Услуги аутсорсинга достаточно развиты в ИТ-сфере, поскольку огромное количество компаний вообще не имеют в своем штате ИТ-специалистов, но используют в работе разные цифровые продукты, нуждаются в людях, которые смогут их развивать и поддерживать.

Аутсорсинг – это делегирование одного или нескольких бизнес-процессов сторонней компании, которая специализируется на конкретных услугах. Применительно к ИТ – это разработка, развитие и доработка цифровых продуктов, их интеграция в инфраструктуру компании.

Максим Степченков

Генеральный директор RuSIEM

При разговоре про аутсорсинг надо смотреть на текущую ситуацию, которая складывается из некоторых факторов.

Во-первых, это катастрофическая нехватка на рынке линейных профильников и, соответственно, невозможность получить качественные сервисы inhouse.

Во-вторых, это дефицит высококвалифицированных специалистов, которые смогли бы оценивать комплексный сервис (так как профильники редко растут по вертикали, предпочитая специализироваться на чем-то одном).

В-третьих, это вероятность ухода сотрудников, особенно в связи с частичной мобилизацией (хотя сотрудники аккредитованных в Минцифре России ИТ компаний обладают особым статусом).

В информационной безопасности значительное количество продуктов также развивается и продвигается через аутсорс-модель. Например, настройка межсетевых экранов, интеграция решений open-source, аудит безопасности и многие другие опции.

В этой статье будут рассмотрены риски аутсорса в ИТ, целесообразность привлечения сторонних компаний в разных направлениях, а также специфика аутсорса в контексте информационной безопасности.

Возможности и риски аутсорса в ИТ

Главное преимущество аутсорсинга в ИТ – это возможность получить продукт, выполненный профильными специалистами, при этом не нанимая их в штат компании. Найти на рынке профессионала, предложить ему конкурентные условия труда, сформировать команду таких специалистов, может себе позволить далеко не каждая компания, учитывая что рынок ИТ-специалистов далеко не избыточен. Помимо этого, далеко не у каждой компании есть достаточный набор задач для такой команды. Соответственно, нет и смысла набирать в штат команду разработчиков.

Юрий Шабалин

Генеральный директор и один из основателей Стингрей Технолоджис

По нашему мнению, идеальным является сочетание внешних и внутренних специалистов для решения масштабных задач. Конечно, руководить процессом и контролировать его должен внутренний менеджер. Помимо всего прочего, он еще и хорошо знаком со спецификой компании, и знает всех основных сотрудников, – проблем с коммуникациями не будет.

Хорошо, если внешняя компания совместно с внутренним драйвером сможет более точно определить цели и задачи проекта, описать концепцию, верхнеуровневые бизнес-процессы. Также будет составлен план найма людей в команду (как формирование с нуля, так и расширение текущей, если она уже есть). И все дальнейшие работы должны вестись совместно.

Удачный пример из нашей практики – когда приглашенные эксперты становятся менторами для внутренних специалистов. Таким образом получается работать максимально эффективно. Кроме того, компания-заказчик получает бонус в виде роста и развития своей команды, которая впоследствии сможет выйти на новый уровень.

С точки зрения информационной безопасности делегирование процесса разработки целого продукта или его части сторонней команде специалистов – это риск, у которого есть два аспекта:

1. Утечка данных по вине контрагента. ИБ-специалист компании не может контролировать качество безопасности компании-подрядчика. Подобные ситуации случались, например, с маркетплейсом Joom и компание X5 Group.
2. Потребность в контроле. Система аутсорсинга устроена так, что если нет экспертизы – нет и представления о том, насколько безопасен конечный продукт, который будет интегрирован в структуру компании и может стать «точкой входа» для злоумышленников.

Наиболее остро риск привлечения аутсорс-компаний стоит для крупных организаций. Поскольку в таком случае уровень безопасности их инфраструктуры будет частично обусловлен уровнем безопасности инфраструктуры подрядчика. Ввиду того, что такие компании наиболее привлекательны для высококвалифицированных злоумышленников, которые организуют целевые атаки, им следует просчитывать и эти риски И список аутсорс-компаний, которые они могут привлечь к работе над своими продуктами, существенно сужается.

