Сегодня вопрос снижения аутсорсинговых рисков, связанных с безопасностью, стоит как никогда остро. В интервью журналу CSO Дайана Келли, аналитик компании Burton Group, дала свои рекомендации по определению уровня рисков, контролю за действиями вашего поставщика и ведению переговоров, связанных с соглашениями об уровне сервиса (Service Level Agreement, SLA).
Как бы вы охарактеризовали уровень безопасности современного аутсорсинга?
Я бы сказала, что состояние в этой сфере становится более определенным и позволяет получить информацию о положении дел в целом. Компании уже поняли, что им нужно контролировать уровень безопасности аутсорсинга. Один из самых важных уроков заключается в том, что нельзя отдавать на откуп поставщикам услуг аутсорсинга свои репутационные риски. Если что-то пойдет не так, расхлебывать эту кашу придется вам, а не вашим аутсорсерам.
Что, на ваш взгляд, можно предпринять для обеспечения максимального уровня безопасности аутсорсинга?
Прежде всего вам нужно понять, что представляет собой аутсорсинг. Может показаться, что здесь все очень просто. В соответствии с достигнутыми договоренностями я всего лишь передаю внешней организации обслуживание своего контакт-центра или управление своей безопасностью. Но на самом деле нужно понимать, что повлечет за собой аутсорсинговая структура с точки зрения управленческого риска. Если вы передаете аутсорсеру какие-то данные, например, в рамках контакт-центра — относится ли сюда информация о медицинской страховке пациентов и их истории болезней? Присутствует ли здесь персональная идентификационная информация какого-то иного рода, требующая защиты? Ведь вы передаете аутсорсеру не только свой контакт-центр, но и все связанные с ним данные, а также управление этими данными.
Контакт-центр — прекрасный пример того, как через аутсорсера воспринимается компания. Ведь если человек, отвечающий на звонок, не в состоянии вам помочь или не владеет точной информацией, вы ассоциируете это непосредственно с организацией, с которой пытаетесь связаться.
Таким образом, поручая поставщикам услуг аутсорсинга решение сразу многих задач, вы доверяете им тем самым свою репутацию, защиту данных, управление связанными с этим рисками, выполнение требований регулирующих органов и даже соответствующие бизнес-процессы. Поэтому в первую очередь вы должны иметь возможность контролировать аутсорсинг и располагать всем необходимым для его защиты.
Важна ли для вас страна, в которой вы будете получать услуги аутсорсинга, и учитываете ли вы особенности рисков, присущих каждой конкретной стране?
n Да, безусловно, ведь законодательства разных стран (и даже разных регионов внутри одной и той же страны) отличаются друг от друга. В США привыкли к необходимости соблюдения уже достаточно давно введенных стандартов — HIPAA (закон об отчетности и безопасности медицинского страхования) и SOX (закон Сарбейнса — Оксли), а требования к защите конфиденциальной информации личного характера нашли отражение в законе штата Калифорния SB 1386. Не забывайте также о правиле 17a-4, установленном Комиссией по ценным бумагам и биржам для брокеров и трейдеров. В Канаде необходимость защиты информации личного характера регулируется законом PIPEDA, в Японии — JSOX, в Европейском союзе для этой цели принята директива Data Directive. Все эти нормы регламентируют, что можно, а что нельзя делать с данными в процессе их хранения и обработки.
Итак, необходимо уяснить, какие правила вам придется соблюдать при организации аутсорсинга, а также какими юридическими правами вы можете пользоваться. Если в стране, где вы ведете бизнес, кто-то потерял ваши данные, у вас есть возможность обратиться к правоохранительной системе этой страны и выдвинуть претензии в рамках имеющихся у вас прав. Однако в разных странах правоохранительные системы работают по-разному, и это следует учитывать. Ведь вы не хотите оказаться в ситуации, когда при потере данных у вас не будет никаких юридических рычагов ни для того, чтобы эти данные вернуть, ни для того, чтобы выдвинуть требования о возмещении нанесенного вам ущерба.
Важное значение имеют также географические особенности того или иного региона. Например, в некоторых странах есть зоны, где периодически случаются наводнения, в других — области, где часто проносятся ураганы. Следует учитывать также устойчивость энергоснабжения.
Общеизвестно, что для Китая, например, характерны регулярные кражи интеллектуальной собственности. Другим странам присущи свои проблемы. Можно ли попытаться защитить себя самостоятельно в ситуациях, когда государственная правоохранительная система не справляется со стоящими перед ней задачами?
Можно сделать вот что: если правоохранительная система того или иного государства вас не устраивает и вы не чувствуете себя защищенным, просто откажитесь от бизнеса в этой стране.
