Слово "аутсорсинг" в нашей стране ассоциируется, как правило, с разработкой программного обеспечения. И действительно, именно эта область наиболее актуальна для деятельности белорусских компаний, предоставляющих аутсорсинговые услуги. Про аутсорсинг в области информационной безопасности в нашей стране пока мало кто даже слышал.
Аутсорсинг: цели и задачи
Аутсорсинг (от англ. outsourcing: внешний источник) - передача организацией определённых бизнес-процессов или производственных функций на обслуживание другой компании, специализирующейся в соответствующей области.
Википедия
Сам по себе аутсорсинг возник как способ выполнения какой-либо деятельности, не являющейся профильной для компании, или, по крайней мере, такой, которую можно легко вычленить из любых других бизнес-процессов. К такой деятельности традиционно относится бухгалтерский учёт, к аутсорсингу которого охотно прибегают представители малого и среднего бизнеса. В последнее десятилетие особенно актуальным стало явление ИТ-аутсорсинга, принявшее по-настоящему всемирные масштабы.
Какие выгоды извлекают компании, пожелавшие прибегнуть к тем или иным аутсорсинговым услугам? Очевидно, что мощнейшим стимулом для передачи той или иной деятельности компании на аутсорсинг является, прежде всего, возможность сэкономить таким образом. Компания, прибегающая к услугам аутсорсера, экономит на найме высококвалифицированного персонала на постоянной основе, вместо этого оплачивая услуги аутсорсинговой компании, которые обходятся ей дешевле. Хрестоматийный пример - то же самое оффшорное программирование. Оплачивая услуги белорусских компаний, западные заказчики экономят значительные средства благодаря разнице в оплате труда белорусских и западных разработчиков.
Косвенные моменты экономии заключаются в экономии на оплате помещений, которые потребуется арендовать для дополнительных сотрудников компании, а также в различных дополнительных бонусах наподобие оплаты проезда, обедов в офисе, медицинской страховки и прочего, что входит в соцпакет компании.
Преимущества аутсорсинга для компаний заключаются в том, что за умеренную плату они получают в своё распоряжение высококлассных специалистов, которые будут работать ровно столько, сколько нужно компании, и которых по окончанию выполнения той или иной работы не нужно будет загружать специально придуманными заданиями, не имеющего ничего общего с реальными нуждами компании, просто для того, чтобы не нужно было данных специалистов увольнять.
Одним из важных моментов аутсорсинга для коммерческих компаний являются финансовые показатели. Бывают ситуации, когда компании предпочитают не закупать оборудование и программное обеспечение, чтобы не увеличивать свои основные средства, но при этом потребность в той или иной функциональности у неё всё равно остаётся. В таком случае обращение к поставщику услуг, предлагающему нужные компании решения, остаётся едва ли ни единственным приемлемым выходом из положения.
Аутсорсинг как он есть
Услуги, предоставляемые аутсорсинговыми компаниями сегодня, включают в себя как разработку программного обеспечения на заказ, так и обеспечения деятельности ИТ-инфраструктуры организации. И если заказывать программное обеспечение для своих нужд могут себе позволить только действительно крупные и имеющие значительный доход компании, то второй вариант ИТ-аутсорсинга используется компаниями практически любой величины.
В последнее время тенденция развития сферы информационных технологий такова, что в ней начинает отчётливо вырисовываться отдельная ниша - обеспечение информационной безопасности организаций. Из-за повсеместного использования информационных технологий и всё возрастающей важности информации в работе как коммерческих, так и государственных организаций обеспечение информационной безопасности также становится всё более значимым аспектом их деятельности. Во многих организациях сегодня действуют отделы информационной безопасности, обеспечивающие защиту корпоративной информации от различных угроз, существующих как за пределами организации, так и в ней самой
Вполне естественно, что по мере роста стоимости обеспечения информационной безопасности всё острее встаёт вопрос о том, как сэкономить на данной статье расходов. И аутсорсинг видится одним из наиболее вероятных путей решения этой проблемы.
Что можно отдавать на аутсорсинг?
Информационная безопасность относится к тем областям, где необходимо тщательно выбирать, какие именно направления стоит отдавать на аутсорсинг, а какие лучше оставить самой компании. Эксперты сходятся в том, что полностью передавать данную область деятельности организации аутсорсерам просто небезопасно. При этом, безусловно, следует помнить, что универсальных рецептов не существует, и каждая организация должна сама для себя решать, что именно она может доверить конкретному аутсорсеру в конкретный момент времени.
Наиболее просто и безболезненно отдавать на аутсорсинг аудит информационной безопасности организации. Проведение периодических проверок сторонними лицами, ко всему прочему, позволяет добиться их эффективности и непредвзятости, так как снижается вероятность того, что аудиторы будут "прикрывать" своих коллег, с которыми их связывают дружеские отношения и совместно проведённые тысячи рабочих часов.
Разработка нормативных актов, связанных с информационной безопасностью, также сравнительно редко ложится на сотрудников самих компаний. Безусловно, политики безопасности могут быть разработаны и силами специалистов самой организации, однако более удачной идеей представляется поручение этого разового мероприятия тем, кто имеет опыт разработки подобных документов. Впрочем, эта задача относится скорее к области консалтинга, а не аутсорсинга. Близка к этому также задача обучения персонала, также перекладываемая на плечи компаний-аутсорсеров. С периодическим проведением курсов повышения квалификации для специалистов по информационной безопасности, несомненно, гораздо лучше смогут справиться специалисты компании, для которой эта деятельность является профильной.
