Решились передать задачи по информационной безопасности подрядчику? Рассказываем, как наладить эффективную работу с максимальной пользой для дела. 

Что это такое? 

Под аутсорсингом информационной безопасности (ИБ-аутсорсинг) понимают защиту от внешних и внутренних угроз силами приглашенного специалиста. Сотрудник поставщика услуги – ИБ-аналитик – оценивает корпоративные риски, связанные с персоналом, анализирует действия пользователей в системе, следит за использованием рабочего времени. Все это в итоге помогает предотвратить утечки данных, мошенничество, саботаж и другие инциденты.  

ИБ-аутсорсинг включает:

• внедрение и настройку системы мониторинга передачи информации по сетевым каналам и на внешние устройства (DLP); 
• анализ перехвата DLP и выявление нарушений;
• составление подробных отчетов по инцидентам.

Схема работы ИБ-аутсорсинга в компании

Кому нужен?

Такой формат работы с ИБ подходит компаниям всех размеров из любой сферы. А для малого и среднего бизнеса – это порой единственный способ безболезненно закрыть вопрос с защитой информации. 

Аутсорсинг применим в разных ситуациях:

• в компании нет DLP и службы безопасности (СБ), но потребность защищать данные назрела (50+ компьютеров, работа с персданными, конкурентный рынок – есть опасность похищения производственных секретов или клиентских баз);
• в компании есть СБ, но она занимается физической или экономической безопасностью, а на ИБ времени не хватает;
• в компании есть DLP, но ее некому обслуживать.

Большой плюс аутсорсинга в том, что его можно бесплатно испытать в деле. Пилотное тестирование услуги позволит оценить навыки ИБ-аналитика и возможности DLP, а также увидеть, какие проблемы есть в компании.

Инциденты, обнаруженные у клиентов «СёрчИнформ» во время тестирования ИБ-аутсорсинга

Как наладить процесс

1. Организуйте доступ к системе.

Для настройки DLP и поиска инцидентов аналитику нужно подключиться к корпоративной системе. Все действия аналитика в системе логируются, перед началом сотрудничества с подрядчиком подписывается пакет документов, который включает и договор о неразглашении информации (NDA). К тому же, поставщик услуги рискует репутацией в случае утечки клиентской информации по его вине.

2. Снабдите аналитика информацией о компании. 

Даже для опытного специалиста компания заказчика – это терра инкогнита. Чтобы он быстрее вошел в работу, предоставьте ему информацию:

• общий список сотрудников, чьи компьютеры будет контролировать DLP (для правильной оценки пользовательских действий в системе, например, замдиректора может изучать бухгалтерскую документацию, а завхоз – нет);
• список сотрудников на «удаленке» (их следует контролировать в первую очередь, поскольку они владеют корпоративными данными, но остаются вне поле зрения руководства); 
• перечень почтовых доменов (для мониторинга сообщений, отправленных и полученных на email); 
• почтовые домены конкурентов (для отслеживания связей с сотрудниками); 
• должностные инструкции (для понимания бизнес-процессов) и др.  

Этой информации достаточно, чтобы обнаружить типовые инциденты. Но чтобы аналитик «копнул глубже», ему можно поставить конкретные задачи. Поэтому обсудите с ним «тонкие места» в работе сотрудников. Честный разговор позволит определить, какие нарушения считать инцидентом, а какие нет, правильно расставить приоритеты и быстрее разобраться в ситуации.  

3. Определите ответственное лицо. 

В помощь специалисту по ИБ-аутсорсингу понадобится сотрудник компании – куратор, который будет держать с ним связь и принимать решения по найденным нарушениям. Куратор получит привилегированный доступ к DLP и при желании сможет работать в ней самостоятельно.

Поручить это дело нужно ответственному и лояльному к компании человеку, которому руководство готово доверить защиту интересов компании и внутренние секреты. В идеальном случае – это руководитель службы безопасности или один из собственников бизнеса. Первый знает, где в компании слабые места и сможет наладить эффективную работу. Второй в случае инцидентов теряет собственные деньги, так что отношение к делу с его стороны будет максимально серьезным. 

На практике куратором чаще назначают руководителя либо рядового сотрудника службы безопасности (информационной, экономической или физической), системного администратора. Однако на эту роль можно назначить любое доверенное лицо собственника.

При неправильном выборе куратора эффективность аутсорсинга снижается. Например, он может медленно реагировать на нарушения, что помешает вовремя предотвратить крупный инцидент. Безответственные сотрудники могут скрывать «неудобные» инциденты от руководства (обсуждение начальника, недовольство зарплатой). Недостаточно компетентные или незаинтересованные могут вовсе проигнорировать нарушение или подозрительную тенденцию. В итоге просто переписка в рабочем чате перерастает в реальную проблему, а ценный сотрудник уходит к конкурентам.     

4. Договоритесь об экстренной связи и графике отчетов.

В ИБ важна оперативность, поэтому договоритесь на берегу, что, кому, куда и в какое время будет отправлять аналитик. 

Для экстренной связи аналитика с куратором и при необходимости – с руководителем компании удобнее использовать телефон или мессенджер. 

Помимо оперативных оповещений об инцидентах, требующих срочного вмешательства, аналитик высылает куратору подробный отчет. В нем описывает все происшествия (и мелкие, и крупные). Частоту и адрес отправки отчетов также нужно обсудить заранее. На практике если компания поставила на контроль до 100 ПК, первый отчет можно попросить через 7-10 дней. А если контролировать нужно более 500 компьютеров, можно запрашивать отчет и раз в месяц. За это время аналитик успеет собрать информацию по всем отделам и ПК.

Формат ежемесячного отчета аналитиков «СёрчИнформ»

Некоторые оценивают эффективность аутсорсинга по количеству найденных инцидентов, но стоит обращать внимание и на их качество. Одно дело – на полчаса «зависнуть» в соцсетях и совсем другое годами брать миллионные откаты.

5. Разберитесь с инцидентами.

Зона ответственности аналитика простирается от установки DLP до составления подробного отчета по инцидентам. Он может выделить наиболее критичные нарушения и дать рекомендации по реакции на них. Но принятие окончательных решений остается за куратором и руководителем компании.

Как эффективно ликвидировать последствия утечки информации? Читать.

Отчеты отражают реальное состояние дел в компании: кто работает эффективно, а кто только создает видимость занятого специалиста, кто честно проводит тендеры, а кто берет взятки. Владея полной информацией, легче принимать верные и эффективные управленческие решения.

Заключение

ИБ-аутсорсинг – хороший вариант для компаний, у которых нет времени и ресурсов на организацию «штатной безопасности». Но нужно помнить, такой формат отношений требует ответственного подхода с двух сторон, тогда эффект от услуги не заставит себя ждать.