Очевидные и неочевидные преимущества сервисной модели информационной безопасности

BIS Journal №1(36)/2020

10 апреля, 2020

Очевидные и неочевидные преимущества сервисной модели информационной безопасности

Когда встает вопрос об управлении, модернизации или поддержке систем информационной безопасности на предприятии, тут же возникает встречный вопрос: а кто будет это делать? Внутренние сотрудники или внешние подрядчики?

Приезжая к заказчику и предлагая сделать что-либо внешними силами, то есть нашими сотрудниками, обычно слышу: «Да, это здорово. Это очень здорово, но…». Далее следуют типичные «но»…

 

«НО ЭТО НЕНАДЕЖНО/НЕТ ОТВЕТСТВЕННОСТИ»

Кажется, что внешний сотрудник – это не очень надежно. Вернее, очень ненадежно. Обычно сравнивают своего сотрудника, специалиста в штате компании и конкретного исполнителя, который придет выполнять работу или будет делать ее удаленно. Сравнение некорректное. В случае с внутренним сотрудником ответственность за выполненную работу несет именно он, т.е. ваш внутренний специалист. В случае заключения договора с аутсорсинговой компанией ответственность несет не человек. В том смысле, что не тот человек, который пришел к вам что-то делать. Это очень важный момент. Ответственность несет юридическое лицо, то есть фактически директор или тот, кто подписал договор об аутсорсинге или выполнении сервисных услуг со стороны этого юридического лица. Он, и только он несет настоящую ответственность. И эта ответственность гораздо серьезнее и надежнее, чем ответственность физического лица, которое вы взяли на работу. Этого не стоит недооценивать.

Есть и другие аспекты. Если вы повысите голос на штатного сотрудника, перегнёте палку в его отношении или ему просто надоест работа… Если он вдруг решит, что у него недостаточно высокая зарплата или что-то еще, то он напишет заявление, и через две недели этот сотрудник у вас не работает. На этом ваши с ним отношения закончатся. И если ваш специалист устанавливал или настраивал дорогостоящее оборудование и сломал его, никто не возместит вам расходы. Вы просто вынуждены будете снова купить это оборудование или его часть, заплатив за одно и то же дважды. С физического лица практически невозможно что-то взыскать. В случае договора с юридическим лицом ущерб возместить несложно, причем, разными способами: финансово, дополнительными работами, сервисами и т.д. Это важно.

 

«У НАС СВОЯ СПЕЦИФИКА/У ВАС НИЧЕГО НЕ ПОЛУЧИТСЯ»

Своей специфики не бывает в принципе. Компьютеры и сети везде одинаковы. Серверы делают в одной и той же стране на одном и том же заводе.Бывает, конечно, когда «мы так исторически построили инфраструктуру». Вот это, действительно, бывает часто и повсеместно. Вы так строили инфраструктуру потому, что не предвидели, что она будет обслуживаться внешними специалистами. Ничего страшного, давайте переделывать.

 

«ЭТО НЕВЫГОДНО»

Тут вообще всё просто, без гипотез и эмоций, это обычный экономический расчет. Предположим, у нас есть три сотрудника с зарплатой 50 000 рублей, и мы им платим в месяц суммарно 150 000 рублей, в год получается 2 400 000 рублей.

Если мы платим те же самые 150 000 рублей в месяц внешней компании за ее услуги, то в год мы тратим 1 420 000 рублей. Разница – в миллион в пользу аутсорсинга.

Для справки. 50 000 рублей – это средняя зарплата сотрудника ИБ по стране. Информация из открытых источников.

 

«У НАС ПОЯВИЛСЯ НОВЫЙ ОБЪЕМ РАБОТ, МЫ НАЙМЕМ ЕЩЕ СОТРУДНИКОВ»

На самом деле у нас, как у поставщика услуг, эти сотрудники уже есть. Не надо никого искать, надо просто оценить объем работ и добавить их в договор.

