Сегодня: 19.10.19
логин
пароль
Рекламные ссылки:

Сегодня 19 октября 2019 года

  
Рубрики:  КЛИМАТ НАШЕГО БИЗНЕСА  ВЛАСТЬ  РИСКИ  ДЕНЬГИ   ДЛЯ ПОЛЬЗЫ ДЕЛА  НАШ КВАДРАТНЫЙ МЕТР  КЛУБ МАРКЕТОЛОГОВ  BAIKALLAND  НАШЕГО УМА ДЕЛО  ДОРОЖЕ ДЕНЕГ  БИЗНЕС-ЛАНЧ  PDF-ВЫПУСКИ  1  2  3  4  5  6   7                        ГОСЗАКАЗ И КОММЕРЧЕСКИЕ ТЕНДЕРЫ                      *  
 


АУТСОРСИНГ IT-БЕЗОПАСНОСТИ: СТРАХИ И СОМНЕНИЯ

Аутсорсинг сегодня тема модная, она встает практически на всех бизнес и IT-форумах. Кто-то утверждает, что за аутсорсингом будущее, и отдать на откуп аутсорсерам надо практически все бизнес-процессы и совсем избавится от IT-специалистов. Примеры таких компаний есть. Кто-то считает, что отдавать на аутсорсинг какие-либо IT-функции смерти подобно. Есть и такие примеры. Кто же прав? Выгоден ли кому-нибудь аутсорсинг? И если да, то какие бизнес-процессы можно передать третьей стороне? Позвольте первый вопрос оставить читателю, а ответить лишь на второй и третий.

ВЫГОДЕН ЛИ АУТСОРСИНГ И КОМУ?

Аутсорсинг выгоден заказчикам, но при условии, что система взаимодействия с подрядчиком (аутсорвером) выстроена правильно и внутри компании-заказчика бизнес-процессы также выстроены более-менее правильно. И такие компании есть, раз уж существуют аутсорсеры, оказывающие услуги (Есть спрос -- есть предложение).

Кроме этого есть еще ряд причин, почему аутсорсинг выгоден: На рынке нет нужных IT-специалистов или они очень дороги. У аутсорсеров обычно такие специалисты есть, и услуги аутсорсеров обычно обходятся дешевле, чем нанять аналогичного специалиста.

Собственного специалиста можно нанять и обучить его, но высока вероятность, что обученный специалист перейдет в другую компанию на более выгодные условия.

Нанимать своего специалиста на полную ставку не имеет смысла (не загрузите работой на 100%).

Квалификация и зарплата своих людей высоки, не хочется загружать неквалифицированной работой своих экспертов.

Аутсорсер же не сует нос в дела клиента и не требует объяснить причину, почему клиент воспользовался услугами. Аутсорсер предоставляет стандартные услуги, и за счет этого стоимость услуг высокого класса становится ниже, если сравнивать с подобными по качеству услугами, но сделанными самостоятельно.

С другой стороны есть и причины, по которым не имеет смысла пользоваться аутсорсингом:

Если у клиента часто меняются бизнес-процессы, которые планируется отдать на аутсорсинг. Аутсорсеры оказывают стандартные услуги и не приспособлены к быстрой адаптации (если бы были приспособлены, то это были бы уже штучные, эксклюзивные услуги, и стоили бы они очень дорого). Есть источник недорогих ресурсов. Хотя это еще вопрос что лучше -- 10 слабых специалистов или один эксперт, хоть и сторонний.

Итак, если вы считаете, что аутсорсинг может быть вам выгоден, то надо понять, какие бизнес-процессы можно отдать и, самое главное, кому их IT-сопровождение доверить.

Проще и логичнее всего отдавать на аутсорсинг системы защиты периметра -- защита почтового трафика, защиту Gateway, организацию VPN и систем обнаружения вторжений, т.е. те системы, которые контактируют с внешним миром. Настроить доступ к этим системам извне проще всего. Наиболее распространены и, следовательно, представлены на рынке, услуги по аутсорсингу защиты почтового трафика.

Уже слышны возгласы сомнения: "То есть дать возможность неконтролируемого доступа во внутреннюю сеть для неавторизованного персонала. С инфобезопасностью все то же самое. Конфигурирование граничных маршрутизаторов силами аутсорсеров? Дыра в безопасности" или "Особой выгоды в аутсорсинге не вижу : если компания действительно заботится о своей IT- безопасности -- через ее почтовый сервер проходят очень важные сведения, думаю вопрос об отдаче в обслуживание "системы защиты периметра, защиту почтового трафика, защиту Gateway..." в руки сторонней организации в принципе стоять не должен, причины здесь очевидны, объяснять почему думаю не стоит." и т.д.

Давайте разбираться. Электронная почта. Канал передачи электронных сообщений по своей сути не является безопасным с точки зрения несанкционированного снятия с канала информации, а раз сам канал является небезопасным, то передавать по такому каналу конфиденциальные данные, простите за грубость, глупо. Если уж передавать такие данные по открытому каналу, то необходимо воспользоваться системами криптографической защиты, и тогда никто не сможет прочитать сообщение, кроме адресата.

Далее, сотрудничество с аутсорсерами -- это вопрос доверия, а репутация для аутсорсинговых компаний очень важна. Ни один аутсорсер не будет рисковать своей репутацией ради сиюминутной выгоды. Можно также учесть тот факт, что подавляющее большинство утечек конфиденциальных данных происходит по вине сотрудников компаний, а вот фактов, что аутсореры были виноваты в утечках, нет. И последнее, отношения с подрядчиками регламентируются юридическими документами, и пункт о не разглашении обязательно есть в договоре, что позволяет при необходимости в судебном порядке выяснять отношения.

