«Сети»
Qualys собирается предложить в России услуги по аутсорсингу обеспечения информационной безопасности
Компания Qualys в России известна пока лишь узкому кругу специалистов. В мире же у нее около 2,5 тыс. клиентов, среди которых такие гиганты, как AXA, DuPont, ICI, Novartis, Sodexho и Standard Chartered Bank. Популярность у заказчиков компания снискала благодаря онлайновому сервису QualysGuard Web, при помощи которого можно осуществлять автоматизированную проверку системы безопасности «по требованию», а также обеспечивать соблюдение внутренней политики информационной безопасности. В России компания через своего партнера, «ТехноСерв A/C», также предлагает инструментарий сканирования информационных ресурсов и защиты от опасного контента QualysGuard. В Qualys не сомневаются, что в ближайшее время круг заказчиков компании в нашей стране значительно расширится. О том, какие перспективы Qualys видит в развитии аутсорсинга информационной безопасности и почему ожидает увеличения доли отечественных клиентов, рассказал Лотар Мишель, управляющий директор компании.
В чем особенность предложения вашей компании?
Наши услуги нельзя назвать аутсорсингом в чистом виде. Заказчики не предоставляют нам доступ в свои информационные системы, а используют возможности установленных в нашем центре решений по обеспечению информационной безопасности. Инструментарий нашей компании позволяет поддерживать необходимый уровень защищенности организаций и следить за соблюдением политик. Наши специалисты помогают заказчикам внедрять специализированное программное обеспечение и обеспечивают его обновление. Также «по требованию» мы готовы произвести сканирование систем заказчика на предмет существующих уязвимостей. Если клиент пожелает доверить нам управление брешами в защите, Qualys предоставит и такую услугу. При этом самые важные ресурсы и решения в области безопасности, установленные на предприятиях клиентов, остаются в их ведении. В том же направлении, что и мы, начинают продвигаться другие крупные игроки рынка, включая Microsoft и Google. Они понимают, что компаниям сложно одновременно управлять несколькими системами в интеллектуальной среде, и предлагают свою поддержку.
Как вы оцениваете свои перспективы в нашей стране?
В России Qualys работает всего несколько месяцев, но у нас уже есть несколько клиентов из финансовой и телекоммуникационной сферы. Как и за рубежом, здесь умеют считать деньги. Главным стимулом при переходе на разработки Qualys для них является показатель возврата на инвестиции. Кроме того, далеко не каждая компания может позволить себе содержать большой штат специалистов в области защиты информации. Иногда проще и дешевле привлечь профессионалов со стороны. Мы считаем Россию очень перспективным с точки зрения развития бизнеса регионом. В первую очередь наши ожидания связаны с финансовыми и промышленными предприятиями.
Экономические аргументы далеко не всегда являются решающими, если речь идет об аутсорсинге систем информационной безопасности. Многие российские клиенты пока психологически не готовы передавать функции защиты сторонним организациям...
Такие предубеждения существуют у компаний всего мира: они уверены, что предоставлять посторонним доступ к собственной информации опасно. Для защиты своих клиентов, мы осуществляем шифрование данных таким образом, чтобы воспользоваться ими могли только специалисты самого заказчика. Кроме того, услуги «по требованию» являются наиболее корректным видом аутсорсинга средств информационной безопасности, поскольку сводят к минимуму вмешательство в системы клиентов.
Вопрос доверия является ключевым при передаче на аутсорсинг сторонней организации части функций по обеспечению информационной безопасности. Какие гарантии могут предоставить своим клиентам фирмы, предлагающие услуги такого класса?
Ключевую роль при передаче на аутсорсинг части функций по обеспечению информационной безопасности играет контракт с четко определенным соглашением об уровне обслуживания (Service Level Agreement, SLA). Договор определяет права и обязанности сторон, форму отчетности, число поддерживаемых пользователей, уровень защиты информации и ответственность исполнителя.
Все ли функции обеспечения информационной безопасности организации могут отдавать на аутсорсинг или какую-то часть из них они обязательно должны оставить в своей компетенции?
Конечно, поручать заботам сторонней компании лучше лишь стандартные элементы системы защиты, например антивирусное сканирование, фильтрацию вредоносного контента и спама, создание защищенных виртуальных сетей и центров обработки данных, управление системами обнаружения вторжений и средствами мониторинга событий в сети. Посторонним не должны быть доступны конфиденциальные данные, информация о внутренних процессах, а также критичные ресурсы организации. Поэтому перед подписанием соответствующего соглашения заказчику необходимо определить собственные приоритеты.
Компаниям какого профиля вы рекомендовали бы пользоваться услугами аутсорсинга в первую очередь? Есть ли такие организации, которым подобные услуги противопоказаны?
В принципе заказывать такие услуги могут любые компании. Различия для организаций разного профиля состоят лишь в необходимом объеме услуг. Чем крупнее структура, тем более высокий уровень конфиденциальности информации ей требуется, а значит, тем меньше функций защиты информационных ресурсов она может передавать на аутсорсинг. Так, военные или органы власти могут допустить лишь минимальное вмешательство в свои системы. Финансовые организации в последнее время стали охотнее идти на контакт, доверяя мониторинг отдельных компонентов систем, поддержку. Отношение к аутсорсингу информационной безопасности в мире меняется, и то, что раньше казалось невозможным, сегодня воспринимается как данность.
По мнению аналитиков, около 80% инцидентов случается по вине сотрудников организаций. Каким образом может осуществляться управление человеческими рисками?
Это самая важная и самая сложная часть нашей работы. Потому что, несмотря на усилия различных организаций, обучение пользователей безопасной деятельности внутри корпоративной информационной системы не соответствует требуемому уровню. Для обеспечения прочной защиты данных лучше всего брать пример с военных организаций, которые полностью проверяют сотрудников как при приеме на службу, так и перед тем, как предоставить им доступ к критичной информации. Также нужно четко категоризировать ресурсы, чтобы всегда знать, какой элемент системы нуждается в особом внимании.
Каким образом можно минимизировать утечки информации в организациях?
Лазейки всегда существуют даже в системах с повышенным уровнем безопасности. Если компания отключится от Internet и будет полностью контролировать доступ к устройствам, критичным данным и USB-подключениям, злоумышленник может найти возможность сделать снимок при помощи телефона или миниатюрной камеры. Способы проникновения в защищенные системы совершенствуются, а если преступникам помогают инсайдеры — потерь не избежать.
Поможет ли страхование рисков, связанных с нарушением целостности системы защиты, избежать финансовых потерь?
Страхование рисков заставит организации расходовать больше средств на информационную безопасность. Между тем выплаты по инцидентам происходят довольно редко, так как в случае с информационной безопасностью бывает трудно определить причину инцидента, характер и классифицировать его. Поэтому я не думаю, что страхование рисков информационной безопасности станет массовым явлением и универсальным решением проблем.