Несмотря на растущую популярность, аутсорсинг информационной безопасности все еще является предметом устойчивых предубеждений, которые препятствуют его широкому применению. Страх утечки данных, опасение потери контроля, появление зависимости от подрядчика являются естественными.
Но насколько оправданы эти риски по сравнению с угрозами информационной безопасности, с которыми компания может столкнуться, не обладая достаточной экспертизой, ресурсами и технологическими возможностями в области ИБ? Вместе с экспертом Алексеем Морозковым, руководителем центра управления кибербезопасностью ICL Services, постараемся разобраться в наиболее распространенных мифах и выявить пути их преодоления.
Мифы и реальность
Миф 1. Аутсорсинг ИБ – это только для крупных компаний с большими бюджетами
Малый и средний бизнес часто полагает, что аутсорсинг информационной безопасности недоступен или нецелесообразен для них. Однако современные провайдеры предлагают гибкие тарифные планы и модульные сервисы, которые адаптируются под потребности заказчика и бюджет. Вы платите только за то, что используете.
Например, малые предприятия могут выбрать базовый сервис по EDR и VM для 200 устройств, тогда как крупные организации проявляют интерес к более широкому спектру услуг, в том числе и по поддержке СЗИ для тысячи устройств.
Уже сейчас владельцы малого и среднего бизнеса начинают осознавать важность кибербезопасности и воспринимать ИБ-аутсорсинг как хорошую возможность в условиях ограниченных ресурсов.
Миф 2. Мы потеряем контроль над нашей безопасностью и данными
Многие считают, что, доверяя защиту третьим лицам, компания лишится возможности управлять процессами. Но на самом деле заказчик сохраняет полный контроль на стратегическом уровне. Провайдер действует исключительно в рамках согласованного уровня доступа и периметра, определенных клиентом. Компании предоставляется доступ к дашбордам и отчетам, проводятся регулярные встречи для обсуждения задач и соблюдения SLA. Заказчик сам определяет политики, процессы и принимает ключевые решения относительно своей кибербезопасности.
Миф 3. Аутсорсинг ИБ — это слишком дорого, чем иметь своих специалистов
Распространенная ситуация, когда оценивается только прямая стоимость контракта, и при этом не учитываются скрытые затраты, такие как обучение персонала, инвестиции в технологии, инвестиции в RnD, стоимость владения, суммарные затраты на ФОТ.
Для объективного сравнения важно учесть все возможные затраты в совокупности:
- найм (рекрутинг, зарплаты, налоги, отпуска, больничные);
- будущее обучение (курсы, экзамены, сертификации);
- RnD активности и получение необходимого уровня экспертизы;
- CAPEX в технологии, покупку и обслуживание оборудования, а также инфраструктуру ИБ.
При выборе аутсорсинга ИБ компания получает предсказуемую ежемесячную сумму OPEX, которая включает все вышеперечисленное, а также постоянно обучающуюся команду экспертов и современные технологии без серьезных вложений.
Миф 4. Аутсорсинг сделает нас зависимыми от внешнего поставщика
Зависимость от поставщика услуг является управляемым фактором. Профессиональные аутсорсинговые компании заинтересованы в поддержании позитивной оценки своей работы и укреплении деловой репутации, поэтому строят партнерские отношения на основе прозрачных условий и договоров, сводящих вероятность возникновения непредвиденных ситуаций к минимуму.
Например, всегда можно продумать план действий и добавить пункты в договор, описывающие условия прекращения сотрудничества, передачи знаний, доступов, обсудить выгрузку необходимых данных.
Это позволит обеспечить плавный перевод функций под свое управление либо смену поставщика без каких-либо сбоев и проблем, исключив операционные риски.
Когда бизнесу нужен аутсорсинг ИБ?
Для полного понимания целей и задач аутсорсинга информационной безопасности рассмотрим три направления и типовые индикаторы, сигнализирующие о том, что пришло время рассмотреть привлечение внешней компании.
1. Персонал
Недостаток компетенций и нехватка профильных специалистов могут существенно ослабить защитные меры компании. Нередко случается, что обязанности по обеспечению информационной безопасности возлагаются на сотрудников ИТ-отдела, которые не обладают необходимыми глубокими познаниями.
ИБ — это огромная область, охватывающая множество направлений: от защиты периметра до реагирования на инциденты, и внутренней команде может не хватать экспертизы в определенных областях.
А в случаях, когда у компании имеется собственный штат специалистов по ИБ, все равно могут возникать трудности. Квалифицированные сотрудники порой увязают в повседневной рутине, занимаясь решением текущих проблем и «тушением пожаров», вместо того, чтобы фокусироваться на стратегически важных задачах бизнеса.
