Аутсорсинг у кібербезпеці: розвінчуємо міфи

0 коментувати
"З невідомої причини телекран для спостереження було встановлено в кімнаті не так, як прийнято

Збоку від нього була неглибока ніша, призначена для книжкових полиць, – там і сидів зараз Вінстон. Сівши в ній глибше, він ставав недосяжним для телекранів. Підслуховувати його могли, але спостерігати – ні".

Сьогодні антиутопія Джорджа Орвелла "1984" не здається такою вже літературною вигадкою. А знаменита фраза з роману "Великий брат стежить за тобою" дуже органічно накладається на сучасну реальність. Правда, дещо в новій інтерпретації. Сьогодні всі ми перебуваємо під прицілом у віртуальному світі. І сховатися від реальних і потенційних атак-спостережень-посягань у кіберпросторі практично неможливо. Але можливо вжити заходів для того, щоб від них захиститися.

Є два варіанти: хаотично відбиватися від ворога самотужки або звернутися за допомогою до фахівців. Про це і поговоримо.

Кібербезпека: куди спрямувати інвестиції

Відповідь на це питання, незважаючи на існування маси міфів, досить однозначна. З деякими поправками вона зводиться до тези: аутсорсинг у кібербезпеці набагато ефективніший і економічніший для бізнесу, аніж забезпечення всього процесу загалом силами спеціалізованої внутрішньої структури.

Завдання – мінімізувати витрати

З поняттям витрат, найтрепетнішим і найнагальнішим питанням для топ-менеджменту, пов'язаний найбільш стійкий міф в області кібербезпеки: аутсорсинг – це завжди дорожче, ніж наявність власних фахівців у штаті. Розвіяти цей міф не так складно.

Варто почати з того, що кібербезпека максимально ефективно працює виключно у зв'язці "люди-технології-процеси". Тільки так, а не інакше, можна забезпечити повний цикл захисту компанії від зовнішніх та інсайдерських загроз кіберпростору.

Приймаючи рішення про виділення бюджету на кібербезпеку, менеджмент компанії найчастіше керується застарілими і докорінно неправильними поняттями. До уваги беруться лише явні і першочергові капітальні інвестиції в технології. Адже, як здається на перший погляд, найдорожча ланка в цьому ланцюжку – технології. Їх можна "помацати" та хоча б візуально оцінити результат фінансових вливань. Ось і до сих пір для багатьох поняття "проекту з кібербезпеки" асоціюється з купівлею певних систем захисту, які потрібно, грубо кажучи, купити, поставити та увімкнути. Це перша і основна омана.

Купівля технології – одноразова, капітальна, іншими словами – "зручна і зрозуміла" інвестиція. Набагато більш "незручні", постійні і, в підсумку, – об'ємні витрати ховаються глибше.

Вся сіль – в людях

Люди – ось найбільш витратний і, водночас, – найцінніший для бізнесу актив. Для забезпечення процесу важливо зрозуміти: чи є резон формувати багатопрофільну вузькоспеціалізовану команду всередині компанії (а саме такою вона має бути в сучасних умовах архіскладної різноманітності технологій та загроз), або ж – є сенс віддати цей процес повністю або частково в руки зовнішньому компетентному виконавцеві, який "від А до Я" побудований і орієнтований на вирішення подібних завдань. Інакше кажучи – віддати на аутсорсинг, а висловлюючись професійною мовою – підписатися на керовані послуги з безпеки.

Будь-яка технологія вимагає обслуговування людьми, а це, як мінімум, аналітик і адміністратор. Наведу простий приклад: компанія купує сучасні міжмережеві екрани із вбудованою функцією виявлення вторгнень. Щодня пристрої накопичують величезні масиви статистики про аномальні активності, і кожне подібне повідомлення – це, фактично, інцидент, що вимагає розслідування. В ідеалі, результатом розслідування має бути корекція технічного контролю, локалізація і запобігання подальшим загрозам, або переналаштування системи, або видалення певного забороненого програмного забезпечення, або щось інше. Все це може зафіксувати, проаналізувати та оцінити кваліфікований фахівець, а найчастіше – ціла команда таких фахівців.

Саме тому, на етапі планування інвестицій у кібербезпеку, важливо правильно розрахувати витрати комплексно, враховуючи, в першу чергу, не разові вкладення в основні засоби, а майбутні операційні витрати на їх обслуговування, що в основному виливається у додаткові інвестиції на персонал і його навчання. Беручи до уваги лише перше, компанія не витримує правильного балансу, а формує примарну ефективність безпеки за допомогою нагромадження технологій, при цьому основний процес контрпродуктивний, а результат – нікчемний.

Таким чином, багато компаній прийшли до однакової ситуації – вони обростають дорогими технологічними комплексами безпеки, але при цьому не в змозі впоратися з операційною завантаженістю з їх обслуговування. Та й не тільки в обслуговуванні справа. Суть у тому, щоб постійно аналізувати і коректно застосовувати результати роботи подібних систем, аби безперервно покращувати операційний процес. А інакше який сенс? Технологій багато, всі вони увімкнені і працюють, але ефективність прямує до нуля.

