Аутсорсинг в кибербезопасности: развенчиваем мифы

Блоги

04.08.2017 13:50

Роман Сологуб, «НВ Бизнес»

Блоги

Наша современность убеждает нас в том, что не стоит недооценивать угрозы, а тем более отбивать их оружием каменного века, тогда как есть профессионалы.

"По неизвестной причине телекран для наблюдения был установлен в комнате не так, как принято.

Сбоку от него была неглубокая ниша, предназначенная для книжных полок, – там и сидел сейчас Уинстон. Сев в ней поглубже, он оказывался недосягаемым для телекрана. Подслушивать его могли, но наблюдать - нет".

Сегодня Антиутопия Джорджа Оруэлла "1984" не кажется такой уж литературной выдумкой. А знаменитая фраза из романа "Большой брат следит за тобой" очень органично накладывается на современную реальность. Правда, в новой интерпретации. Сегодня все мы находимся под прицелом в виртуальном мире. И спрятаться от реальных и потенциальных атак-наблюдений-посягательств в киберпространстве практически невозможно. Но можно предпринять меры для защиты от них.

Есть два варианта: хаотично отбиваться от врага своими силами либо прибегнуть к помощи профессионалов. Об этом и поговорим.

Кибербезопасность: куда направить инвестиции

Ответ на этот вопрос, несмотря на существование массы заблуждений и мифов, достаточно однозначный. С некоторыми поправками он сводится к тезису: аутсорсинг в кибербезопасности намного эффективней и экономичней для бизнеса, чем обеспечение всего процесса целиком силами специализированной внутренней структуры.

Задача – минимизировать затраты

С понятием затрат, самым трепетным и насущным вопросом для топ-менеджмента, связан наиболее устойчивый миф в области кибербезопасности: аутсорсинг – дороже, чем наличие собственных специалистов в штате. Развеять это миф не так сложно.

Стоит начать с того, что кибербезопасность максимально эффективно работает исключительно в связке "люди-технологии-процессы". Только так, а не иначе, можно обеспечить полный цикл по защите компании от внешних и инсайдерских угроз киберпространства.

Принимая решение о выделении бюджета на кибербезопасность, менеджмент компании чаще всего руководствуется устаревшими и в корне неправильными понятиями. Во внимание берутся только явные и первоочередные капитальные инвестиции в технологии. Ведь как кажется на первый взгляд, самое дорогостоящее звено в цепочке – это технологии. Их можно "пощупать", хотя бы визуально оценить результат финансовых вливаний. Вот и до сих пор для многих понятие "проекта по кибербезопасности" ассоциируется с покупкой определенных систем защиты, которые нужно, грубо говоря, купить, поставить и включить. Это первое и основное заблуждение.

Покупка технологии – единоразовая, капитальная, другими словами – "удобная и понятная" инвестиция. Намного более "неудобные", постоянные и, в итоге, – объемные затраты прячутся глубже.

Вся соль – в людях

Люди – вот самый затратный и, в то же время, – самый ценный для бизнеса актив. Для обеспечения процесса важно понять: есть ли резон формировать многопрофильную узкоспециализированную команду внутри компании (а именно такой она должны быть в современных условиях архисложного разнообразия технологий и угроз), или же – есть смысл отдать этот процесс полностью либо частично в руки внешнему компетентному исполнителю, который "от и до" выстроен и ориентирован на решение подобных задач. Иначе говоря – отдать на аутсорсинг, а выражаясь профессиональным языком – подписаться на управляемые сервисы по безопасности.

Любая технология требует обслуживания людьми, а это, как минимум, аналитик и администратор. Приведу простой пример: компания покупает современные межсетевые экраны со встроенной функцией обнаружения вторжений. Ежедневно устройства накапливают огромные массивы статистики об аномальных активностях, и каждое подобное уведомление – это, фактически, инцидент, требующий расследования. В идеале, результатом расследования должна быть коррекция технического контроля, локализация и предотвращение последующих угроз, либо перенастройка системы, либо удаление некого запрещенного программного обеспечения, либо что-то другое. Все это может зафиксировать, проанализировать и оценить квалифицированный специалист, а чаще всего – целая команда таких специалистов.

Именно поэтому, на этапе планирования инвестиций в кибербезопасность, важно правильно рассчитать затраты комплексно, учитывая, в первую очередь, не разовые вложения в основные средства, а просчитывать будущие требуемые операционные затраты на их обслуживание, что в основном выливается в дополнительные инвестиции в персонал и его обучение. Принимая во внимание только первое, компания не соблюдает правильный баланс, формируя воображаемую эффективность безопасности посредством нагромождения технологий, при этом основной процесс контрпродуктивен, а результат – никчемный.

Таким образом, многие компании пришли к одинаковой ситуации – они обрастают дорогими технологическими комплексами безопасности, но, при этом, не в состоянии справляться с операционной нагрузкой по их обслуживанию. Да и не только в обслуживании дело. Суть в том, чтобы постоянно анализировать и корректно использовать результаты работы подобных систем, чтобы непрерывно улучшать операционный процесс. А иначе какой смысл? Технологий много, все они включены и работают, но эффективность стремится к нолю.

