Подводные камни аутсорсинга ИБ

Об аутсорсинге сегодня говорят многие, а уж аутсорсинг информационной безопасности, да еще в условиях непростой экономической ситуации, преподносится и вовсе как панацея, позволяющая в условиях сокращения бюджетов на ИБ обеспечить тот же уровень защищенности корпоративных или, что реже, ведомственных информационных активов. В двух своих последних статьях для IT Manager я упоминал, что в текущих условиях аутсорсинг ИБ действительно может рассматриваться как одно из антикризисных лекарств, но при соблюдении ряда условий.

Вот об этих условиях мне и хотелось бы поговорить, выступив в роли «адвоката дьявола», который старается задавать неудобные вопросы безопасникам, пытающимся задуматься об аутсорсинге части своих функций, или провайдерам этих услуг и который заставляет трезво все взвесить, прежде чем сделать выбор в пользу аутсорсинга.

ИБ в условиях кризиса

Безопасникам нравится считать себя пупом земли (я себя, кстати, тоже таковым считаю). Многие специалисты по ИБ, по правде говоря, вполне обоснованно полагают, что без информационной безопасности компания долго не проживет. В эпоху расцвета информатизации не найдется предприятия, которое бы не столкнулось с той или иной угрозой: спам и снижение продуктивности; утечки данных и утрата ноу-хау и конкурентных преимуществ; шифровальщики-вымогатели и потери данных; DDoS-атаки и снижение скорости выхода в Интернет, повлекшее недовольство пользователей; вирусные эпидемии и последовавший за ними простой; кража ключей электронной подписи из компьютера бухгалтера и произошедшее после этого хищение средств со счета организации в банке… Вот небольшой перечень проблем, с которыми сталкиваются, и не один раз, большие и малые предприятия.

Вполне логично предположить, что противодействие данным угрозам, имеющим прямое воздействие на бизнес-показатели, способно сильно облегчить жизнь любому предприятию, имеющему хотя бы один компьютер и счет в банке, к которому бухгалтер подключается через Интернет. Поэтому роль специалиста или службы ИБ действительно важна. Но так считает практически каждый сотрудник компании, который находится под угрозой увольнения. И каждый из них прав.

Что же делать руководству, которое пытается в условиях нестабильности и будущей неопределенности сократить затраты или изменить их структуру? Под нож пойдут те, кто считается непрофильным для предприятия активом, не зарабатывающим денег, а только их тратящим. К сожалению, информационная безопасность – одно из таких направлений, наряду с ИТ или маркетингом. Но деятельность маркетинга видна (хоть и непонятно, какая из двух половин маркетингового бюджета приносит пользу). Деятельность айтишников тоже очевидна – а как без них заходить в Интернет, кто будет менять картриджи в принтере, как почистить место на диске, как побороть медленно работающий Excel?

И только деятельность безопасников вызывает скорее негативную реакцию, чем понимание. Кто читает чужую переписку? Безопасники. Кто заставляет по 20-30 раз на дню вводить пароль в разные системы? Безопасники. Кто настроит скринсейверы таким образом, что они включаются уже через минуту неактивности? Безопасники. Из-за кого медленно работают компьютер и Интернет? Из-за безопасников с их «дурацкими» средствами защиты. Согласитесь, именно так вы и думаете о работе большинства безопасников, а точнее, о ее видимой стороне.

И вот тут всплывает вопрос, который надо честно себе задать. Если на протяжении тех лет, что подразделение ИБ существует на предприятии, оно не смогло продемонстрировать свою нужность для бизнеса, выполняя роль игрушки из одноименного фильма с Пьером Ришаром, то что должно заставить руководство в одночасье изменить свое мнение об этой службе? Почему следует оставить ее в оргштатной структуре и сокращать кого-то другого? Что такого нового безопасники могут дать бизнесу в условиях кризиса? Если они не готовы дать ответ на этот вопрос, то участь их предрешена – сократят.

Аутсорсинг или собственная служба ИБ?

Вопрос № 1. Что дает информационная безопасность бизнесу (в бизнес-показателях или с привязкой к текущим бизнес-задачам), особенно в условиях кризиса? 

