ИБ-наемники: внутренняя безопасность за пределами штата?

06.05.2019

Вернуться к списку статей

Информационная безопасность бизнеса – дело тонкое и недешевое. Обычно ИБ-отделами и инструментарием располагают компании со штатом от 500 человек. В то же время в России больше 20 тысяч компаний среднего и малого бизнеса, они защищены гораздо хуже, их руководители часто не представляют, с чего начать выстраивать систему безопасности. Для таких случаев придуман аутсорсинг. Но насколько он применим к вопросам обеспечения внутренней безопасности и существует ли на практике?

Безопасность – вопрос деликатный

Аутсорсинг внешней безопасности в России вполне прижился, но выносить за штат контроль внутрикорпоративных угроз пока мало кто рискует. При том, что за рубежом привлекать помощь со стороны – совершенно нормальная практика.

[insert name="insert-try"]

За штат отдают сбор информации и аналитику по инцидентам, совершенным сотрудниками. Как правило для сбора «первички» используют перехват из DLP-систем (более полные данные больше в принципе взять неоткуда), собирают отчеты по нарушениям и предоставляют заказчику по заранее обговоренному графику. В рамках аутсорсинга внешние специалисты могут дополнительно проводить расследование инцидентов и консультировать о тонких местах в бизнес-процессах, где риск нарушений особенно велик.

Это мало чем отличается от работы, которую проделывает собственная служба безопасности. Однако российский бизнес не спешит привлекать специалистов со стороны, и главный страх – как можно вынести сор из избы?!

Защищать внутренние секреты с внешней помощью – действительно, звучит парадоксально. Но если отбросить иррациональный страх, оказывается, что при должном оформлении NDA риск разглашения закрытой информации аутсорсером ниже, чем риск, что утечку допустит кто-то из трудового коллектива.

Сотрудник, уличенный в разглашении коммерческой тайны, рискует должностью – мало кто из работодателей принципиален настолько, чтобы вести человека в суд. В этой ситуации аутсорсер теряет гораздо больше – репутацию, свой главный капитал.

Конечно, это совершенно не говорит о том, что нужно отдать контроль на самотек. Да, без базового доверия нет смысла связываться с аутсорсингом в принципе. Но важно убедиться, что действия стороннего специалиста логируются, и время от времени просматривать, что делает аутсорсер, насколько продуктивно он работает с программой.

Кроме того, аутсорсинг – не та услуга, которую можно «получить и забыть». Исполнителя нужно снабжать информацией о бизнес-процессах и озадачивать, исходя из текущих проблем компании. С аутсорсером придется работать в тесном контакте: разъяснять детали, уточнять ТЗ, искать взаимопонимание. Так можно контролировать, как именно и насколько качественно аутсорсер делает свою работу.

Спрос на предложение

Несмотря на то, что аутсорсинг внутренней безопасности в России распространен очень мало, компании проявляют к нему интерес. Мы это видим по запросу от наших клиентов: многие и хотели бы поставить систему защиты информации в своей компании, но часто не уверены, что покупка ПО отобьется, или понимают, что обрабатывать полученную информацию будет некому. Для них аутсорсинг – это выход.


Компании, у которых по разным причинам нет службы информационной безопасности, могут использовать «КИБ СёрчИнформ» на условиях аутсорсинга. 


Вот, кому сервис пригодится в первую очередь:

  1. Компаниям, штат которых перешагнул планку в 50-100 человек. Руководству становится сложнее контролировать сотрудников, но до покупки специального ПО и найма службы безопасности бизнес еще не дорос.
  2. Компаниям, где служба безопасности есть, но занята другими задачами: сосредоточена на физической охране инфраструктуры или мониторинге экономических рисков. Или когда в ней нет специалистов, умеющих использовать IT-инструменты защиты. На рынке в принципе немного профессионалов с опытом, способных и отслеживать ИБ-угрозы, и проводить расследования инцидентов. Иногда компании просто не могут найти подходящего сотрудника, какую зарплату ни предлагай.
  3. В бизнесах, где нужно решить локальную задачу: понять, как оптимизировать штат, выяснить, почему выросла текучка кадров или обнаружить неэффективный бизнес-процесс. Часто топ-менеджмент в этих вопросах не может положиться на мнение линейного руководства – субъективизм смажет всю картину.

Игра стоит/не стоит свеч

Тонкое место аутсорсинга в том, что полноценно включиться в бизнес-процессы заказчика аутсорсеру с ходу сложно. Успех здесь во многом зависит от принимающей стороны.

Другой момент, который смущает заказчиков – аутсорсинг не будет стоить дешево. Тариф складывается из стоимости аренды ПО, работы ИБ-специалиста. Часто аутсорсер предоставляет во временное пользование и «железо». Но в любом случае, если бы компании организовывали процесс с нуля самостоятельно, информационная безопасность стоила бы им гораздо дороже.

С учетом этого есть несколько сценариев, для чего российским компаниям имеет смысл отдавать внутреннюю безопасность на аутсорсинг.

Во-первых, это возможность протестировать и поставить на ноги ИБ в своей компании. Аутсорсинг – хороший старт для тех бизнесов, где контроль корпоративных рисков не существует ни в каком виде. Без глобальных расходов руководитель сможет сориентироваться, нужно ли ему организовать процесс контроля сотрудников в принципе и, если да, – в каком виде.

Возможно, модель аутсорсинга устроит менеджмент до такой степени, что он остановится на таком варианте решения вопросов безопасности. Возможно, в компании решат отдать внешнему исполнителю только часть процессов или привлечь его под решение узких задач.

Так что при всех оговорках ИБ-аутсорсинг создает новую культуру корпоративной безопасности. Сложное и тонкое дело защиты от внутренних угроз становится доступно компаниям, которые до сих пор не могли себе позволить обзавестись необходимыми инструментами и специалистами. Таким образом, стоит ИБ-аутсорсингу оформиться в четкое предложение, рынок однозначно его воспримет.


Аутсорсинг ИБ

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними