Спрос на услуги аутсорсинга информационной безопасности в условиях кризиса

Редакция каталога средств и систем информационной безопасности "IT-Security" провела опрос представителей компаний-потребителей различных отраслей российской экономики на тему: "Аутсорсинг информационной безопасности в условиях кризиса". В опросе приняли участие представители ООО "АйСиАйСиАй Банк Евразия", УК "МЕТАЛЛОИНВЕСТ", СГ "УРАЛСИБ", Wrigley GmbH, ОАО "Концерн "Вега", а также НОУ "Академия Информационных Систем.

Респондентам были заданы следующие вопросы:

• Изменится ли, по Вашему мнению, в условиях кризиса спрос на услуги аутсорсинга информационной безопасности?
• Если да, то чем, на Ваш взгляд, обусловлено это изменение, и как оно скажется на развитии рынка информационной безопасности?

Представляем результаты данного опроса.

Георгий Гарбузов
CISSP, MCSE: Security, дирекция информационной безопасности Страховой Группы "УРАЛСИБ"

Чем кризис отличается от некризисного периода? Объективные его характеристики (спад производства, обесценивание активов, рост безработицы и др.) в долгосрочной перспективе пугают не так сильно, как нестабильность и непредсказуемость рынка. И для того чтобы остаться на плаву (или под давлением регулятора в части финансовой устойчивости), организации наращивают запас "подкожного жира", что в условиях снижения прибыли достигается путем сокращения затрат или изменения их структуры. Первыми под удар попадают непроизводственные и непрофильные активы - в их число входят IT и ИБ. Однако зависимость бизнеса от IT хорошо понятна, а вот прямого влияния информационной безопасности на финансовый результат руководители не видят, и "сокращение" ИБ видится им приемлемым. И даже осознавая серьезность угроз ИБ, руководители, в большинстве своем, подчиняются теории проспектов, описанной Брюсом Шнайером (http://www.securitylab.ru/analy-tics/350909.php): ущерб от угроз в сфере ИБ носит вероятностный характер, в то время как постоянные убытки, причиняемые кризисом, ощутимы уже сейчас. Руководители, по сути, согласны мириться с вероятными потерями, взамен сокращая расходы гарантированные - издержки, связанные с содержанием "ненужных подразделений". В дальнейшем они могут вовсе отказаться от ИБ, сократив бюджеты до нуля, стать потребителем услуг ИБ в пакетном оформлении (так называемой "коробочной безопасности") или начать развивать аутсорсинг, который хорош тем, что позволит достигать целей ИБ, не обременяя себя постоянными расходами на ФОТ персонала, его обучение, аренду помещений, оплату больничных листов и т.д. К числу последних, на мой взгляд, прежде всего относятся компании:

• развивающие высокотехнологичный бизнес, сильно зависящий от IT (провайдеры, крупные Интернет-магазины);
• подпадающие под обязательное требование регулятора в части обеспечения ИБ (организации финансовой сферы, банки);
• оказывающие услуги населению и обрабатывающие персональные данные клиентов (страховые компании, медицинские учреждения).

Таким образом, я полагаю, кризис должен подтолкнуть развитие рынка аутсорсинга в нашей стране (кстати, широкое использование аутсорсинга давно уже является нормой на Западе), сделав его удобным финансовым инструментом для бизнеса, позволяющим решать те же задачи и добиваться тех же целей, получая продукт требуемого качества с меньшими затратами.

Евгений Климов
Начальник отдела информационной безопасности УК "МЕТАЛЛОИНВЕСТ", CISM, CISSP, PMP

Основной выгодой от использования аутсорсинга принято считать сокращение издержек, значительное снижение трудоемкости и затрат на эксплуатацию информационных систем и приложений, возможность сосредоточения ресурсов на основных бизнес-направлениях без отвлечения на вспомогательные процессы. Кроме того, компания снижает уровень зависимости бизнеса от персонала ИБ-подразделений. Однако когда встает вопрос о передаче всех функций или какой-то части функций по обеспечению информационной безопасности сторонней организации, становится понятно, что не все так прозрачно и однозначно.

Если в компании внедрена и функционирует система управления информационной безопасностью адекватного уровня зрелости, то вопрос использования аутсорсинга ИБ достаточно легко просчитывается в соответствии с внутренней методологией анализа рисков ИБ. Для принятия положительного решения необходимо, чтобы экономическая выгода от передачи части функций по защите информации сторонней организации превышала размер сопутствующих рисков в количественном выражении. Но этого недостаточно, потому что из-за субъективности результатов оценки рисков никто не даст гарантии точности оценки размера и вероятности потенциального ущерба от использования аутсорсинга ИБ. Таким образом, аутсорсинг информационной безопасности оправдан в случае его экономической обоснованности и готовности руководства компании принять сопутствующие риски. В условиях финансового кризиса руководство может сознательно пойти на повышение уровня приемлемого риска, и аутсорсинг ИБ будет являться одной из составляющих комплекса антикризисных мер.

Стоит отметить возможность аутсорсинга процессов ИБ практически без сопутствующих рисков. Например, обнаружение и предотвращение атак. В данном случае специалисты сторонней организации не получают доступа к внутренним ресурсам компании, и риски ИБ минимальны. В результате компания-заказчик получает качественный и профессиональный сервис, повышает уровень своей защищенности и снижает издержки. Естественно, это возможно лишь при условии высокой профессиональной подготовки сотрудников компании-аутсорсера и понимания ими проблем ИБ в области бизнеса компании-заказчика.

Хочется надеяться, что рынок аутсорсинга ИБ в России будет успешно развиваться, соотношение цены и качества предоставляемых сервисов останется на приемлемом уровне, и мы не получим пресловутого эффекта "гонки на дно".

Олег Ларин
Старший инженер по информационной безопасности Wrigley GmbH

Я придерживаюсь мнения, что произойдет рост рынка аутсорсинговых услуг, хотя я бы не ждал здесь значительного подъема. В условиях кризиса те компании, которые "верят" в то, что аутсорсинг уменьшит стоимость владения, будут стремиться перевести как можно больше сервисов "наружу". С другой стороны, достаточно много организаций считают, что аутсорсинг не оправдан. И при нехватке средств эти предприятия, скорее всего, не будут развивать внешнее направление, а постараются сфокусироваться на большей эффективности внутренних ресурсов.

Однако развитие ситуации будет зависеть также и от политики компаний-аутсорсеров. Если им удастся снизить цены на услуги, то они привлекут значительно больше клиентов, чем до кризиса.

Можно также ожидать, что те организации, где отделы информационной безопасности неэффективны, будут испытывать давление со стороны менеджмента в направлении скорейшего перехода на услуги провайдера.

Не стоит забывать, что при переходе на услуги провайдера риски, связанные с разглашением информации, обычно увеличиваются. Это является сдерживающим фактором для роста рынка данных услуг.

Фарит Музипов
Заместитель начальника по информационной безопасности ООО "АйСиАйСиАй Банк Евразия"

В условиях кризиса организации будут искать сокращения расходов, в том числе и расходов на обеспечение информационной безопасности. Но, с другой стороны, угроз информационной безопасности никто не отменял. Наоборот, возрастают угрозы со стороны как инсайдеров, так и внешних нарушителей. И компаниям придется искать ответ на непростой вопрос: как, сокращая затраты на обеспечение информационной безопасности, не потерять их качество? И здесь очень кстати будет аутсорсинг ИБ.

На мой взгляд, аутсорсинг не будет дешевым. Но это, пожалуй, единственный способ для небольших компаний получать услуги такого же качества, как и в крупных компаниях.

На первый взгляд, здесь нет ничего сложного. Есть три компании, в которых работают по одному специалисту по информационной безопасности. Почему бы им не объединиться в одну компанию и не оказывать услуги тем трем компаниям? И если дело у них пойдет, то они могут взять на обслуживание четвертую и пятую компанию, что, в конечном счете, позволит им уменьшить стоимость их услуг. Но не все так просто.

Прежде всего, предстоит решить вопрос доверия. Клиенты должны доверять аутсорсинговой компании. А для этого нужно быть уверенным, что аут-сорсинговая компания не допускает утечки конфиденциальной информации клиентов, к которой она получила доступ в результате оказания услуг, что сотрудники аутсорсинговой компании не нанесут своими действиями вред компании, а также в том, что аутсорсинговая компания будет долго существовать на рынке и качество ее услуг не ухудшится со временем. Аутсорсин-говая компания тоже должна быть уверена в своем клиенте, утечка конфиденциальной информации может произойти и по вине самого клиента, но обвинять он в этом может аутсорсера.

