Безопасность по требованию

В конце августа Москву посетила Вал Рамани, генеральный менеджер подразделения IBM Internet Security Systems, входящего в состав IBM Global Technology Services. Корпорация IBM приобрела ISS два года назад за 1,3 млрд долл., и это явилось тогда следующим по значимости событием такого рода после покупки в 2002 году PricewaterhouseCoopers. Компания ISS специализировалась на создании решений корпоративной защиты и услугах по управлению безопасностью. Рамани, занимающая новую должность с февраля 2008 года, отвечает за развитие ISS в рамках IBM, а также интеграцию продуктов, услуг и результатов исследований ISS в решения и сервисы IBM. Ранее она руководила различными направлениями бизнеса этой корпорации – от разработки стратегии с учетом развития отделов продаж, дистрибуции и услуг до бизнеса Unix-систем и инициатив в области беспроводных и мобильных решений. В период преобразований IBM в середине 90-х Рамани была исполнительным заместителем легендарного председателя совета директоров корпорации Луи Герстнера. Вал Рамани встретилась с обозревателем Computerworld Россия Алексеем Чернобровцевым и ответила на его вопросы.

- Информационная безопасность - одно из направлений бизнеса IBM, которое способно усилить позиции в области аутсорсинга безопасности и обеспечить значительные темпы роста. Каковы стратегические направления этого вида деятельности в ISS?

Действительно, безопасность открывает новые возможности развития бизнеса, как в сфере программных решений, так и аппаратных платформ, которыми обладает ISS. Мы предоставляем продукты, услуги по управлению безопасностью, а также другие профессиональные услуги в этой области. И все эти направления обладают значительным потенциалом роста. Одним из примеров может служить проведение нашими специалистами аудита соответствия требованиям стандарта платежных систем Payment Card Industry Data Security Standard (PCI DSS), в котором, как мне стало ясно, заинтересованы многие российские компании. В ISS ведется также разработка продуктов, предназначенных не только для корпоративных заказчиков, но и для предприятий малого и среднего бизнеса, которые, я полагаю, будут востребованы и на российском рынке.

- Какие отличия в области концепций безопасности и их реализации по сравнению с другими компаниями характерны для IBM?

Пожалуй, главная особенность - это наше стремление опередить злоумышленников и защитить системы от возможных угроз. Созданные в ISS технологии превентивной защиты в сочетании с разработками IBM в области безопасности, ведущимися в течение четырех десятилетий, помогают создавать комплексные многоэшелонированные решения. Сотрудники исследовательского подразделения ISS X-Force разрабатывают инструменты, позволяющие определять уязвимые места систем еще до того, как они подверглись атакам. Наличие в арсенале ISS подобных средств стало одной из причин, сделавших для нас привлекательным приобретение этой компании.

- И все же, в процессе приобретения ISS очень много говорилось об услугах по управлению безопасностью. Что же вы хотели получить в первую очередь?

Главная цель – создать платформу для дальнейшего развития бизнеса IBM в области информационной безопасности. Скоро вы увидите, как будут развиваться продукты и технологии ISS и как они будут встраиваться в решения IBM, например, в Tivoli Security Operation Manager и Rational AppScan. Помимо интеграции программного обеспечения разработки ISS будут интегрированы и в аппаратные решения IBM. Также ISS примет самое активное участие в реализации концепции Security in the Cloud.

- Что происходит в настоящее время с глобальной сетью центров управления безопасностью ISS Security Operations Center?

Эта сеть развивается. Когда мы купили ISS, их было семь. Теперь появился еще один в Бразилии. Возможно, уже через год откроются еще два или три таких центра. Все они расположены в разных временных поясах и круглосуточно обслуживают заказчиков, общее число которых в различных странах приближается к 5 тыс. Удаленное управление безопасностью – еще одна из интересных возможностей, которыми обладает ISS. Бизнес, связанный с услугами по управлению безопасностью, развивается чрезвычайно быстро.

- Весной на конференции RSA Conference 2008 вы заявили, что бизнес в области информационной безопасности в современном его виде не имеет перспектив, и подчеркнули необходимость встраивания технологий безопасности в системы и процессы. Каковы планы в этой области?

Здесь можно выделить два аспекта - встраивание решений ISS в программные и аппаратные средства, о чем я уже говорила, и помощь клиентам в перестройке их бизнес-процессов с учетом требований безопасности. Заказчики в США, например, интересуются нашим собственным опытом в этой области, чтобы понять, что они могут получить от IBM. На упомянутой вами конференции я говорила, в частности, о необходимости постоянного взаимодействия глав служб безопасности предприятий с их руководством для согласования своей деятельности с бизнес-стратегией компаний.

