходит планируемую стоимость в связи с необходимостью дополнительного приобретения аппаратного, программного обеспечения или установки дополнительных «заплаток» или обучения персонала и т. д. При использовании же аутсорсинга стоимость внедрения всегда однозначна.

С точки зрения IT-специалиста выгоды от применения аутсорсинга IT-безопасности несколько другие.

Во-первых, гарантируется оптимальная и постоянно развиваемая защита. Как известно, для обеспечения надежной защиты периодически требуется обновлять систему IT-безопасности. Сервисы находятся в постоянном развитии и всегда поддерживаются в наиболее актуальном, с точки зрения обеспечиваемой защиты, состоянии. При этом никаких затрат, как временных, так и материальных, клиент не несет.

Во-вторых, нет необходимости беспокоиться об обновлении программного обеспечения или каких-либо баз (например, вирусных сигнатур) даже в случае критических ситуаций. Сервисы находятся на стороне сервис-провайдера, все необходимые обновления устанавливаются автоматически сразу же после их создания и тестирования.

В-третьих, полная независимость сервиса и IT-инфраструктуры. Ведь у клиента могут быть любые серверы, работающие на любой операционной системе.

В-четвертых, минимальный срок запуска системы защиты в эксплуатацию. Использование сервисов действительно позволяет включить систему защиты в течение нескольких минут.

Наконец, в-пятых, для систем защиты почтового трафика сервисы обеспечивают значительное снижение входящего почтового трафика и однозначное предсказание его объема. В связи с тем, что весь нежелательный контент будет отсеян и остается только легитимная почта, количество которой примерно постоянно, системный администратор может легко рассчитать нагрузку на корпоративный почтовый сервер. Также исключаются пиковые нагрузки, вызванные спамерскими рассылками.

Кому и почему может быть интересен сервис?

Типичным потребителем услуг аутсорсинговых компаний является средняя компания, бизнес которой быстро развивается, появляются новые люди, а IT-инфраструктура не успевает за ростом компании. В штате уже есть IT-специалист, но его сил не хватает, чтобы в одиночку (или с коллегой) развивать инфраструктуру и поддерживать в актуальном состоянии существующее программное и аппаратное обеспечение, обучать персонал и т. д. В итоге или страдает бизнес, или, что бывает довольно часто, компьютеры компании постоянно подвергаются различным атакам (вирусным, хакеров или спама). Передача части функций третьей стороне позволит IT-специалисту сфокусироваться на бизнес-инфраструктуре компании и не заниматься каждодневным обслуживанием систем IT-безопасности.

У малых компаний ситуация похожа — для таких компаний экономически невыгодно (да и не имеет смысла) содержать в штате высококвалифицированного и дорогого сотрудника по IT-безопасности, который бы настраивал и постоянно следил за системой защиты почтового трафика. Используя сервисную модель организации IT-безопасности, можно полностью переложить заботу о работоспособности системы на квалифицированных экспертов.

Для крупных компаний на первый план выходит сокращение издержек при использовании аутсорсинга и возможность ввести единую политику безопасности для различных филиалов. Поскольку применение сервиса позволяет проверять и защищать в одном месте трафик со всех филиалов, внедрить единую политику безопасности для всех филиалов становится очень просто.

Еще одна причина, побуждающая компании воспользоваться услугами аутсорсеров, — это нехватка квалифицированного персонала. С одной стороны, нанимать подобных специалистов дорого, еще дороже удержать, если невозможно обеспечить такого человека интересной для него работой. С другой стороны, можно обучить своего сотрудника, но где гарантия, что в дальнейшем он не перейдет в другую (обычно более крупную) компанию?

Как выбрать провайдера услуг аутсорсинга IT-безопасности?

Если посмотреть на бизнес провайдера услуг аутсорсинга, то получается своеобразная пирамида, состоящая из четырех частей (схема 2).

Схема 2Бизнес провайдера услуг аутсорсинга

Верхушка пирамиды — это стандартное (или слегка модифицированное) программное обеспечение, используемое провайдером. Те самые антивирусные движки, системы контентной фильтрации, межсетевые экраны и прочие программы, которые в большинстве своем может самостоятельно приобрести и установить каждый.