Сокращение непрофильного подразделения ИБ – это и проблема, и новые возможности одновременно. Многие компании, оказывающие услуги аутсорсинга информационной безопасности, преподносят себя как панацею. Еще бы, отказавшись от отдела защиты информации, можно сэкономить на фонде оплаты труда, соцпакетах, аренде помещений, коммунальных и иных административных расходах и даже средствах защиты. Взамен предлагается перейти от капитальных затрат к операционным, которые предсказуемы и вполне понятны. В идеальном случае они представляют и вовсе одну строку бюджета – «абонентская плата на аутсорсинг ИБ». Но…

Если за время существования ИБ-подразделения оно не смогло доказать свою нужность в компании, где гарантия, что с его расформированием это станет сделать проще? Почему поставщик услуг аутсорсинга считает, что он может переломить отношение руководства потенциального заказчика к ИБ как к вероятностным потерям, которые могут и не произойти? А если они могут не произойти, то зачем платить, пусть и переведя CapEx в OpEx? Ведь кризис еще не миновал и желание уменьшить падение доходов не пропало. Если у компании не хватает ресурсов, то почему она должна их тратить на сокращаемый непрофильный актив, только в новой упаковке? 

Выгоден ли аутсорсинг?

Вопрос № 2. Что полезного с точки зрения бизнеса по сравнению с собственной службой ИБ может предложить аутсорсинг ИБ в условиях непростой экономической ситуации? 

Начну с банальной истины, что бесплатный сыр бывает только в мышеловке и просто так сервис аутсорсинга ИБ никто оказывать не будет. Поэтому затраты на него в бюджет должны закладываться. Вопрос только в том, что будет дешевле в долгосрочной перспективе: содержание собственной службы ИБ, перенесение части функций в ИТ и сокращение нескольких безопасников или полный отказ от выполнения несвойственных компании функций? И вот тут очень важно правильно считать затраты на ИБ с обеих сторон.

Аутсорсинговые компании нередко предлагают калькуляторы, которые показывают, что их услуги обходятся дешевле, чем покупка заказчиком устройства защиты и содержание сотрудника, его обслуживающего. Анализируя такие калькуляторы или приводимые бизнес-кейсы, стоит взглянуть на них критически. Например, нередко постулируется утверждение, что на каждое управляемое средство защиты периметра заказчик должен выделить специального сотрудника, который будет занят эксплуатацией устройства в режиме full time. Иными словами, его зарплата умножается на 12 месяцев, добавляются налоги, затраты на обучение, стоимость средства защиты и его поддержка. На первый взгляд, все верно, но… где вы видели, чтобы сотрудник службы ИБ все свое время уделял только одному средству защиты по 8 часов в день 5 дней в неделю? Обычно он совмещает работу сразу с несколькими средствами. А обучение зачастую проходит не на авторизованных и дорогих курсах, а по упрощенной и укороченной версии. И зарплата у него явно не 5 тысяч долларов, как в некоторых бизнес-кейсах. В итоге получается, что выгода перехода на аутсорсинг не такая уж очевидная. Может вообще оказаться дешевле привлекать внешнего консультанта с почасовой ставкой для перенастройки ваших средств защиты периметра, которые планировались на постоянный аутсорсинг.

Почему вы молчали о скрытых затратах?

Вопрос № 3. Вы детально оценивали свои реальные затраты на информационную безопасность или имеете только общее представление, из чего складывается строка в вашем бюджете? 

Как сделать бизнес компании-аутсорсера прибыльным? Надо снижать затраты на персонал и увеличивать число заказчиков, которым оказываются типизированные и, следовательно, легко масштабируемые и повторяемые услуги. Поэтому обычно аутсорсинговые компании в области ИБ предлагают схожие и хорошо автоматизируемые услуги: мониторинг и управление средствами защиты периметра (спектр поддерживаемых производителей средств защиты обычно ограничен наиболее популярными именами), сканирование уязвимостей, VPN-услуги.

Заказчику же очень часто бывают нужны не «пакетированные» услуги «для всех», а нечто уникальное или просто редкое (то же реагирование на инциденты или аудит кода приложений). А это автоматически приводит к росту затрат с одной из сторон (а то и с обеих сразу). И затраты эти изначально не фигурируют в предложении аутсорсинговой компании, всплывая только в процессе калькуляции договора.

