|
Страница 1 из 2 Аутсорсинговая модель организации систем IT-безопасности только зарождается в России. Мировой опыт показывает, что первые шаги будут довольно трудными для поставщиков услуг - требуется преодолеть осторожное отношение к аутсорсингу со стороны потенциальных заказчиков.
Для начала хотелось бы дать определение. Аутсорсинг — передача стороннему подрядчику некоторых бизнес-функций или частей бизнес-процесса компании. Это делается с целью концентрации собственных усилий на традиционных работах, выполняемых собственным персоналом и собственными ресурсами. Передавать на аутсорсинг можно все бизнес-процессы, которые не являются основными для компании. Для аутсорсинга IT-безопасности также используются термины Managed Security Service («управляемый сервис безопасности») или Hosted Security. Кроме того, многие провайдеры подобных услуг не называют себя аутсорсерами, а предпочитают именоваться MSS-провайдерами или HS-провайдерами. Возникает законный вопрос: считать ли организацию антивирусной защиты или, говоря более широко, организацию IT-безопасности ключевой компетенцией компании? Можно ли отдать на аутсорсинг эту функцию? Если можно, то что выиграет фирма, использующая аутсорсинг? Существуют ли случаи, когда использование аутсорсинга не применимо?
В общем виде IT-безопасность не является профильной задачей для организации. Исключение составляют лишь компании, которые сами специализируются на безопасности. Следовательно, отдать IT-безопасность на аутсорсинг можно. Проще и логичнее всего отдавать на аутсорсинг системы защиты периметра — защиту почтового трафика, шлюзов, организацию VPN и систем обнаружения вторжений (Intrusion Detection System). То есть те службы, которые контактируют с внешним миром и которые можно «вынести» за пределы периметра предприятия безболезненно.
В качестве примера аутсорсинга системы IT-безопасности рассмотрим аутсорсинг защиты почтового трафика. Для клиента все выглядит более чем просто — достаточно изменить MX-запись в DNS, и все почтовые сообщения начнут поступать на серверы сервис-провайдера. Там будет происходить обработка писем, а затем чистая почта будет доставляться серверу клиента. Единственное, что должен сделать клиент, указать, что именно он не хочет получать на свой почтовый сервер, например спам, вирусы, порнографические изображения или некоторые прикрепленные файлы (attachments), и что необходимо делать с этой нежелательной корреспонденцией, скажем, удалить или отправить в карантин. В результате все работает, как швейцарские часы (схема 1). Клиенту незачем знать, какие технологии используются у аутсорсера, сколько у него серверов и сколько человек следит за этими серверами.
Разумеется, провайдеры услуг не ограничиваются функциями защиты почтового трафика. Все современные сервисы гарантируют высочайшую безотказность. Так, в случае проблем с почтовым сервером клиента провайдеры гарантируют, что почта не потеряется, а будет сохраняться в специальной базе у провайдера. Более того, некоторые провайдеры предоставляют веб-доступ к этой базе (веб-почта) на то время, пока специалисты заказчика восстанавливают свой почтовый сервер. То есть даже при возникновении проблем с почтовым сервером работа компании не прервется. У сотрудников организации будет возможность получать и отправлять почту.
Другой интересной возможностью для аутсорсинга является услуга по резервному копированию всех почтовых сообщений. Деятельность публичных компаний ограничена законодательными и нормативными актами, регулирующими информационные потоки в компании: Basel II, SOX (Sarbanes-Oxley Act of 2002), HIPAA и другие. Чтобы соответствовать законодательным актам, необходимо, в частности, обеспечивать копирование всех почтовых сообщений и хранение их в течение длительного срока. Именно такой сервис и предоставляют аутсорсеры. В России пока нет подобных актов, но информация о том, что проекты подобных законов рассматриваются во властных структурах, уже есть.
В чем же преимущества использования аутсорсинга по сравнению с другими вариантами? Как правило, сервисы защищают от всех угроз. Если говорить о сервисах защиты почтового трафика, то защита осуществляется от спама, вредоносных программ, атак хакеров (в первую очередь DHA-атак, направленных на обнаружение реальных почтовых адресов). Кроме этого, сервисы защиты почтового трафика минимизируют риски, связанные с неработоспособностью почтового сервера клиента.