Кроме аспектов безопасности и целесообразности есть еще экономические аспекты. Выгоден ли аутсорсинг с точки зрения денег?

ЭКОНОМИЧЕСКИЕ АСПЕКТЫ

Оценить выгоду того или иного решения можно по двум параметрам -- ROI (Return of Investments) срок возврата инвестиций и TCO (Total Cost of Ownership) совокупная стоимость владения. Для того чтобы подсчитать RIO, необходимо понять, какие выгоды несет решение и сколько можно сэкономить, если это решение внедрить. Рассчитать выгоду от антивирусного решения довольно сложно, так как сложно подсчитать вероятный наносимый ущерб и необходимое для восстановления системы время. Если предположить, что всегда есть актуальная резервная копия для восстановления как рабочих стаций, так и серверов, то минимальный ущерб, нанесенный компании, это стоимость рабочего времени IT-специалиста, затраченного на восстановление всех рабочих станций и серверов в компании. Плюс потери на время простоя компании. Это минимум на одну эпидемию. В реальной жизни бывают сложные случаи -- отсутствие резервных копий, потерянные важные данные и т.д., и в этих случаях потери будут больше.

Второй параметр -- это TCO или совокупная стоимость владения -- сумма материальных и временных затрат, связанных с приобретением, развертыванием, конфигурированием и обслуживанием программного и аппаратного обеспечения. Если затраты на аппаратное и программное обеспечение, активное сетевое оборудование, каналы связи и т.п. хорошо видны и легко просчитываемы, то косвенные затраты обычно не видны. Довольно мало кто считает время системного администратора, затраченное на мониторинг антиспам-системы или скачивание и установку новой версии антивируса, за потерю времени. А ведь если подсчитать это время, то получатся десятки часов, которые можно перераспределить.

По своей сути, основная идея аутсорсинга -- минимизация участия клиента в процессе -- минимизация косвенных затрат. Следовательно, время, затраченное на обслуживание процесса, отданного на аутсорсинг, будет минимальным и итоговое TCO также будет минимальным. И чем дольше пользоваться услугами аутсорсинга, тем меньше получается совокупная стоимость владения, и тем более выгодным становится аутсорсинг.

"ПРАВИЛЬНЫЙ" ПРОВАЙДЕР УСЛУГ АУТСОРСИНГА IT- БЕЗОПАСНОСТИ

Если посмотреть на бизнес провайдера услуг аутсорсинга, то получается своеобразная пирамида, состоящая из четырех частей. Верхушка пирамиды -- это то стандартное (или слегка модифицированное) программное обеспечение, которое используется у провайдера. Те самые антивирусные движки, системы контентной фильтрации и прочие программы, которые, в большинстве своем, может самостоятельно приобрести и установить каждый.

Второй слой -- это инфраструктура, на которой работает сервис, -- сервера, рутеры, межсетевые экраны, дата-центры. Этот "слой" уже сложнее воспроизвести у клиента. Посудите сами -- есть ли необходимость в развертывании нескольких дата-центров, распределенных территориально для почтовой инфраструктуры предприятия? Для очень крупной компании такой шаг может быть оправдан, но для остальных -- нет. А для провайдера услуг -- это необходимое условие надежной работы.

Третий слой -- специальное программное обеспечение, некое know-how, которое позволяет добиваться особенных результатов по сравнению со стандартными программами. Обычно эти системы содержат патентованные технологии и тщательно охраняются от утечки. Эти технологии уже не доступны обычным пользователям.

И последний и самый важный слой -- основание пирамиды -- люди, которые обслуживают Сервисы. У "правильного" провайдера работают "правильные" сотрудники, для которых IT- безопасность является основной профессиональной деятельностью. Они постоянно отслеживают угрозы и могут быстро модифицировать сервисы с тем, чтобы клиенты были постоянно под защитой. Одним словом, эксперты по IT- безопасности.

ЗАКЛЮЧЕНИЕ

В нашей стране аутсорсинг IT-безопасности только зарождается. Лишь совсем недавно появились первые провайдеры услуг и первые клиенты. Первые шаги были и остаются довольно трудными для поставщиков услуг -- требуется преодолеть осторожное отношение к аутсорсингу со стороны потенциальных заказчиков. Выбирая провайдера аутсорсинга IT-безопасности, стоит внимательно посмотреть, какие люди работают в компании, являются ли они экспертами в IT-безопасности или это просто IT- специалисты, которые смогли грамотно настроить стандартные программы. Обратите внимание на инфраструктуру провайдера -- обеспечит ли она повышенную отказоустойчивость и надежность по сравнению с вашей. Также стоит внимательно отнестись к программному обеспечению, которое используется у провайдера. Есть ли специализированное ПО или в наличие лишь стандартный набор программ. В любом случае вы, как клиент, имеете право знать все эти детали до того, как заключили договор.

Андрей НИКИШИН (Материалы предоставлены директором направления аутсорсинга IT-безопасности "Лаборатории Касперского")

02/05/07


  На первую страницу
  Cмотреть анонсы всех последних публикаций рубрики
  Cмотреть в архиве рубрики

Рекламные ссылки:

   
Написать отклик: itg@tinf.irk.ru
  
Условия размещения рекламы на сайте
Подписка на издание
Выходные данные