Четыре шага к умному аутсорсингу
Какие бы ИТ-услуги не аутсорсила компания - поддержку пользователей, управление инфраструктурой или поддержку приложений - в списке факторов, определяющих успех инициативы, на первом месте всегда будет стоять безопасность. Однако ее реальное, а не формальное обеспечение - ответственность не только лишь поставщика услуг, но и заказчика, от которого требуется более взвешенный и "умный" подход к аутсорсинговому контракту.
Обычно указывают семь ключевых факторов, обеспечивающих успех аутсорсинговых проектов - безопасность, надежность, масштабируемость, производительность, эффективность, отточенность, возможность развития и управление взаимоотношениями. Всегда в подобном списке на первом месте оказывается безопасность, что логично - и закладывается в стоимость. Более дешевое, но менее адекватное с точки зрения ИБ соглашение с аутсорсером может в конечном итоге обойтись дороже - и по финансовым результатам, и по репутационным рискам. Правда, сомнительно, что тот или иной сервис удовлетворит заказчика, если он не отвечает необходимым бизнесу стандартам безопасности.
Нужно учитывать четыре фактора, обеспечивающие соответствие аутсорсингового контракта стандартам безопасности. Необходимо четко понимать, что именно нужно бизнесу, уметь донести свои ожидания до провайдера услуг, убедиться, что он сможет реализовать поставленную задачу, а также постоянно контролировать статус работ по контракту.
Осознавать, чего хочешь
Требования каждой компании к ИТ-безопасности определяются, собственно, спецификой бизнеса, а также регуляционными требованиями, уровнем чувствительности к данным и масштабами последствий в случае утечек информации. Например, лечебное учреждение и банк по-разному обеспокоены безопасностью своих данных, однако оба стремятся обеспечить наиболее жесткий контроль за ними, в том числе в соответствии с требованиями регуляторов.
Но даже без этого влияния регулятора есть другие внешние требования к ИТ-безопасности предприятия - со стороны его клиентов, акционеров или других заинтересованных сторон. Все эти моменты необходимо учитывать при обсуждении вопросов ИБ с сервис-провайдером.
Конкретизировать свои ожидания
Обозначив для себя необходимый стандарт безопасности сервиса, нужно также донести свое видение до собственно поставщика. Важно, чтобы аутсорсер понял и смог обеспечить реализацию выбранной стратегии безопасности. Учитывая большое количество используемых ИТ и ИБ-технологий, возможно, в ходе проекта возникнут определенные сложности, которые должны решать обе стороны, исходя из изначально определенных приоритетов.
Вполне возможно, что для аутсорсера будет достаточно рекомендаций стандартов ISO/IEC 27000. Специфические отраслевые требования (например, в финансовом секторе) охватывают другие, собственные стандарты, учитывающие лучшие практики в данном секторе. Главное при этом избежать путаницы и противоречий с уже существующей в компании политикой безопасности, которая ориентирована на защиту персональных данных и коммерческой информации.
Убедиться в адекватности аутсорсера
Все требования к безопасности сервиса необходимо четко прописать в контракте, чтобы провайдер однозначно понимал все свои обязательства. Самый простой вариант - переложить всю ответственность на аутсорсера - может оказаться в итоге самым неэффективным. Компания-заказчик внешних ИТ-услуг должна сама изучить все компетенции и возможности поставщика, с тем чтобы оценить, насколько он сможет справиться с поставленной задачей в контексте вопросов ИБ.
В частности, нужно вообще определить подходы ИТ-поставщика к вопросам безопасности: как обеспечивается контроль доступа, мониторинг, аутентификация и верификация. А далее оценить - насколько эти подходы соответствуют выбранной компанией стратегии ИБ.
В целом в безопасности, как и в любом другом виде сервиса, получаешь ровно то, за что платишь. Соответственно, нужно сразу оценить коммерческие возможности и не платить лишнего за избыточные параметры.
Держать руку на пульсе
Быстрая эволюция угроз неизбежно требует максимально гибкого и адаптивного подхода к обеспечению ИБ. Вопросы безопасности должны регулярно обсуждаться с сервис-провайдером. Нужно постоянно контролировать соблюдение положений договора - в том числе, в соответствии с реализуемой политикой ИБ и с требованиями регуляторов. При этом периодически необходим аудит работы провайдера - возможно, с участием третьих сторон.
Стратегия ИТ-безопасности постоянно меняется - ввиду того, что постоянно меняются угрозы ИБ - вовне и внутри. Появляются новые вирусы, атаки становятся более хитроумными, могут обнаруживаться дополнительные уязвимости или ранее не встречавшиеся конфликты приложений. Реальностью стали в итоге облачные вычисления - и значит, аудит инцидентов может в какой-то момент раствориться в тумане. В новых условиях рынка компаниям и аутсорсерам нужно все более плотно сотрудничать, с тем чтобы обеспечить максимальную безопасность и стабильность бизнеса.
Короткая ссылка на материал: //cnews.ru/link/a2125