З якого б боку ми не підходили до порівняння аутсорсингу і самостійних зусиль у забезпеченні кібербезпеки, перевага все одно буде на боці керованого сервісу. Безумовно, подібна послуга вартістю від 25 тисяч доларів на рік доступна далеко не кожному середньостатистичному бізнесу. Але, якщо врахувати вартість утримання всіх складових "люди-технології-процеси", то необхідно брати до уваги всі чинники: і вартість технологій, і вартість співробітників (а це інженери, аналітики, адміністратори, менеджери), і комп'ютерних платформ, мереж, систем зберігання даних, а також – приміщень, додаткових витрат на інші підрозділи тощо… На виході така статистика завжди однозначна на користь керованих сервісів з кібербезпеки.

Віддати безпеку в чужі руки – безпечно?

Другий стійкий міф, який логічно, а можливо, навпаки НЕлогічно, виникає у ситуації з інформаційною безпекою і найчастіше звучить у формі риторичного запитання: "Як ми можемо передати безпеку на аутсорсинг, якщо це... безпека"? Але стривайте, хіба не на аутсорсинг в поліклініці ви передаєте обслуговування свого здоров'я, хіба не на аутсорсинг передаєте турботу про своїх дітей няням, а забезпечення охорони власного життя – охоронцеві (якщо виникне потреба)? Чомусь ці сфери не викликають таких бурхливих дебатів і суперечок, сумнівів і тяжких роздумів із розряду "а чи варто"? Варто, бо лікар – це фахівець, і самі собі ви діагноз не завжди поставите, і апендицит не видалите. Хоча, на перший погляд, досить купити всього-на-всього скальпель, вату і бинт, а далі що?

З кібербезпекою питання довіри стоїть навіть менш гостро, бо на відміну від лікаря, який може припуститися помилки і наслідки будуть невиправні, тут все детерміновано і чітко.

Аутсорсинг у кібербезпеці – це не зовсім класичний приклад аутсорсингу у вигляді повної передачі процесів зовнішньому виконавцеві. Це завжди синергія зусиль замовника разом із зусиллями фокусного провайдера. На кордоні компанія-замовник/інтегратор послуг завжди стоїть вартовий у вигляді менеджера (СISO або підпорядкований йому менеджер процесів), який контролює рівні доступів, визначає, що подавати на вхід і чого очікувати на виході процесу, який буде виконуватись зовнішнім підрядником. Плюс до всього, весь процес строго регламентований і зафіксований у договорі SLA (service level agreement), гарантії за яким не йдуть ні в яке порівняння з рівнем відповідальності конкретного співробітника зі штату компанії.

Найчастіше ми спостерігаємо ситуацію, коли в компанії існують "багатостаночники", які і обслуговують системи, і формують звітність про ефективність процесів. Іншими словами – фахівець, який сам собі і ставить завдання, сам потім їх і виконує. Дозволити утримувати численну команду фахівців і процесних менеджерів може далеко не кожна, навіть велика, організація. У той же час, об'єктивно оцінювати результати одного "багатостаночника", на якому тримаються всі процеси, просто неможливо. Адже найчастіше керівництво саме далеке від компетентності в питаннях кібербезпеки. Ризики, що виникають при цьому, ніхто не оцінює, а наслідки можуть бути плачевними.

Компанія, якій віддають на аутсорсинг безпеку, апріорі не може зашкодити бізнесу клієнта, оскільки це питання репутації. Більш того, фактично, послуги з безпеки напряму не стосуються комерційної інформації: це моніторинг і робота з потоками даних телемеханіки без можливості втручатися в будь-які інформаційні процеси.

При цьому компанія-замовник отримує повномасштабний захист від загроз 24/7, найкращі на сьогоднішній день технології і укомплектовану команду професіоналів. Остання набирається саме в тій пропорції і в тій кількості, які відповідають обсягу та специфіці необхідних для конкретного бізнесу технологій. Важливо, що така система динамічна і може змінюватися разом з ростом або трансформацією бізнесу. У разі самостійних зусиль подібні півоти досягаються шляхом непідйомних інвестицій. Питання: який у цьому сенс? Навіщо будувати лікарню, якщо можна купити медстраховку?

Нагальність такого вибору особливо актуальна у світлі нещодавніх подій: масової кібератаки 27.06.2017 на державні та комерційні організації. Реальна ситуація краху кволих систем "захисту" принесла з собою усвідомлення, наскільки важливо формувати багаторівневу та професійну безпеку. Доморощені "латки" не працюють. У цьому була можливість переконатися тисячам компаній. І питання "чи віддавати кібербезпеку" на аутсорсинг відпало саме собою. Відповідь очевидна як ніколи: треба залучати досвідчених фахівців та діяти тут і зараз.

Можливо, головний герой знаменитої "орвелівської" антиутопії Вінстон Сміт в деякій мірі і був параноїком, але наша сучасність переконує нас у тому, що не варто недооцінювати загрози, а тим більше відбивати їх зброєю кам'яного віку, тоді як є професіонали.


Читайте термінові новини та найцікавіші історії у Viber та Telegram Нового Времени.

Коментарі

1000

Правила коментування
Показати більше коментарів
Якщо Ви бажаєте вести свій блог на сайті Новое время Бізнес, напишіть, будь ласка, листа за адресою: kolonka@nv.ua

Експерти ТОП-10

Читайте на НВ style

Останні новини

опитування

Погода
Погода в Киеве

влажность:

давление:

ветер: