Директор управления информационных технологий ESET Russia Руслан Сулейманов в рамках конференции Ведомости. Практика «Кибербезопасность: законы, люди, технологии» выступил с темой «Аутсорсинг безопасности: плюсы и минусы».
«Для малого бизнеса никогда, по моему мнению, не будет экспертизы по ИБ внутри компании. Это утопия. Почему? Потому что, во-первых, у нас на рынке, на мировом рынке присутствует огромный дефицит кадров, именно профессиональных кадров по ИБ. Второй довод – эти кадры стоят огромных денег, если они профессиональные. Поэтому аутсорсинг для малого и среднего бизнеса, по моему мнению, это добро, которое необходимо использовать», – сказал директор управления информационных технологий ESET Russia Руслан Сулейманов.
Аутсорсинг обычно используется в двух случаях. Первый случай, характерный для сегмента малого бизнеса и среднего бизнеса, это отсутствие экспертизы в компании и попытка эту экспертизу получить. И второй случай, он более характерен для крупного бизнеса, это попытка компании передать какие-то специфические и рутинные функции на аутсорсинг, чтобы избавить компанию от этих рутинных функций и сконцентрироваться на более стратегических вещах.
Для малого и среднего бизнеса аутсорсинг помогает выстраивать правильные процессы, связанные с ИБ, сконцентрироваться на основной деятельности и сэкономить на инфраструктуре и программном обеспечении. Обычно для малого бизнеса у всех вендоров есть пакеты облачных услуг, пакеты, которые позволяют использовать инфраструктуру вендора и получать безопасность как сервис внутри компании.
Если говорить про крупный бизнес, это профессиональная реализация специфических сервисов, например, реализация регулярных аудитов извне компании, а не изнутри. Потому что внутри компании служба ИБ предвзята, они что-то могут не видеть, в отличие от независимых аутсорсеров, которые приходят, проводят аудит и дают свои рекомендации. Также для больших компаний, которые территориально распределены, характерно использовать внешние центры обработки данных, чтобы получать реакции на инциденты безопасности в режиме 24/7.
Отдельно Руслан Сулейманов затронул вопрос о том, как не надо делать и в каких случаях нельзя передавать на аутсорс ИБ. Аутсорсинг IT-безопасности невозможен без наличия стратегии ИБ внутри компании. Если внутри компании не понимают, что они хотят защищать, как они хотят защищать и чего хотят добиться, то передавать это на аутсорсинг бесполезно. Нельзя передавать аутсорсеру функции принятия рисков ИБ. Никакой аутсорсинг не сможет это сделать. При отсутствии понимания результата, который получит компания, тоже невозможно передать это на аутсорсинг.
Вместе с тем, если компания хочет отдать на аутсорс ИБ, обязательно необходимо требовать подписания SLA – Service Level Agreement (соглашение об уровне обслуживания). А также выбирать аутсорсера, который соответствует размерам бизнеса. Хорошей практикой является, если аутсорсер страхует свои риски. Хотя это и редкость, но, по мнению Руслана Сулейманова, в будущем этот рынок будет расти.
«Аутсорсинг ИБ – это хорошая практика, если у вас есть стратегия, вы правильно подобрали аутсорсера, написали SLA и регулярно мониторите все метрики, которые у вас прописаны в SLA», – заключил Руслан Сулейманов.