Сравнительно просто передавать на аутсорсинг такие аспекты обеспечения информационной безопасности, как организация VPN (виртуальной частной сети) для сообщения между территориально удалёнными филиалами организации, построение защищённых каналов коммуникаций внутри компании, управление системами предотвращения вторжений в корпоративную сеть.
Отдельно стоит отметить борьбу со спамом, которая является весьма актуальной для организаций, чья ИТ-инфраструктура работает в режиме реального времени, и для которых нагрузка на информационные каналы, создаваемая потоком спама, может оказаться критичной. Таким организациям наверняка придётся по душе идея передачи на аутсорсинг системы защиты от спама, что позволит существенно разгрузить корпоративные сервера и системных администраторов, обслуживающих антиспам.
Что не рекомендуется отдавать на аутсорсинг? Прежде всего, это те вопросы, которые связаны с внутренней безопасностью организации. Сюда входят управление системой предотвращения утечек информации, разбор связанных с этим инцидентов, и прочие задачи, связанные с управлением конфиденциальными данными. Собственно, это именно те задачи, которыми и должен заниматься отдел информационной безопасности, если он существует в компании, или сотрудник ИТ-отдела, ответственный за информационную безопасность.
Аутсорсинг vs. консалтинг
Необходимо отличать понятия аутсорсинга информационной безопасности и консалтинга в этой области. Хотя, нужно отметить, что зачастую сами компании, предоставляющие как аутсорсинговые, так и консалтинговые услуги, путают эти два термина.
Консалтинг (англ. consulting - консультирование) - вид профессиональных услуг (как правило, платных), предоставляемых корпоративным клиентам, заинтересованным в оптимизации своего бизнеса.
Википедия
К консалтингу в области информационной безопасности, как правило, относят разработку различного рода требований и рекомендаций, относящихся к обеспечению информационной безопасности организации. Типичные примеры работ, выполняемых консалтинговыми компаниями, специализирующимися на информационной безопасности, таковы:
- Экономический анализ системы информационной безопасности;
- Разработка методики анализа защищенности организации;
- Разработка рекомендаций по защите информационной системы;
- Разработка требований к системе защиты информации в соответствии с особенностями организации;
- Разработка технического задания на создание системы обеспечения информационной безопасности;
- Составление обзора программных продуктов для обеспечения информационной безопасности по заданным критериям;
- Разработка квалификационных требований к сотрудникам отдела информационной безопасности;
- Разработка нормативных документов и политики обеспечения информационной безопасности.
Консалтинг в области информационной безопасности, конечно, также является важным компонентом построения надёжной информационной защиты для организации, и помогает оптимизировать расходы в данной графе её бюджета. Тем не менее, консалтинг и аутсорсинг - это совершенно разные вещи, органично дополняющие друг друга.
Риски аутсорсинга и выбор аутсорсера
Компании, прибегающие к услугам аутсорсеров, в том числе и при аутсорсинге информационной безопасности, зачастую полагают, что обращение к сторонним специалистам позволит снизить риски для их организации благодаря тому, что эти риски перекладываются на аутсорсера. В целом, с этим действительно сложно не согласиться: благодаря аутсорсингу организации действительно избавляются от рисков, связанных с отказом оборудования или с недостаточной квалификацией персонала, так как эти риски принимает на себя компания-аутсорсер.
Тем не менее, думать, что компания абсолютно освобождается от рисков, передавая обеспечение своей информационной безопасности аутсорсинговой фирме, не совсем правильно. Дело в том, что аутсорсинг сам по себе также несёт определённые риски, которые необходимо принимать во внимание. Главный из подобных рисков - зависимость от услуг конкретного аутсорсера. Дело в том, что аутсорсинговые компании всегда заинтересована в том, чтобы клиент не ушёл от неё ни при каких обстоятельствах, а потому зачастую их представители прибегают к самым разным методам удержания клиентов, начиная с незаметных пунктов договора, ограничивающих свободу заказчика, и заканчивая различными технологическими ухищрениями. Именно поэтому вам придётся не только внимательно читать все заключаемые с аутсорсером соглашения, но и хотя бы минимально разбираться в решениях, которые предлагают вам его сотрудники.
Проблема выбора аутсорсинговой компании, в том числе и при передаче на аутсорсинг информационной безопасности вашей организации, тесно связана с рисками аутсорсинга. Выбирая, как компании отдать "на откуп" информационную безопасность, необходимо тщательно изучить, какую ответственность аутсорсер готов нести за выполняемую им работу, и как обеспечивается качество её выполнения. Безусловно, не лишним также будет наличие у аутсорсинговой компании различных сертификатов, подтверждающих качество её услуг. А наилучшей рекомендацией, как всегда, является успешное сотрудничество данной компании с кем-либо из ваших партнёров, при условии, что те готовы поделиться с вами информацией об результатах этого сотрудничества и его "подводных камнях".
Роман ИДОВ,
ведущий аналитик компании SearchInform
Горячие темы