- Ограничиваетесь ли вы в своей работе только собственными средствами или применяете также продукты других производителей, развивая с ними технологические и деловые отношения?

Мы развиваем такое сотрудничество и заинтересованы в формировании партнерских альянсов. Одна из самых "горячих" тем – защита предприятий от утечки данных. В этой области нашими партнерами являются такие компании, как Fidelis, Verdasys, PGP. Также я бы отметила давние и довольно тесные связи с Cisco Systems. Целью такого сотрудничества в конечном итоге является предоставление комплексных решений. Сейчас некоторые из наших клиентов используют одновременно до трех десятков продуктов различных производителей и хотели бы сократить их число.

- А что происходит с системными интеграторами? Являются ли они в большей степени вашими партнерами, способными продвигать решения IBM в области безопасности, или конкурентами?

Интеграторы – это в первую очередь партнеры, получающие доступ к нашим услугам по управлению безопасностью, как для собственных нужд, так и для удовлетворения потребностей своих клиентов. Правда, большая часть интеграторов не предоставляет значительных объемов услуг такого рода, поскольку это весьма специфическая область деятельности, тесно связанная с постоянным поиском новых уязвимостей, чем постоянно занимаются специалисты ISS X-Force.

- Когда речь идет о безопасности, важную роль играют не только технологические, но и административные методы защиты. Каким образом они сочетаются в ваших комплексных решениях?

Такие решения просто невозможны без административных методов, разрабатываемых с учетом специфики бизнеса каждой компании. Здесь ISS осуществляет самое тесное взаимодействие с сотрудниками IBM Global Technology Services и IBM Global Business Services, которые специализируются на формировании политик безопасности.

- Ранее было объявлено о беспрецедентных полуторамиллиардных инвестициях IBM на разработку решений в области безопасности в 2008 году. На что расходуются выделенные средства?

На создание новых версий продуктов ISS, Tivoli, Rational, на интеграцию, о которой я говорила, на разработку комплексных решений для компаний в области PCI DSS, на проведение региональных маркетинговых мероприятий. Расширяется штат сотрудников ISS, разрабатывающих решения для вертикальных рынков.

- Сегодня на ИТ-рынке зачастую довольно сложно отделить маркетинговые и технологические понятия, используемые в процессе продвижения новых продуктов, технологий и услуг. Как в этом смысле следует рассматривать концепцию IBM Security on-Demand?

Этот термин первоначально использовался как маркетинговое понятие. Однако, благодаря развитию технологий и повышению уровня унификации и автоматизации предоставления сервисов, управляемые сервисы в области безопасности теперь действительно можно получать "по требованию" и использовать по мере необходимости. Заказчики могут масштабировать такие услуги, подключаться к ним по своему желанию и прекращать их работу, не использовать, скажем, в рабочие часы, при этом в остальное время управление безопасностью будут обеспечивать по требованию клиентов наши специалисты. Совокупность всех этих возможностей и соответствует содержанию концепции предоставления услуг по требованию. Я думаю, что такие сервисы интересны и в России, где организации, с представителями которых я встречалась, выходят на рынки соседних стран и на первых порах не заинтересованы в создании там собственной полномасштабной инфраструктуры информационной безопасности.

- Какое влияние на бизнес IBM может оказать покупка EDS, которая являлась вашим серьезным конкурентом на рынке ИТ-услуг, компанией Hewlett-Packard?

Это приобретение произошло совсем недавно, и пока рано судить о его результатах. Потребуется определенное время, чтобы компании с различной корпоративной культурой смогли объединить свой бизнес. В конечном итоге многое будет зависеть от того, насколько быстро в это время удастся действовать IBM. Вы же знаете, что прошло довольно длительное время, пока покупка PricewaterhouseCoopers стала приносить IBM реальные плоды. (Во время подготовки этого материала стало известно о намерении Hewlett-Packard сократить в течение трех лет около 25 тыс. сотрудников в рамках реструктуризации после покупки EDS. - Прим. редакции).

- Что можно сказать о планах работы вашего подразделения на локальных рынках, в частности, в России?

На таких рынках мы наращиваем инвестиции. В Москве, к примеру, создана команда специалистов ISS. Их число будет расти и в Москве, и в российских регионах, и в других странах СНГ. Посетив вашу страну, я познакомилась с тем, что делают наши заказчики, с их запросами, поняла, что мы можем им предложить. Я весьма оптимистично смотрю на перспективы развития бизнеса ISS в России.