А еще аутсорсинговая компания никогда не включает (хотя предупредить могла бы) в свою калькуляцию следующие скрытые затраты на аутсорсинг ИБ: 

• Стоимость перехода на аутсорсинг. Вы же должны перестроить свою инфраструктуру, дать аутсорсинговой компании удаленный доступ к своим внешним и (или) внутренним ресурсам, прописать соответствующие политики и ограничения, подготовить договора и т. д.
• Стоимость возврата. А что если вам не понравится и вы захотите вернуться? За чей счет будет происходить данная процедура? Уж точно не за счет аутсорсера.
• Стоимость смены аутсорсера. А если вы захотите сменить одну аутсорсинговую компанию на другую? Кто будет платить за перенос всех данных с одной площадки на другую? Не потеряются ли они «случайно» в процессе передачи от компании, которая уже с вас не получит денег? А может быть, ваши данные всплывут в Интернете потом, когда договор с первым поставщиком услуг закончится?
• Стоимость контроля (если его раньше не было). Аутсорсинг ИБ не означает полного отказа от ИБ у себя. Кто-то же должен контролировать, как аутсорсинговая компания соблюдает условия договора и приложений к нему (SLA). Кто это будет делать? За чей счет? С помощью какого инструментария?

Мы такие же, как IBM!

Вопрос № 4. Прежде чем подписать договор, вы оценивали скрытые затраты на весь жизненный цикл аутсорсинга со своей стороны, а не со стороны исполнителя? 

Очень популярный тезис у локальных поставщиков услуг аутсорсинга ИБ, что они такие же, как имярек, только дешевле и специалисты у них сидят в России и говорят по-русски. Начнем с того, что аутсорсинг ИБ – это технологии, люди и процессы, и многие именитые игроки (которые берут денег гораздо больше, чем их локальные коллеги, что делает аутсорсинг не таким уж выгодным) вкладывают немало средств в собственные исследования и разработки инструментария для решения стоящих задач. Их нельзя найти в Интернете, их нельзя скопировать. Но дело не только в этом.

А кризис разве только у заказчиков? У аутсорсера все спокойно, как в Багдаде? Он (если не из Европы или США, где кризиса нет и рынок ИБ-аутсорсинга стабильно растет и измеряется миллиардами долларов) подвержен таким же кризисным явлениям и рискам, как и его заказчики. А может быть, и в большей степени (обычно аутсорсинговые компании меньше своих клиентов по объему бизнеса и размеру финансовых гарантий). Вдруг исполнитель не сможет выполнять свои обязательства? Вдруг к нему придет банк с требованием вернуть заемные средства или аутсорсер не сможет перекредитоваться? Чтобы остаться на плаву, он начнет сокращать издержки, в том числе и часть персонала, который составляет его основной капитал. Качество предоставляемых услуг тогда снизится. И стоила ли тогда овчинка выделки?

А что будет, если курс национальной валюты упадет еще ниже и аутсорсер захочет пересмотреть условия договора или посчитать существенное изменение курса рубля как форс-мажорное обстоятельство с отказом от предоставления услуг?

Заключение

Вопрос № 5. Провели ли вы проверку стабильности положения своего контрагента и спрогнозировали ли свои действия в случае худшего сценария развития событий? 

Сейчас, в условиях нестабильности, число предложений аутсорсинговых услуг в области ИБ будет только увеличиваться. Я ни в коем случае не ставлю под сомнение их важность при определенных условиях (более того, мы сами предлагаем такие услуги). Вопрос в ином. Все ли подводные камни вы, как заказчик, увидели перед заключением договора? Когда заходит речь о выгодах аутсорсинга ИБ, обычно говорят либо об экономии затрат, либо о более высоком уровне ИБ за те же деньги. Но может ли ваш будущий партнер с цифрами в руках доказать эти утверждения?

Выше я описал пять вопросов, которые вы можете задать в первую очередь себе, принимая решение о переводе на аутсорсинг всего подразделения ИБ или отдельных его функций. Разумеется, это не все, что стоит изучить перед принятием окончательного решения. Я не коснулся вопросов гарантий, соблюдения аутсорсером законодательства по ИБ и  персональным данным, сроков и формы реагирования на обнаруженные инциденты, режима работы вашего контрагента (5?8 или 24?7), уровня доступности его площадок. Все это столь же важно, как и пять финансовых вопросов, описанных в данной статье.

И только в том случае, если вы сможете быть полностью уверенными в надежности и квалификации аутсорсинговой компании по ИБ, переходите к заключению договора. Но предварительно советую застраховать свои риски…

Смотреть все статьи по теме "Информационная безопасность"