Аутсорсинг информационной безопасности

В рамках услуг аутсорсинга ИБ большое значение имеют два термина:

1. Managed Security Service Provider (MSSP). Фактически, это компания-провайдер ИБ-услуг. Такая компания делегировано управляет средствами информационной защиты одной или нескольких компаний.
2. Security As A Service (SecaaS). Безопасность «по подписке» – это предоставление одного или нескольких ИБ-инструментов за ежегодную плату. В дальнейшем, компания может сама обрабатывать результаты систем или делегировать этот процесс другой компании.

Также, уместно упомянуть о таком явлении, как аутстаф, когда компания нанимает внешнюю команду в свой штат на определенный срок, под реализацию конкретных целей или задач. Такой вид взаимодействия встречается не так часто, как аутсорс, но все еще имеет место быть.

Иван Чернов

Менеджер по развитию UserGate

Существенные выгоды – экономия человеческих и финансовых ресурсов, возможность привлечь к работе профессионала, не предусмотренного штатным расписанием.

К недостаткам относится не погруженность внешних специалистов в контекст бизнеса: если «безопасник» не общается с другими департаментами и лицами, принимающими решения, то он не может осуществлять свою деятельность максимально полно и эффективно для безопасности бизнес-процессов.

Мой вывод: аутсорс – это эффективный инструмент в руках грамотного руководителя направления информационной безопасности, но не его альтернатива.

В контексте кибербезопасности актуальны те же преимущества и недостатки, что и для ИТ в целом. Но есть и ряд специфических отличий, среди которых можно выделить:

1. Еще больший дефицит кадров на рынке. Важно отметить и неравномерное распределение имеющихся специалистов по регионам.
2. Наличие чувствительных элементов инфраструктуры, к которым не хотелось бы допускать сторонних подрядчиков.
3. Правовые ограничения и риски. Законы и регламенты не всегда предполагают возможность привлечения аутсорс-компаний или провайдеров к работе с инструментами безопасности или некоторыми ИБ-процессами.

Павел Яшин

Руководитель службы информационной безопасности iiii Tech

Основным недостатком ИБ на аутсорсе можно назвать увеличивающуюся бюрократическую нагрузку на смежные отделы. Зачастую может хромать обратная связь, скорость выполнения запросов ИБ-аутсорсеров локальными специалистами – также может быть увеличена. Время реакции на поднятые инциденты, скорость обработки запросов – все в конечном итоге ложится на специалистов на местах, и соответственно очень сильно зависит от имеющихся SLA, культуры команды.

Также стоит помнить о такой вещи как Доверие – если Аутсорсер будет постоянно загружать специалистов ложноположительными случаями и не будет вносить соответствующих исключений в свои системы (очень часто автоматические и настроенные в основном по единым правилам) – доверие к сообщениям достаточно быстро упадет, и ситуация, когда будет необходима быстрая реакция специалиста на месте – для предотвращения уже реальной угрозы, но специалист не отработает с достаточной скоростью – из-за предыдущего опыта большого количества ложнопозитивных обращений – достаточно велика.

Риск столкнуться с некачественными услугами в контексте ИБ стоит не так остро, как в других сферах ИТ. В первую очередь, потому что компаний, которые работают и предоставляют услуги по аутсорс-модели, достаточно немного. Однако «внимание» аутсорс-компании к своему клиенту может варьироваться, в зависимости от выстроенных коммуникаций и загруженности ИБ-специалистов.

«Обязательный» аутсорсинг ИБ

Егор Леднев

Директор по сервисам RooX

В сегменте систем управления доступом есть две точки, когда может быть целесообразно действовать самостоятельно. Первая — вы делаете MVP нового сервиса, вам нужна стандартная функциональность и вы готовы воспользоваться коробкой или облачным сервисом без изменений. Вторая — вы крупная корпорация и можете себе позволить держать собственную квалифицированную команду разработки.

Между этими точками – риски отсутствия достаточной экспертизы у внутренней команды, связанные со стандартами безопасности, нормативными документами и другими факторами. Оценить эти риски помогут следующие вопросы: какие должны быть ключевые требования к системе и что изменилось в требованиях за последнее время, какие нормативные документы и стандарты регулируют тему.

