Информационная безопасность для директора От микробизнеса до корпораций Безопасность малого бизнеса
Ваши сомнения... Решения и продукты Информационной безопасности Сколько стоит безопасность вашего бизнеса?

Ваши сомнения
в надежности
Информационной
безопасности
на аутсорсинге...

обсуждает эксперт по Информационной
безопасности ИЦ АВИС:

Об ответственности за работоспособность системы Информационной безопасности,
если ее обслуживание производится сторонней компанией (аутсорсером).

Аутсорсер отвечает
за систему не «головой»,
а только в рамках SLA.

А какая суперответственность у ваших сотрудников? Такая же.
Ну не будут же их убивать или судить?!
Тоже, только в рамках трудового договора.
Остальное – самообольщение!

У аутсорсера нет персонального
сотрудника, владеющего всей информацией
и отвечающего за систему

В каком смысле? Вы получаете услугу, все прописано в договоре – сделайте
нормальный договор. Даже вынесение «сора из избы» можно оговорить в
разделе о конфиденциальности. В бизнесе к своим сотрудникам должно быть
такое же «доверие», как и к посторонним! Остальное - иллюзии.

Размер штрафов
не соизмерим с потенциальными
потерями компании.

Заложите в договор
соизмеримые санкции. Кто мешает?
За все нужно платить.

Сотрудники
аутсорсера не проходят
проверку СБ.

Проверка СБ? Не смешите. Если только это не проверка
на государственном уровне (через различные конторы и
официально). Что проверяет частная СБ? Просто очередная
«пугалка» для оправдания затрат на ее содержание.

Аутсорсер не соблюдает
требования Информационной
безопасности компании.

Опять все просто. Пропишите все в договоре и контролируйте.
Формируйте «отжатые» отчеты. Заложите свои требования в договор.
Правда, мало кто может такие требования грамотно изложить,
не перегружая задачами, решение которых никому не нужно.
Но и эта проблема с нашей помощью решаема.

Об ответственности аутсорсера за сохранность и конфиденциальность информации.

Сотрудники аутсорсера
могут «увидеть» лишнее при
работе с системой.

Я бы здесь закавычил слово «лишнее»! Не стройте иллюзий про то,
что айтишники вашей компании суперпатриотичны и отличаются этим от
айтишников «за забором». Бизнес в первую голову будет подозревать ….
Правильно! Своих сисадминов! Так было, так есть и будет всегда. У аутсорсера
заинтересованных в вашей «лишней» информации гораздо меньше.

Сотрудники аутсорсера владеют
информацией по уязвимостям
в работе систем и внутренним
инцидентам ИБ.

Если их допустить на объект или к логам – да, будут владеть,
но это - для услуги управления на ваших сетях. А если сети не ваши, и для вас это
только услуга? Огромное хранилище с защитой на периметре. Зачем им ваши
внутренние инциденты? Они вас даже не видели никогда. Дайте им правильное
задание и обезличьте (если хотите) пользователей. Тогда ваши инциденты
останутся с вами.

Сотрудники аутсорсера
могут украсть или исказить
данные.

Да, могут. Фантазий по этому поводу может быть много,
в реальности вопрос один: «Зачем им это делать»? Если проанализировать
реальные ситуации, то самыми потенциально опасными окажутся сисадмины
вашей компании! А аутсорсер может даже решать задачи по защите
(или доказательстве невиновности) «своих».

Не выполняются
требования регуляторов
(работа с ПДН, PAN, коммерческой
или банковской тайной).

Никто не против. Найдите партнера, который предоставит
«облачные услуги» с учетом требований регуляторов (все, что
пропишете в договоре). Просто это будет стоить немного дороже.

Невозможно
контролировать проводимые
работы.

Не убедительно. Контролировать и мониторить как раз проще.
Стоит только определиться, какие работы мониторить, какие контролировать,
а какие оставить в покое. И сотрудников для этого нужно меньше,
чем при полном обеспечении всего набора требований для услуг ИТ и ИБ.

Сложно выделить
и классифицировать ту информацию,
которую я готов передать на обработку
аутсорсеру.

Да, это серьезная проблема.
В каждом случае схема решения уникальна.
Специалисты по ИБ смогут помочь вам оценить угрозы и риски.
Только в результате анализа вы можете определиться,
на что вы готовы пойти.

Об управляемости команды аутсорсера.

Контролировать только SLA -
малоэффективно, в нем невозможно
учесть все.

Пропишите в SLA подробно систему
реакций на инциденты (Trouble Ticket)
и получите решение.

Нет возможности
работать внеурочно.

Если нужно - впишите в договор.
Будет дороже, но получите услугу.
Ищите аутсорсера с системой 7 х 24 х 365

Аутсорсер не знает
«внутренней кухни» компании.

А для чего ему ее знать? Это и хорошо, когда ее не знают.
Квалификация службы ИТ, а особенно ИБ заключается в том, что исполнители
со стороны вообще не представляют, что они делают (с какими материалами
работают). Так легче обеспечить защиту информации.

Свои быстрее разберутся и реально будут делать дела.
Когда что-то случается, все бегают, «шуршат», что-то
происходит. А аутсорсер: 5 минут прошло - ничего, 10 минут
прошло - ничего: так делают они что-то или нет?

Договор! Прописать в нем все реакции
на инциденты и контролировать. Деньги -
самый лучший регулятор и мотиватор.

О роли СБ в процессе взаимодействия с аутсорсером.

Для чего нужна СБ, если работает
аутсорсер, как показать собственную
эффективность?

Правильно разделить функции и процедуры!
Кто сказал, что аутсорсер снижает влияние СБ?
Хорошо организованная работа с аутсорсером – ваша заслуга СБ.
Если еще покажете повышение качества вашей услуги для основного бизнеса в сочетании
с сокращением стоимости этой услуги для бизнеса – все будет воспринято «на ура».
А эффективность – показать через:
- стоимость предотвращенных убытков против стоимости владения ИБ и убытков реальных.
Посмотреть по годам и показать динамику;
- отношения затрат на ИБ по годам к объемам оборота/прибыли;

Взаимодействие с аутсорсером
формализовано и выполняется без учета
специфики сотрудников и их должностей.

Чем меньше этой «специфики» - тем полезнее
для основного бизнеса. Всегда «специфика» –
это синоним дополнительных расходов!

Аутсорсер все процессы выстраивает
под себя, и заказчик становится
зависимым на всю жизнь.

Варианты противодействия этому:
- найти партнера который уже реализовал модель,
идентичную вашим требованиям;
- найти партнера, который реализовал определенную модель и принять ее;
- найти партнера, который реализовал определенную модель и заставить его
переделать ее под ваше видение.
Все реально! Разница только в цене и качестве.
И никакой зависимости!

Разборки со своими намного
быстрее (по понятиям), чем с
аутсорсером (по договору).

Это иллюзия. Что это даст –
«убивать» будете или в яму сажать?
Все это проходит. Нужно учиться
разбираться по договорам.

И, наконец:

Среди аутосорсеров
нет компаний такого уровня
профессионализма,
какой нужен мне.

Есть!