Какой выход может быть в этой ситуации? Прежде всего, аутсорсинговая компания должна уметь тщательно составлять все документы и документировать все действия с клиентами. Это очень важно для клиента. Во-первых, все действия аутсорсинговой компании для него прозрачны. Во-вторых, тщательное ведение документации позволит клиенту быть уверенным в том, что он не испытает трудностей, если по каким-то причинам аутсорсинговая компания перестанет существовать или качество ее услуг ухудшится. В этом случае клиент наймет своих специалистов или перейдет в другую аутсорсинговую компанию, специалисты которой быстро разберутся в документации и включатся в процесс. Хотя это и звучит парадоксально, но в данном случае возможность безболезненно отказаться от услуг аутсорсинговой компании является дополнительным аргументом в пользу того, чтобы продолжить пользоваться ее услугами.

Итак, что мы видим? Аутсорсинговая компания - это уже не три специалиста по информационной безопасности, о которых мы говорили вначале. Добавьте к ним специалистов, которые умеют оформлять техническую документацию. Добавьте технически грамотного юриста, который знает, как нужно оформить договор и организовать процесс взаимодействия с клиентом, чтобы избежать претензий со стороны клиента за разглашение тайны. Добавьте маркетолога, который знает этот рынок, знает, как привлечь новых клиентов. Добавьте руководителя, который вдохновит эту компанию на победу. И не будем забывать про бухгалтера, про отдел кадров, хозяйственные подразделения. В этом причина того, почему я считаю, что услуги аутсорсинга не будут дешевыми.

Но почему я считаю, что услуги аутсорсинга могут быть качественными? Прежде всего, в аутсорсинговой компании меняется статус задачи: информационная безопасность из затратного вспомогательного процесса становится основным процессом, который приносит деньги. Только аутсорсинговая компания может позволить себе нанять юриста, который разбирается в вопросах информационной безопасности. В то время как, например, компания, работающая на рынке недвижимости, наймет юриста, который знает все нюансы этого рынка, но может не разбираться в вопросах обеспечения конфиденциальности информации и т.д. Специалисту не нужно проявлять настойчивость, чтобы обратить внимание ководства на проблемы информацион-руной безопасности, так как руководство компании само все время думает только об информационной безопасности, потому что именно она приносит деньги компании. У аутсорсинговой компании другие возможности по обучению специалистов.

Так что, на мой взгляд, аутсорсинг имеет хорошие перспективы, если им заниматься "по-взрослому".

Алексей Николаев
Специалист по защите информации ОАО "Концерн "Вега"

Аутсорсинг безопасности в условиях кризиса обретает иную степень доверия к себе со стороны потребителей этих услуг. Многие факторы в сложившихся условиях влияют на снижение спроса на аутсорсинг информационной безопасности. Тем компаниям, которые раньше доверяли свою безопасность аутсорсерам, возможно, сегодня придется отказаться от этих услуг, объяснением чему могут служить следующие причины:

• международный экономический кризис расценивается большинством пострадавших компаний, заключивших договора до кризиса, как форс-мажорное обстоятельство, и в результате ни одна из сторон договора при его расторжении из-за кризиса ответственности не несет;
• уровень цен на услуги аутсорсинга повысился;
• компания, предоставляющая услуги ИБ-аутсорсинга, может внезапно прекратить свою деятельность в результате кризиса;
• происходит сокращение сотрудников ряда компаний, в том числе и тех, которые работают в области информационной безопасности, соответственно лояльность к работодателям резко падает, и угроза инсайда становится более ощутимой, чем в обычное время.

Таким образом, на мой взгляд, в условиях финансово-экономического кризиса и сокращения бюджетов доверить безопасность внешним специалистам большинство компаний, наверное, не решится.

К услугам аутсорсинга организации обычно прибегают в крайнем случае, когда, например, сами не могут справиться с подбором специалистов, закупить необходимое программное обеспечение и оборудование для защиты своей информации.

Кроме того, не исключено, что многим компаниям, предоставляющим услуги аутсорсинга информационной безопасности, теперь придется приостановить те проекты, которые могут принести результаты лишь в далекой перспективе, или те, которые вообще не гарантируют результаты (или просто отказаться от таких начинаний).

В сложившейся ситуации интерес будут представлять лишь проекты, способствующие повышению эффективности бизнеса.