В договорах на аутсорсинг можно и нужно прописывать работы по заявкам. Если у вас, как у заказчика, в течение года возникает что-то неожиданное или требующее новых сотрудников, как правило, это заканчивается суетой с участием отдела кадров, сайтов по подбору персонала, выделением рабочих мест или оборудования, сбором коммерческих предложений, попыткой протестировать компанию, выяснить компетенции сотрудников. В случае заключения договора на аутсорсинг в нем достаточно указать возможность работы по заявкам и заранее оценить час работы соответствующего специалиста. Когда договор заключен, вы при необходимости оформляете заявку, и через два дня у вас всё сделано.

 

«МЫ ИХ ОБУЧАЕМ»

Да, без обучения в ИБ никак. Если специалист ИБ не учится, он отстает. Он как бы ничего плохого не делает, но при этом движется назад. Мы, как системный интегратор, постоянно обучаем сотрудников. Это постоянный, бесконечный и необходимый процесс. В случае аутсорсинга вы сразу получаете обученных специалистов.

 

ЮРИДИЧЕСКИЕ АСПЕКТЫ

Здесь вообще одни плюсы. Заключение договора с юридическим лицом закрывает вопрос с ответственностью. В трудовом договоре практически нереально подписать SLA (Service Level Agreement – соглашение об уровне сервиса), или это будет выглядеть очень бедно. Трудовой кодекс вкупе с гражданским довольно сильно ограничивают возможности работодателя по составлению трудовых договоров. Даже если работодатель впишет в трудовой договор пункты, которые ему очень нравятся, в случае противоречия с ТК РФ есть вероятность признания их ничтожными.

NDA (Non-disclosure agreement) — соглашение о неразглашении конфиденциальной информации обычно заканчивается коммерческой тайной. Без правильной правовой поддержки режим коммерческой тайны в компаниях выглядит совершенно неправильно. Например, первое, что нужно делать при возникновении режима коммерческой тайны, – это, как минимум, менять устав организации. Об этом все забывают. А кроме того, необходимый комплекс мер, как правило, довольно большой. В случае с физическим лицом всё, что вы сможете взыскать с сотрудника, который что-то где-то разболтали нарушил вашу коммерческую тайну, – это соглашение по факту ничего не значит. Просто бумажка.

 

СТРАХОВАНИЕ РИСКОВ

Тут нам, как поставщику услуг,проще смотреть на мир. У нашей компании есть возможность застраховать работы, сделки и пилотные проекты. Мы с нашим партнером – страховой компанией можем застраховать нашу деятельность на приличную сумму – от 10 млн. рублей, чего нельзя сделать в работе с физическим лицом. С человеком максимум что можно застраховать – его здоровье.

 

БОЛЕЕ ОТВЕТСТВЕННЫЙ АУДИТ

Аудит внешней компанией – это всегда здорово, потому что именно такой аудит является независимым и не предвзятым. Мы не создавали вашу IT-инфраструктуру, поэтому мы можем проверить ее объективно. В случае со штатным сотрудником это называется «самооценкой». И она всегда грустная. Человеку приходится отчитываться за то, что он сделал. А после этого там еще и работать. Давайте посмотрим правде в глаза, когда мы сами отчитываемся за свою работу, мы ее приукрашиваем. Но если нам нужен объективный взгляд на вещи, надо звать специалистов со стороны.

 

КАК ВЫБРАТЬ КОНТРАГЕНТА

Допустим, вы согласились с этими пунктами и решили, что да, надо попробовать аутсорсинг. Вы понимаете, что работы будут осуществлять более квалифицированные и опытные специалисты, чем те, что у вас есть. Вы определились с бюджетом. Теперь надо найти контрагента. Правильно выбрав контрагента, вы сможете получить необходимый уровень ответственности, а вместе с ним и уровень обслуживания, гарантию неразглашения коммерческих и прочих тайн. Обратите внимание, что контрагент – это не торговая марка компании, разрекламированная на всех билбордах, а «ООО», с которым вы будете заключать договор. Тут нужно быть внимательным: важно, чтобы оно сдало хотя бы пару годовых отчетов, чтобы за ним не тянулся след из профильных судов. Понятно, что если юридическое лицо осуществляет коммерческую деятельность, то оно в какие-то тяжбы будет попадать. Корректную оценку контрагента по множественным параметрам, необходимую для принятия решения, как правило, дают сотрудники внутренней службы безопасности.

