Директор службы информационной безопасности компании Dow Chemical Тереза Грант отвечает на вопросы читателей, касающиеся проблем аутсорсинга.
Каковы, по вашему мнению, главные преимущества и «подводные камни» аутсорсинга безопасности ИТ?
Аутсорсинг безопасности ИТ имеет ряд достоинств. Поставщики услуг защиты информации обладают большим опытом, поскольку связаны с многочисленными клиентами. Аутсорсинг информационной безопасности позволяет предприятиям применять все лучшее, что приобретено поставщиком у других клиентов. Кроме того, может быть достигнут положительный эффект, обеспечивающий снижение затрат за счет консолидации и предоставления большого количества ресурсов. В итоге аутсорсинг информационной безопасности требует меньшее количество ресурсов на исполнение рутинных действий, таких как смена паролей пользователей, мониторинг безопасности, управление безопасностью и др.
Однако есть и недостатки. Когда на аутсорсинг передаются функции обеспечения информационной безопасности, то поставщик получает доступ к информационной среде. Поэтому необходимо контролировать уровень доступа, который предоставляется поставщикам, и обязательно удостовериться, что их политика отбора сотрудников соответствует стандартам компании. Более того, при подписании соглашения об уровне обслуживания (Service Level Agreement, SLA), следует убедиться в том, что поставщики включают необходимые положения о всех требуемых услугах, а сотрудники поставщика понимают и считаются с внутренней политикой безопасности компании. И наконец, не стоит пренебрегать мониторингом. Условия контракта должны быть составлены таким образом, чтобы гарантировать получение услуг, за которые внесена плата.
Как разработать контракт, который делает поставщика услуг аутсорсинга функций информационной безопасности ответственным в случае мошеннического использования данных компании одним из его служащих?
Важно удостовериться, что в контракте предусмотрена защита от нелигитимного использования данных или сетевых ресурсов компании поставщиком. Договор должен содержать статью о «праве на аудит». Необходимо, чтобы в компании имелись надлежащие механизмы аудита с целью определить применяются ли лучшие практики, правильно ли их используют. В договоре должно быть подробно описаны меры, которые поставщику необходимо предпринять в случае обнаружения нелигитимного использования. Это позволяет повысить ответственность поставщика и одновременно защитить компанию.
Если аутсорсинг сам по себе представляет дополнительную угрозу безопасности, стоит ли задумываться об аутсорсинге безопасности?
В зависимости от общей стратегии аутсорсинга и основной области компетенции компании, содержание внутренних служб безопасности может оказаться гораздо рискованней, чем в случае передачи их функции в аутсорсинг уважаемому и надежному поставщику услуг.
Главное — это чувство меры. Конечно, отдавать ключи от своего «королевства» никто не собирается, поэтому нужно удостовериться, что сети и данные компании достаточно защищены. Первое, что необходимо сделать, это оценить специфику предприятия и определить, подходит ли компании аутсорсинг. Если да, то следует присмотреться к поставщикам, чтобы определить, компетентность какого из них соответствует ожиданиям. На аутсорсинг не стоит передавать критически важные функции управления или область, требующую доступа к привилегированной информации. При выборе поставщика можно поработать с его консультантами и определить, подходит ли компании внешнее управление безопасностью. Также необходимо проводить аудит, позволяющий отслеживать действия поставщика и проверять, в полной ли мере выполняется политика безопасности компании.
На какие ключевые вопросы нужно ответить, решая, стоит ли передавать на аутсорсинг безопасность?
Вот лишь несколько важных вопросов:
- Насколько склонна компания к риску?
- Какова цена в сравнении с потенциальными выгодами?
- В каком случае выгода выше: при работе с внутренним или с внешним поставщиком услуг информационной безопасности?
- Какова общая стратегия компании в области аутсорсинга?
- Предусматривает ли ваша внутренняя организация аудита механизмы и способность управлять отношениями в рамках аутсорсинга?
- Есть ли необходимая внутренняя компетенция в области безопасности и собственные ресурсы или выгоднее обратиться к внешнему поставщику?
Какие функции безопасности могут быть предметом аутсорсинга, а какие следует сохранить за собой?
Функции информационной безопасности, которые могут быть предметом эффективного аутсорсинга, включают административные задачи, администрирование центра обработки данных и мониторинг безопасности. Предприятиям следует сохранять любые действия, которые относятся к структуре управления или управляются оценкой рисков (политика безопасности, требования, стратегия и др.) и функции, требующие привилегированного доступа.
У вас есть тема для обсуждения? Вам нужен совет? Вы хотите услышать отзыв о предложенном вами решении какого-то эксперта? Отправьте нам письмо по адресу cio@osp.ru
Outsource with Caution. March 2004, CSO Magazine