Информационная безопасность бизнеса – дело тонкое и недешевое. Обычно ИБ-отделами и инструментарием располагают компании со штатом от 500 человек. В то же время в России больше 20 тысяч компаний среднего и малого бизнеса, они защищены гораздо хуже, их руководители часто не представляют, с чего начать выстраивать систему безопасности. Для таких случаев придуман аутсорсинг. Но насколько он применим к вопросам обеспечения внутренней безопасности и существует ли на практике?
Безопасность – вопрос деликатный
Аутсорсинг внешней безопасности в России вполне прижился, но выносить за штат контроль внутрикорпоративных угроз пока мало кто рискует. При том, что за рубежом привлекать помощь со стороны – совершенно нормальная практика.
За штат отдают сбор информации и аналитику по инцидентам, совершенным сотрудниками. Как правило для сбора «первички» используют перехват из DLP-систем (более полные данные больше в принципе взять неоткуда), собирают отчеты по нарушениям и предоставляют заказчику по заранее обговоренному графику. В рамках аутсорсинга внешние специалисты могут дополнительно проводить расследование инцидентов и консультировать о тонких местах в бизнес-процессах, где риск нарушений особенно велик.
Это мало чем отличается от работы, которую проделывает собственная служба безопасности. Однако российский бизнес не спешит привлекать специалистов со стороны, и главный страх – как можно вынести сор из избы?!
Защищать внутренние секреты с внешней помощью – действительно, звучит парадоксально. Но если отбросить иррациональный страх, оказывается, что при должном оформлении NDA риск разглашения закрытой информации аутсорсером ниже, чем риск, что утечку допустит кто-то из трудового коллектива.
Сотрудник, уличенный в разглашении коммерческой тайны, рискует должностью – мало кто из работодателей принципиален настолько, чтобы вести человека в суд. В этой ситуации аутсорсер теряет гораздо больше – репутацию, свой главный капитал.
Конечно, это совершенно не говорит о том, что нужно отдать контроль на самотек. Да, без базового доверия нет смысла связываться с аутсорсингом в принципе. Но важно убедиться, что действия стороннего специалиста логируются, и время от времени просматривать, что делает аутсорсер, насколько продуктивно он работает с программой.
Кроме того, аутсорсинг – не та услуга, которую можно «получить и забыть». Исполнителя нужно снабжать информацией о бизнес-процессах и озадачивать, исходя из текущих проблем компании. С аутсорсером придется работать в тесном контакте: разъяснять детали, уточнять ТЗ, искать взаимопонимание. Так можно контролировать, как именно и насколько качественно аутсорсер делает свою работу.
Спрос на предложение
Несмотря на то, что аутсорсинг внутренней безопасности в России распространен очень мало, компании проявляют к нему интерес. Мы это видим по запросу от наших клиентов: многие и хотели бы поставить систему защиты информации в своей компании, но часто не уверены, что покупка ПО отобьется, или понимают, что обрабатывать полученную информацию будет некому. Для них аутсорсинг – это выход.
Вот, кому сервис пригодится в первую очередь:
- Компаниям, штат которых перешагнул планку в 50-100 человек. Руководству становится сложнее контролировать сотрудников, но до покупки специального ПО и найма службы безопасности бизнес еще не дорос.
- Компаниям, где служба безопасности есть, но занята другими задачами: сосредоточена на физической охране инфраструктуры или мониторинге экономических рисков. Или когда в ней нет специалистов, умеющих использовать IT-инструменты защиты. На рынке в принципе немного профессионалов с опытом, способных и отслеживать ИБ-угрозы, и проводить расследования инцидентов. Иногда компании просто не могут найти подходящего сотрудника, какую зарплату ни предлагай.
- В бизнесах, где нужно решить локальную задачу: понять, как оптимизировать штат, выяснить, почему выросла текучка кадров или обнаружить неэффективный бизнес-процесс. Часто топ-менеджмент в этих вопросах не может положиться на мнение линейного руководства – субъективизм смажет всю картину.
Игра стоит/не стоит свеч
Тонкое место аутсорсинга в том, что полноценно включиться в бизнес-процессы заказчика аутсорсеру с ходу сложно. Успех здесь во многом зависит от принимающей стороны.
Другой момент, который смущает заказчиков – аутсорсинг не будет стоить дешево. Тариф складывается из стоимости аренды ПО, работы ИБ-специалиста. Часто аутсорсер предоставляет во временное пользование и «железо». Но в любом случае, если бы компании организовывали процесс с нуля самостоятельно, информационная безопасность стоила бы им гораздо дороже.
С учетом этого есть несколько сценариев, для чего российским компаниям имеет смысл отдавать внутреннюю безопасность на аутсорсинг.
Во-первых, это возможность протестировать и поставить на ноги ИБ в своей компании. Аутсорсинг – хороший старт для тех бизнесов, где контроль корпоративных рисков не существует ни в каком виде. Без глобальных расходов руководитель сможет сориентироваться, нужно ли ему организовать процесс контроля сотрудников в принципе и, если да, – в каком виде.
Возможно, модель аутсорсинга устроит менеджмент до такой степени, что он остановится на таком варианте решения вопросов безопасности. Возможно, в компании решат отдать внешнему исполнителю только часть процессов или привлечь его под решение узких задач.
Так что при всех оговорках ИБ-аутсорсинг создает новую культуру корпоративной безопасности. Сложное и тонкое дело защиты от внутренних угроз становится доступно компаниям, которые до сих пор не могли себе позволить обзавестись необходимыми инструментами и специалистами. Таким образом, стоит ИБ-аутсорсингу оформиться в четкое предложение, рынок однозначно его воспримет.