Ряд процессов информационной безопасности по своей структуре устроены так, что компания не может провести их силами собственных специалистов. К ним можно отнести, например, пентест или аудит безопасности, деятельность Red team и ряд других процессов, которые связаны с тестированием систем.

Второй процесс, где привлечение аутсорс-команд если не обязательно, то крайне желательно – это аналитика. При условии, что компания-подрядчик пользуется доверием со стороны компании, всегда полезно узнать мнение специалистов «со стороны» относительно тех или иных вопросов ИБ.

Александр Осипов

Директор по облачным платформам и инфраструктурным решениям МегаФона

Преимущества аутсорсинга информационной безопасности очевидны – доступ к экспертизе, которая является дефицитной на рынке, высокая скорость реализации решений за счет опыта и стандартизации процессов у провайдера, оптимизация финансовых вложений за счет сервисной модели, прозрачность ответственности и критериев качества.

Вместе с тем недостатки вытекают как раз из преимуществ. Так, стандартизация процессов не всегда дает возможность провайдеру гибко подойти именно к вашему кейсу и выйти за рамки привычной модели.

А суммарные затраты на длительных отрезках, например, за 5 лет, будут выше, чем покупка собственного железа и ПО. Но есть и исключения, например, консалтинг и его вариации (аудит, проектирование и т.д.) безусловно обойдутся дешевле, чем содержание собственной команды.

И третий процесс, где аутсорсинг безопасности нужен и полезен – это консалтинг. В зависимости от специфики и размеров компаний вопросы могут быть самые разные, от технических рекомендаций по настройке ИС до правовых вопросов, от тренингов по цифровой гигиене для сотрудников до программ развития профильных компетенций для ИБ-специалистов.

Итоги

Аутсорс информационной безопасности – это возможность привлечь дефицитных, высококвалифицированных специалистов с опытом, для решения задач компании. На данный момент система предоставления услуг в ИБ достаточно развита, чтобы предложить несколько моделей взаимодействия с компанией.

В то же время, для взаимодействия с внешними специалистами потребуются высококлассные внутренние эксперты, которые смогут выстроить эффективное взаимодействие с компанией-поставщиком услуг.

Процентное соотношение между аутсорсом ИБ и самостоятельной работой, а также модель взаимодействия между компаниями, во многом обусловлена размером компании, которая заказывает услуги.

Александр Герасимов

Основатель Awillix

Вопрос о целесообразности аутсорса лучше рассматривать отдельно для маленьких и средних компаний, и отдельно для крупных. Средним компаниям выгоднее не иметь ИБ-специалистов в штате совсем, полностью отдавая все задачи на аутсорс.

Для защиты внешней и внутренней ИТ-инфраструктуры нужны высококвалифицированные специалисты по тестам на проникновение. Учитывая кадровый дефицит, по-настоящему хорошего специалиста не получится взять в штат, а посредственного бессмысленно. Привлекая сторонних пентестеров время от времени, можно улучшать процесс безопасности внутри компании, силами сисадминов или ИТ-специалистов, которые смогут выполнять их рекомендации.

Внутренние ИТ-специалисты обычно покрывают 10% проблем безопасности, когда работают самостоятельно. Профессионалы, которые работают в ИБ-компаниях, отслеживают тренды, непрерывно актуализируют знания, находятся на острие ножа, используют специальное оборудование и инструменты, поэтому могут покрыть 100% проблем и зачастую дать гарантии в зоне своей ответственности.

У крупных компаний ИТ-ландшафт настолько широкий и объем задач настолько большой, что уже нельзя справиться силами внутренних ИТ-специалистов или просто аутсорсом. Не обойтись без CISO (англ. Chief Information Security Officer), в чьей компетенции будет выстраивание глобального процесса безопасности, и пары специалистов по ИБ широкого профиля. Они также могут, и должны обращаться к аутсорсу, но их главная задача — управлять процессами, грамотно их администрировать, привлекать правильных исполнителей под разные задачи.

Несмотря на достаточное количество тонкостей и проблемных областей, рынок аутсорсинга безопасности будет только расти. Причин масса, среди которых можно выделить популяризацию модели «as-a-service» и многолетний дефицит высококвалифицированных кадров как по всему миру, так и в России.

Источник: Cyber Media