Еще одна проблема — текучка кадров среди специалистов по информационной безопасности. Привлекая хороших кандидатов, нельзя гарантировать, что они останутся надолго. В отрасли высокий уровень конкуренции за таланты, а частые увольнения приводят к снижению эффективности и повышению операционных рисков. Поиск подходящего профессионала осложняется высокими зарплатными ожиданиями и продолжительным периодом адаптации.
2. Финансы
Среди ключевых финансовых индикаторов можно отметить непредсказуемые затраты на СЗИ и перерасход бюджета на ИБ. Это одно из слабых мест большинства организаций. Поддержание и обслуживание СЗИ, как правило, сопряжены с внезапными крупными расходами, например, при замене EOL оборудования, замены ушедших вендоров или появления критической уязвимости в нем.
Киберугрозы постоянно совершенствуются, поэтому необходимо регулярно обновлять и модернизировать СЗИ. Следовательно, такие затраты сложно прогнозировать, что затрудняет четкое планирование бюджета.
Покупка и обслуживание специализированного оборудования, ПО и лицензий требует значительных инвестиций, в том числе и на штат, а стоимость развертывания и поддержки современных технологий и СЗИ может быть неподъемной для малого и среднего бизнеса.
В небольших компаниях внезапная закупка и обновление СЗИ может занимать до 50–60% бюджета ИБ. Решением здесь служит использование сервисов с фиксированной ежемесячной оплатой, предлагаемой аутсорсерами. Такая модель снижает капитальные затраты и переводит их в равномерные операционные расходы с понятным бюджетом, а также минимизирует риски внезапных «огромных» расходов в моменте.
Второй финансовый индикатор — высокие затраты на обучение персонала. Современные требования к уровню подготовки специалистов ИБ растут с каждым годом. Курсы повышения квалификации и сертификации могут обходиться в сотни тысяч рублей в год на одного сотрудника. В целом средняя зарплата специалиста ИБ с налогами, соцпакетом, отпускными и обучением может увеличивать расходы компании на 40%.
При этом количество сотрудников, как правило, ограничено для поддержания всего ИБ, а нагрузка зачастую превышает возможности текущей команды. При аутсорсинге организация получает доступ к обученным экспертам, чья подготовка обеспечивается самим поставщиком услуг. Это снимает с бизнеса нагрузку.
Наконец, третий финансовый индикатор — убытки из-за инцидентов ИБ. Остановка бизнес-процессов и утрата важной информации способна нанести существенный ущерб, исчисляемый сотнями тысяч рублей в день. Помимо потери прибыли, нужно еще учитывать затраты на восстановление, штрафы, компенсации и юридические издержки. История показывает, что даже крупные фирмы, столкнувшись с серьезными нарушениями ИБ, могут оказаться на грани банкротства.
3. Стратегические вызовы
Среди наиболее важных целей компании можно выделить необходимость в масштабировании защиты. Бизнес всегда активно растет:
- открываются новые филиалы;
- запускаются новые продукты;
- внедряются облачные сервисы;
- расширяется штат удаленных сотрудников.
Все это порождает экспоненциальный рост рисков, уязвимостей и потенциальных векторов атак. Для существующей команды становится серьезной нагрузкой выявлять угрозы и реагировать, эффективно управлять рисками, оперативно адаптировать и масштабировать существующие возможности защиты, они вынуждены отвлекаться от стратегических задач по развитию ИБ и оптимизации.
Кроме того, возрастает потребность в актуальных технологиях противодействия современным угрозам. Кибератаки постоянно развиваются и эволюционируют, в т. ч. с использованием возможностей ИИ. Эффективность существующих СЗИ зачастую оказывается недостаточной, поскольку многие компании не уделяют должного внимания новейшим разработкам в области кибербезопасности.
Покупка и внедрение современного ПО (SIEM, XDR/EDR, SOAR, PAM), реализация контрмер требуют серьезных вложений, ну а сами технологии достаточно сложны для освоения «с нуля», особенно если у вас нет практического опыта. Внутренняя команда может просто не успевать изучать новые методы атак, обладать актуальной экспертизой и практическими навыками противодействия, а это влияет на эффективность реагирования.
Наконец, существует необходимость соответствовать требованиям регуляторов. Постоянно меняющиеся законодательные нормы обязывают компании соблюдать различные нормативные требования в сфере ИБ.
Нарушение может привести к серьезным штрафам, репутационным потерям и даже к уголовной ответственности. Поэтому наличие в штате сотрудников, которые профессионально этим занимаются и имеют практический опыт адаптации НРД и процессов под требования закона для отраслевой специфики, является важным условием успешного функционирования компании.
Выводы
Решение о передаче функций ИБ на аутсорсинг должно приниматься не под давлением страхов и заблуждений, а на основе трезвой оценки собственных возможностей против стремительно растущих угроз.
Когда индикаторы — будь то кадровые, финансовые или стратегические — сигнализируют о перегрузке, аутсорсинг становится не уступкой, а взвешенным шагом к созданию более устойчивой, технологичной и экономически эффективной системы защиты.