С какой бы стороны мы не подходили к сравнению аутсорсинга и самостоятельных усилий в обеспечении кибербезопасности, выгода все равно будет на стороне управляемого сервиса. Безусловно, подобная услуга стоимостью от 25 тысяч долларов в год доступна далеко не каждому среднестатистическому бизнесу. Но если учесть стоимость содержания всех составляющих "люди-технологии-процессы", то необходимо брать во внимание все факторы: и стоимость технологий, и стоимость сотрудников (а это инженеры, аналитики, администраторы, менеджеры), и компьютерных платформ, сетей, систем хранения данных, а также – помещений, дополнительных затрат на другие подразделения и т.д. На выходе подобная статистика всегда однозначна в пользу управляемых сервисов по кибербезопасности.

Отдать безопасность в чужие руки – безопасно?

Второй устойчивый миф, который логично, а, может, наоборот НЕлогично, возникает в ситуации с информационной безопасностью и чаще всего звучит в форме риторического вопроса: "Как мы можем передать безопасность на аутсорсинг, если это...безопасность"? Но постойте, а разве не на аутсорсинг в поликлинике вы передаете обслуживание своего здоровье, разве не на аутсорсинг передаете заботу о своих детях няням, а обеспечение охраны собственной жизни – телохранителю (если потребуется)? Почему-то эти сферы не вызывают таких бурных дебатов и споров, сомнений и тяжких раздумий из разряда "а стоит ли"? Стоит, потому что врач – это специалист, и сами себе вы диагноз не всегда поставите, и аппендицит не удалите. Хотя, на первый взгляд, достаточно купить скальпель, вату и бинт, а дальше что?

С кибербезопасностью вопрос доверия стоит даже менее остро, так как в отличие от врача, который может совершить ошибку и последствия будут непоправимы, здесь все детерминировано и четко.

Аутсорсинг в кибербезопасности – это не совсем классический пример аутсорсинга в виде полной передачи процессов внешнему исполнителю. Это всегда синергия усилий заказчика с усилиями фокусного провайдера. На границе компания-заказчик/интегратор услуг всегда стоит привратник в виде менеджера (СISO или подчиненного ему менеджера процессов), который контролирует уровни доступов, определяет, что подавать на вход и чего ожидать на выходе процесса, выполняемого внешним подрядчиком. Плюс ко всему, весь процесс строго регламентирован и зафиксирован в договоре SLA (service level agreement), гарантии по которому не идут ни в какое сравнение с уровнем ответственности конкретного сотрудника из штата компании.

Чаще всего мы наблюдаем ситуацию, когда в компании существуют "многостаночники", которые и обслуживают системы и формируют отчетность по эффективности процессов. Другими словами – специалист, который сам себе и ставит задачи, и сам их выполняет. Позволить удерживать многочисленную команду специалистов и процессных менеджеров может далеко не каждая, даже крупная, организация. В то же время, объективно оценивать результаты одного "многостаночника", на котором держатся все процессы, невозможно. Чаще всего руководство само далеко от компетентности в вопросах кибербезопасности. Риски, возникающие при этом, никто не оценивает, а последствия могут быть плачевными.

Компания, которой отдают на аутсорсинг безопасность, априори не может навредить бизнесу клиента, так как это вопрос репутации. Более того, фактически, услуги по безопасности напрямую не касаются коммерческой информации: это мониторинг и работа с потоками данных телемеханики без возможности вмешиваться в какие-либо информационные процессы.

При этом компания-заказчик получает полномасштабную защиту от угроз 24/7, лучшие на сегодняшний день технологии и укомплектованную команду профессионалов. Последняя набирается именно в той пропорции и в том количестве, которые соответствуют объему и специфике необходимых для конкретного бизнеса технологий. Важно, что данная система динамична и может изменяться вместе с ростом или трансформацией бизнеса. В случае самостоятельных усилий подобные пивоты достигаются путем неподъемных инвестиций. Вопрос: какой в этом смысл? Зачем строить больницу, если можно купить медстраховку?

Насущность такого выбора особенно актуальна в свете недавних событий: массовой кибератаки 27.06.2017 на государственные и коммерческие организации. Реальная ситуация крушения хлипких систем "защиты" принесла с собой осознание, насколько важно формировать многоуровневую и профессиональную безопасность. Доморощенные "заплатки" не работают. В этом была возможность убедиться тысячам компаний. И в общем-то, вопрос "отдавать ли кибербезопасность" на аутсорсинг отпал сам собой. Ответ очевиден как никогда: нужно привлекать опытных специалистов и действовать здесь и сейчас.

Возможно, главный герой знаменитой "оруэловской" антиутопии Уинстон Смит в некоторой степени и был параноиком, но наша современность убеждает нас в том, что не стоит недооценивать угрозы, а тем более отбивать их оружием каменного века, тогда как есть профессионалы.