В целом же, для подключения к сервису не требуется дополнительного программного и аппаратного обеспечения. Временные затраты на подключение минимальны. Иногда стоимость внедрения традиционной системы информационной безопасности превосходит планируемую стоимость в связи с необходимостью дополнительного приобретения аппаратного, программного обеспечения или установки дополнительных «заплаток» или обучения персонала и т. д. При использовании же аутсорсинга стоимость внедрения всегда однозначна.
С точки зрения IT-специалиста выгоды от применения аутсорсинга IT-безопасности несколько другие.
Во-первых, гарантируется оптимальная и постоянно развиваемая защита. Как известно, для обеспечения надежной защиты периодически требуется обновлять систему IT-безопасности. Сервисы находятся в постоянном развитии и всегда поддерживаются в наиболее актуальном, с точки зрения обеспечиваемой защиты, состоянии. При этом никаких затрат, как временных, так и материальных, клиент не несет.
Во-вторых, нет необходимости беспокоиться об обновлении программного обеспечения или каких-либо баз (например, вирусных сигнатур) даже в случае критических ситуаций. Сервисы находятся на стороне сервис-провайдера, все необходимые обновления устанавливаются автоматически сразу же после их создания и тестирования.
В-третьих, полная независимость сервиса и IT-инфраструктуры. Ведь у клиента могут быть любые серверы, работающие на любой операционной системе.
В-четвертых, минимальный срок запуска системы защиты в эксплуатацию. Использование сервисов действительно позволяет включить систему защиты в течение нескольких минут.
Наконец, в-пятых, для систем защиты почтового трафика сервисы обеспечивают значительное снижение входящего почтового трафика и однозначное предсказание его объема. В связи с тем, что весь нежелательный контент будет отсеян и остается только легитимная почта, количество которой примерно постоянно, системный администратор может легко рассчитать нагрузку на корпоративный почтовый сервер. Также исключаются пиковые нагрузки, вызванные спамерскими рассылками.
Кому и почему может быть интересен сервис?
Типичным потребителем услуг аутсорсинговых компаний является средняя компания, бизнес которой быстро развивается, появляются новые люди, а IT-инфраструктура не успевает за ростом компании. В штате уже есть IT-специалист, но его сил не хватает, чтобы в одиночку (или с коллегой) развивать инфраструктуру и поддерживать в актуальном состоянии существующее программное и аппаратное обеспечение, обучать персонал и т. д. В итоге или страдает бизнес, или, что бывает довольно часто, компьютеры компании постоянно подвергаются различным атакам (вирусным, хакеров или спама). Передача части функций третьей стороне позволит IT-специалисту сфокусироваться на бизнес-инфраструктуре компании и не заниматься каждодневным обслуживанием систем IT-безопасности.
У малых компаний ситуация похожа — для таких компаний экономически невыгодно (да и не имеет смысла) содержать в штате высококвалифицированного и дорогого сотрудника по IT-безопасности, который бы настраивал и постоянно следил за системой защиты почтового трафика. Используя сервисную модель организации IT-безопасности, можно полностью переложить заботу о работоспособности системы на квалифицированных экспертов.
Для крупных компаний на первый план выходит сокращение издержек при использовании аутсорсинга и возможность ввести единую политику безопасности для различных филиалов. Поскольку применение сервиса позволяет проверять и защищать в одном месте трафик со всех филиалов, внедрить единую политику безопасности для всех филиалов становится очень просто.
Еще одна причина, побуждающая компании воспользоваться услугами аутсорсеров, — это нехватка квалифицированного персонала. С одной стороны, нанимать подобных специалистов дорого, еще дороже удержать, если невозможно обеспечить такого человека интересной для него работой. С другой стороны, можно обучить своего сотрудника, но где гарантия, что в дальнейшем он не перейдет в другую (обычно более крупную) компанию?
|