Наиболее дальновидные и успешные компании могут позволить себе увеличить расходы на безопасность, что, естественно, будет способствовать повышению их конкурентоспособности, в то время как другие вынуждены сокращать эти затраты. Речь идет, в первую очередь, о сокращении расходов на необходимое программное обеспечение и оборудование для обеспечения информационной безопасности и о более полном использовании ресурсов существующих средств обеспечения защиты информации.

Следует отметить, что сотрудники собственной службы информационной безопасности или сотрудники компании, предоставляющей услуги аутсорсинга ИБ, могут помочь компании в суровые кризисные времена выявить инсайдеров, а это, в свою очередь, позволит компании-заказчику услуг аутсорсинга, вынужденной сокращать сотрудников, с легкостью решить, кого собственно сокращать.

Есть и весьма весомые аргументы в пользу аутсорсинга информационной безопасности. Прежде всего, это экономия средств за счет отказа от приобретения непрофильного оборудования, решение задачи нехватки специалистов по ИБ (особенно в условиях сокращения персонала), разгрузка имеющихся сотрудников подразделения информационной безопасности с их последующей переориентацией на другие важные задачи, привлечение опытных специалистов, обеспечение непрерывной защиты важных информационных ресурсов. Таким образом, можно сделать вывод о том, что в целом спрос на услуги аутсорсинга информационной безопасности если и сократится, то незначительно.

С другой стороны, в то время как кризис мотивирует компании сокращать расходы, рынок труда перестанет страдать от нехватки ИБ- и IT-специалистов, поэтому компании могут сэкономить на финансировании своих служб информационной безопасности или передать функции обеспечения ИБ в свои IT-подразделения. А это приведет к увеличению рисков и появлению новых угроз информационной безопасности, что весьма опасно для бизнеса компании.

В условиях кризиса важность обеспечения информационной безопасности не вызывает сомнений, и защита информации остается одной из приоритетных задач.

Игорь Хайров
Проректор НОУ "Академия Информационных Систем", к.т.н., доцент

Услугами аутсорсинга во все времена, вне зависимости от кризиса, пользовались компании в целях оптимизации затрат и наиболее эффективного использования собственных ресурсов, будь то материальные или человеческие. Область информационной безопасности не является исключением. Можно с большой долей уверенности утверждать, что спрос на услуги аутсорсинговых компаний в области информационной безопасности в условиях мирового финансового кризиса будет возрастать. Это связано с рядом причин. Во-первых, в условиях массовых увольнений персонала компаний, включая сотрудников, имеющих непосредственный доступ к конфиденциальной информации (базы данных клиентов, финансовая информация и т.п.) и к информации, составляющей коммерческую тайну, резко возрастает уровень инсайдерских угроз (и это при том, что такие угрозы и раньше лидировали) и уровень криминализации общества. Во-вторых, компании в условиях жесткой экономии уже не могут себе позволить построение адекватной системы защиты, мониторинга и противодействия всем видам угроз информационной безопасности, которая предполагает закупку, внедрение, настройку, администрирование и сопровождение дорогостоящих систем защиты информации. Соответственно тем компаниям, которым еще есть что терять, на помощь приходят аут-сорсинговые компании, специализирующиеся на информационной безопасности.

Основной вопрос заключается не в том, будет ли спрос на аутсорсинговые услуги в области информационной безопасности, а в уровне доверия к компаниям, предоставляющим такие услуги. С этой точки зрения предпочтение следует отдавать надежным, проверенным и зарекомендовавшим себя компаниям и стараться избегать малоизвестные компании, в штате которых работают неопытные сотрудники из числа студентов.

Также необходимо отметить, что даже при полном переводе информационной безопасности компании на аутсорсинг, данная компания должна четко осознавать, что основными источниками угроз являются сотрудники компании. Поэтому необходимо периодически проводить повышение осведомленности всех сотрудников в вопросах информационной безопасности. Это, в первую очередь, важно с той точки зрения, что сотрудники должны четко понимать, какую они несут персональную ответственность за те или иные действия или бездействия, приведшие к инцидентам информационной безопасности. Только комплексный подход, при котором каждый сотрудник компании четко осознает свое место и значение в обеспечении безопасности бизнес-процессов организации и аутсорсинговая компания ответственно выполняет взятые на себя обязательства, позволит в условиях кризиса экономить финансовые средства без ущерба для безопасности всей организации.