Именно директор выбранного вами юридического лица - человек с большим количеством договоров, выручкой, известным именем будет очень сильно переживать за выполнение договора с вами. Это не просто рядовой сотрудник. В договоре с ним можно прописывать штрафы и неустойки. Тогда в случае судебного разбирательства оно закончится для вас правильно. Всё становится в разы лучше по сравнению с ответственностью физического лица, которое вы берете на работу по трудовому договору.

 

УСЛОВИЯ ДОГОВОРА

Вы просите потенциального аутсорсера прислать форму договора и вдруг получаете что-то аналогичное договору на обслуживание с крупным банком. Вычитаете его и понимаете, что в случае чего, вы оказываетесь совершенно бесправной стороной, а другая сторона может сделать всё, что угодно. Конечно, такой договор не стоит подписывать, а с такой компанией, наверняка, не стоит иметь дел.

 

РЕАЛЬНОСТЬ ИСПОЛНЕНИЯ

Естественно, договор после подписания не нужно пускать на самотек, нужно предусмотреть некую систему отчетности, реперные точки.

Есть одна немаловажная особенность. Обычно почему-то подразумевается, что заказчик всегда непогрешимый, а исполнитель всегда пытается обмануть. Смею заверить, заказчики тоже бывают разными. Как правило, стороны, выбрав друг друга, все же стараются придерживаться исполнения договора, ведь изначально его заключение ведет к взаимному получению выгоды для обеих сторон. Но иногда что-то идет не так. Если по вновь открывшимся обстоятельствам исполнение договора будет вести к убыткам для одной из сторон, акцентирую внимание – для любой, то договор должен быть пересмотрен. Именно поэтому в нем следует прописать условия расторжения, указать срок действия и условия пролонгации. Это всегда мотивирует.

 

КАК ПРАВИЛЬНО ПЕРЕВОДИТЬ РЕКЛАМНЫЕ ОБЪЯВЛЕНИЯ

Поделюсь своим мнением о некоторых рекламных ходах, используемых для привлечения внимания к аутсорсингу ИБ.

«ИБ/ИТ аутсорсинг используют только зрелые компании» – обычная техника манипуляции. Когда вам это заявляют, то подразумевается, что вы себя признаете зрелой компанией и что-то купите.

«Вам нужно аутсорсить именно это» – предлагающая сторона умеет только это. По-хорошему, системный интегратор не должен предлагать «лоскутное» решение какой-то одной проблемы. Мы стараемся получить больше информации, т.к. одну и ту же задачу можно решить разными методами, двигаясь от запросов бизнеса, а не от локальных задач ИТ/ИБ.

«SOC – это круто» – у компании есть SOC, она старается его продвигать, чтобы окупить. Не факт, что он вам вообще нужен. SOC – это всегда дорого и сложно. Это не антивирус поставить.

«Ответственность будет на нас» – сразу надо смотреть в договор. Там написано, у кого какая ответственность.

 

КОГДА БЕЗ ШТАТНОГО СОТРУДНИКА НЕ ОБОЙТИСЬ

Ситуаций, когда все-таки нужен постоянный сотрудник в штате,довольно немного. Пожалуй, в основном, – это требования регуляторов. Компании, подпадающие под их действие, обязаны иметь штатного специалиста по ИБ с соответствующим профильным образованием и стажем работы.

Разумно иметь своих специалистов на ключевых постах. Конечно, внешними силами можно сделать довольно много. Однако, у организации должны быть свои постоянные сотрудники, которые, как минимум, создают общую стратегию развития компании и управляют внешними контрагентами. Нанять компанию, которая будет следить за работой других компаний, – идея утопичная с точки зрения прозрачности и надежности ведения бизнеса.

Если заказчик использует специфические продукты и технологии, то экономически целесообразно развивать и поддерживать свои компетенции, так как найти подобные услуги на рынке бывает затруднительно.

Также необходимо брать в штат сотрудников, если вы полностью уверены, что они от вас не уйдут, будут выкладываться на 110%, не будут приукрашать данные в отчетах, будут совершенно незаменимы и не станут просить прибавки к зарплате.

Смотрите также