Второй слой — это инфраструктура, на которой работает сервис, — серверы, маршрутизаторы, центры данных (datacenter). Такой слой уже сложнее воспроизвести у клиента. Посудите сами: есть ли необходимость в развертывании нескольких дата-центров распределенных территориально, скажем, для почтовой инфраструктуры предприятия? Для очень крупной транснациональной компании такой шаг может быть оправдан, но для остальных — нет. А для провайдера услуг это необходимое условие надежной работы.

Третий слой — специальное программное обеспечение, некое ноу-хау, позволяющее добиваться особенных результатов по сравнению со стандартными программами. Обычно эти системы тщательно охраняются от утечки и содержат патентованные технологии, уже не доступные обычным пользователям.

И наконец, последний и самый важный слой — основание пирамиды — специалисты, обслуживающие сервисы. У «правильного» провайдера работают «правильные» сотрудники, для которых IT-безопасность является основной профессиональной деятельностью, которые постоянно отслеживают угрозы и могут быстро модифицировать сервисы с тем, чтобы клиенты были постоянно под защитой. Одним словом — эксперты по IT-безопасности.

Выбирая провайдера аутсорсинга IT-безопасности, следует внимательно посмотреть, какие люди работают в компании, являются ли они экспертами в IT-безопасности или это просто IT-специалисты, способные грамотно настроить стандартные программы. Обратите внимание на инфраструктуру провайдера — обеспечит ли она повышенную отказоустойчивость и надежность по сравнению с собственной инфраструктурой организации. Следует внимательно отнестись и к программному обеспечению, которое используется у провайдера. Есть ли специализированные программы, или в наличии лишь стандартный набор? В любом случае клиент имеет право знать все подробности до того, как заключит договор.

Выгоден ли аутсорсинг?

Скажем прямо, стоимость услуг всегда выше, чем в варианте «все сделай сам». Ведь стирать в прачечной дороже, чем дома, обед в ресторане обойдется дороже по сравнению с подобным же обедом, приготовленным дома. Но в случае ресторана, сколько времени необходимо затратить, чтобы купить продукты, а затем и приготовить обед? Сможете ли вы гарантировать схожее качество? Такая же картина и с аутсорсингом IT-безопасности. Стоимость услуг аутсорсеров выше, чем стоимость стандартного программного обеспечения. Но, как говорилось, услуги аутсорсеров не ограничиваются обслуживанием стандартного программного обеспечения. Кроме того, стоит подсчитать время, которое IT-специалисты смогут сэкономить и заняться задачами, несоизмеримо более важными для бизнеса, не говоря уже о том, что системный администратор и руководство компании будут избавлены от ряда проблем. Подводя итог, можно однозначно сказать, что аутсорсинг выгоден экономически, несмотря на более высокие начальные инвестиции.

В заключение следует отметить, что аутсорсинг IT-безопасности — новое и пока вызывающее опасения направление для России. Со временем бизнес должен преодолеть сомнения относительно преимуществ использования модели аутсорсинга для защиты предприятий от IT-угроз, поскольку это действительно выгодно.



"Экспресс Электроника"

Комментарии

Greedy, Tue Feb 27 08:08:01 2007:
Самое главное согласятся ли корпоративные клиенты доверить свою информацию третьей стороне. Понятно что формально это делается подписанием соглашений о неразглашении NDA и тп. Но на практике ИБ-аутсорсер никогда не сможет гарантировать, что утечек информации с его стороны не будет.
MoGol, Tue Feb 6 10:13:51 2007:
Цитата:
Возникает законный вопрос: считать ли организацию антивирусной защиты или, говоря более широко, организацию IT-безопасности ключевой компетенцией компании? Можно ли отдать на аутсорсинг эту функцию? Если можно, то что выиграет фирма, использующая аутсорсинг? Существуют ли случаи, когда использование аутсорсинга не применимо?

Я так и не увидел ответа на последний вопрос. Общее впечатление от статьи, Лаборатория Касперского активно рекламирует "выгодность" _её_ услуг по аутсорсингу в IT-безопасности.

Комментарии заморожены.

Последние комментарии:

Самое интересное:

Какие функции можно отдать на ит-аутсорсинг.
© 2004–2009 Проект CITCITY.ru