В общем случае имеет смысл отталкиваться от SLA, в которых явно прописываются все санкции. Но и тут каждая конкретная ситуация требует изучения. Хорошо бы пригласить
адвоката, чтобы он еще раз проанализировал текст SLA и сформулировал соответствующие требования. При обсуждении возможности ведения бизнеса в стране, где у вас нет реальных юридических рычагов, следует дважды подумать, прежде чем открывать там какое-то дело. Особенно если речь идет о хранении и обработке важной и конфиденциальной информации.
Каким образом компании могут бороться с непрозрачностью аутсорсинга?
Аутсорсинг действительно должен быть прозрачным независимо от того, кто и где предоставляет вам соответствующие услуги. Прежде всего следует понять, каким образом ваш аутсорсер намерен управлять рисками. Собирается ли он регулярно проводить аудит в соответствии с нормами FAS 70? Имеется ли у него методология оценки конкретных рисков и соответствующий сертификат? В качестве примера здесь можно привести сертификацию по стандарту BS 7799 или ISO 27001. В этом случае вы можете ознакомиться с выполняемыми процессами и процедурами, взяв их под свой контроль.
Поддерживайте регулярную связь с аутсорсером, оценивая достигнутые результаты. Если вы действительно хотите продвигаться вперед, вам ежедневно нужна полная информация обо всем, что происходит. К примеру, если аутсорсер проводит мониторинг безопасности вашей инфраструктуры, вам, вероятно, захочется ежедневно получать отчеты обо всех выявленных недостатках, включая сведения о неправомерном предоставлении или отказе в доступе и даже о том, имеет ли администратор возможность удаленной настройки и контроля правильности функционирования системы.
При весьма популярном сегодня аутсорсинге разработки программного обеспечения очевидным желанием заказчика будет получение доступа к программному коду как до, так и после тестирования. Для оценки качества кода вы можете пригласить своих собственных внешних аудиторов, которые помогут вам получить представление о ходе разработки. Конечно, все зависит от конкретных задач и уровня желаемого мониторинга, но в любом случае в отношениях с аутсорсером должна быть полная прозрачность и присутствовать связь на постоянной основе. Поскольку речь идет о ваших данных, вы вправе требовать прозрачности и контроля.
Какое значение имеет проверка уровня подготовки и послужного списка персонала компании, предоставляющей вам услуги аутсорсинга?
Понимание того, какой уровень требований ваш аутсорсер предъявляет к своему персоналу и его подготовке, является критически важным моментом. Когда речь идет о безопасности и конфиденциальности, вполне естественным является желание клиента знать, привлекались ли сотрудники аутсорсера к ответственности за кражу данных или продажу информации о кредитных картах.
Что предпринимают поставщики услуг аутсорсинга, для того чтобы получить интересующие их сведения о своих сотрудниках, и как они их проверяют? Каким образом осуществляется ежедневный контроль за работниками? Как предотвратить похищение критически важной и конфиденциальной информации?
Можно ли рассказать об этом поподробнее? Как осуществлять повседневный мониторинг? Ведь далеко не все находится на виду, и вы можете оказаться просто не в курсе того, что происходит.
Да, поэтому еще раз хотелось бы напомнить о важности полной прозрачности при проведении аудита и наличия контрольного уровня при мониторинге. Некоторые моменты надо проверять особенно тщательно. Каким образом хранимые данные отделены от людей, которые не должны иметь к ним доступ? Какие механизмы контроля доступа, авторизации и аутентификации используются, для того чтобы гарантировать просмотр данных лишь теми людьми, которым это разрешено, и выполнение процедур обработки только теми, кто на это уполномочен?
Вероятно, вам захочется проверить и порядок контроля самого ЦОД как с физической, так и с логической точки зрения. Как правило, сегодня дешевле запускать несколько экземпляров сервера на одном компьютере. Проделать это можно в виртуальной среде. Но что если на этом же самом компьютере наряду с вашей информацией хранится и информация вашего конкурента? Вероятно, вам захочется получить подтверждение надежности разграничения доступа к данным. Убедиться не только в том, что сотрудники поставщика услуг авторизованы, но и в том, что остальные люди, имеющие доступ к ЦОД, включая удаленных клиентов, отделены от ваших данных, а все права определены правильно, в точном соответствии с предоставленными пользователям полномочиями.
Шифрование также может оказаться весьма полезным. Вы вправе поинтересоваться, как осуществляется защита данных и управление их жизненным циклом в процессе передачи, размещения и долговременного хранения.
А что вы думаете о ведении переговоров по SLA? Какие моменты здесь необходимо учесть?
Безусловно, об этом следует подумать заранее, потому что в случае конфликта очень трудно возвращаться назад и вновь приступать к обсуждению тех вопросов, которые поставщик услуг изначально не желал оговаривать. Иногда технические специалисты не хотят брать с собой адвокатов, потому что процесс в этом случае существенно замедляется, ведь юристы всегда найдут какие-нибудь недочеты в формулировках. Но на самом деле это весьма полезно, потому что перед подписанием долгосрочного соглашения с аутсорсером нужно убедиться в том, что вы явно отразили в тексте договора все, что для вас приемлемо и неприемлемо.
Особое внимание необходимо уделить правам на аудит. Итак, если вы хотите, чтобы вас пропустили на объект, а вашей команде аудиторов предоставили возможность проверить функционирование системы на соответствие стандарту FAS 70, если хотите провести тест на устойчивость комплекса к взлому или даже получить право на физический аудит, необходимо оговорить все это с поставщиком заранее. В противном случае вам всегда могут сказать: «Мы никогда не обещали впускать вас в свои владения. Ведь наши системы являются конфиденциальными, и вы можете увидеть здесь информацию других клиентов». Поэтому оговаривайте заранее, аудит какого рода вам хотелось бы проводить.
Неплохо было бы также конкретизировать порядок решения вопросов, которые могут возникнуть. Независимо от конкретной специфики аутсорсинга, будь то управление контакт-центром или разработка ПО, трудности различного рода неизбежно будут появляться. А если аутсорсер осуществляет в каком-то виде мониторинг работы вашей сети или инфраструктуры, вам, очевидно, захочется получать сигналы тревоги и иметь гарантии того, что информация о неисправности будет передана нужному человеку в нужное время. Итак, каковы действия аутсорсера, если речь идет о сетевой инфраструктуре и требуется установить обновление или подкорректировать работу определенной службы? Должен ли он остановить службу? Вам нужно знать, что представитель аутсорсера связался с уполномоченным лицом вашей организации, получил необходимое разрешение и сообщил ему о выполнении работ. Причем делать все это следует своевременно. А не через месяц, когда у вас вдруг возникнет вопрос: «Почему не обновляется система?»
«Мы не знаем, нам казалось, что кто-то за этим следит», — можете услышать в ответ.
Вам, вероятно, не хочется пускать все это на самотек, поэтому отчетность и обратная связь обязательно должны присутствовать.
Следующий момент заключается в определении размеров компенсации, которую поставщик услуг аутсорсинга обязан вам выплатить в случае простоя или потери данных. Передача управления своими репутационными рисками поставщику услуг аутсорсинга или кому-нибудь еще — очень непростое и ответственное решение, и это действительно так: в министерстве по делам ветеранов произошла утечка большого объема информации о медицинской страховке пациентов. На самом деле утечка произошла не в самом министерстве, а у его подрядчика — компании Unisys. Но эта брешь все равно ассоциируется с министерством по делам ветеранов. Подсчитать точно потери, обусловленные репутационными рисками, вы, конечно, не сможете, но нужно попытаться определить хотя бы порядок величин.
Значительно проще подсчитать убытки от простоя. Что произойдет, если ваши пользователи не смогут работать с системой? Допустим, речь идет о контакт-центре резервирования билетов, но никакого резервирования не происходит. Какие потери понесет ваш бизнес? Соответствующие моменты необходимо отразить в SLA. Ведь вам нужно получить денежную компенсацию за потерю данных или неработоспособность какой-то из служб.
Есть ли что-то, о чем мы можем просто не знать или даже не вспомнить в процессе консультаций?
В первую очередь следует отметить, что очень часто в компаниях совершенно не задумываются о том, какие реальные риски связаны с информацией, передаваемой аутсорсеру. Ваш поставщик услуг аутсорсинга может быть весьма компетентным в своей области. Возможно, он готов даже предложить способы внедрения более совершенных бизнес-процессов и перехода на более высокий уровень безопасности, но нельзя всегда слепо доверять его словам. В любом случае вам нужен механизм для управления требуемыми уровнями рисков. Убедитесь в том, что ваш аутсорсер готов вам этот механизм предоставить.
Возможно, ваш аутсорсер выполняет работу лучше, чем вы, но все равно все нужно держать под своим контролем. Нельзя надеяться на то, что он сам во всем разберется, поскольку он далек от ваших бизнес-процессов, не понимает, в чем заключаются ценности вашего бизнеса, и вы должны помочь ему в этом. А сначала разберитесь во всем сами, поставив себя на его место.
Необходимо назначить у себя в организации человека, который будет отвечать за связь с аутсорсером. Этим человеком может быть сотрудник, которому представители аутсорсера докладывают о выполненной работе и зарегистрированных происшествиях, или специалист, проверяющий журнал аудита, или работник, периодически общающийся с поставщиком услуг, для того чтобы убедиться в том, что все в порядке. Идея уволить всех сотрудников, которые ранее были заняты в переданных аутсорсеру бизнес-процессах — не более, чем миф. В любом случае вам понадобятся люди, которые будут поддерживать контакты с поставщиком услуг аутсорсинга и следить за тем, чтобы все шло как положено.
Diann Daniel. Security Secrets of IT Outsourcing. CSO Magazine. April 02, 2007