Переход на аутсорсинг информационной безопасности: топ-5 типовых проблем и практические советы по их решению

1. Выбор провайдера исключительно по цене

Некоторые компании, стремясь сэкономить, выбирают аутсорсера исключительно по стоимости, не учитывая другие важные факторы. Такой подход зачастую становится причиной последующих проблем: ограниченный объем работ, «средненькую» квалификацию, использование OpenSource или устаревших технологий, а также низкий уровень сервиса и поддержки. В итоге экономия на старте оборачивается нервотрепкой, эскалациями и рисками при первом серьезном инциденте.

Поэтому вместо того, чтобы сосредотачиваться только на цене, разработайте четкие критерии выбора и установите для них весовые коэффициенты, это даст объективную картину. Оцените опыт в вашей отрасли, экспертизу, используемые технологии, наличие сертификаций, например, ISO 27001. И самое важно пообщайтесь вживую с провайдерами, попросите презентацию и расскажите о своих проблемах, оцените их подход к работе.

2. Слабо сформулированные требования к услуге, объему и SLA

Отсутствие четко сформулированных требований к функции ИБ, списка конкретных работ и результатов, показателей эффективности, приводит к разногласиям, конфликтам и, в итоге, разочарованию. Размытые формулировки в договоре, их двусмысленные интерпретации, отсутствие матрицы ответственности, параметров услуги и метрик – все это порождает бесконечные споры и затрудняют объективную оценку качества работы провайдера относительно содержания и сроков исполнения обязательств. Например, заказчик ожидал получить комплекс услуг по анализу и реагированию, но в итоге получает лишь базовый сервис мониторинга и кучу перенаправленных инцидентов, с запоздалым временем реакции.

При правильном подходе аутсорсер, заинтересованный в долгосрочном сотрудничестве, активно помогает заказчику в формировании четких требований к услуге и определении состава и объема работ. Он собирает всю информацию, уточняет детали, а затем предлагает оптимальный набор услуг, соответствующий потребностям и бюджету заказчика. При этом, все договоренности отражаются в контракте, гарантирующем выполнение обязательств.

Перед заключением контракта рекомендуется провести внутренний анализ функции ИБ, которую хотите передать на аутсорс. И уже на основе полученных результатов составляется подробное техническое задание с четким описанием ожидаемых результатов, критериев их оценки и механизмов измерения качества. Если это сложно сделать самим, попросите помощи у провайдера, не бойтесь задавать много вопросов и уточнять как лучше это сформулировать и конкретизировать. Затем убедитесь, что все ваши потребности были учтены в договоре, а также что прописаны условия изменения состава и объема услуг. Формулируя результаты, старайтесь описывать так, чтобы они были конкретными, измеримыми, достижимыми и релевантными.

3. Отсутствие подготовки всех подразделений компании к переходу на аутсорсинг ИБ

Переход на аутсорсинг ИБ касается не только ИБ-департамента, но и всей организации. Отсутствие информированности и подготовки других подразделений (HR, юридический, финансовый, операционный, маркетинг и т.д.) приведет к непониманию новых процессов, задержкам в реагировании на инциденты, сопротивлению, игнорированию, конфликтам и даже скрытому саботажу. Например, HR-отдел должен понимать новые процедуры управления доступами для увольняющихся сотрудников, юридический – нюансы сбора информации при утечке данных, а ИТ – понимать новые правила в процессах взаимодействия с командой ИБ и провайдером. Иначе мы получим риски деградации качества услуги, хаос, и снижение эффективности системы защиты.

Для этого необходимо заранее проинформировать ключевые подразделения о планах перехода на аутсорсинг ИБ, объяснить им цели и важность такого перехода, а также их роль в совершенствовании общей системы безопасности, соберите ОС и учтите их пожелания. На этапе перехода, разработайте и проведите обучение для всех ключевых подразделений, вовлеченных в ИБ, определите тех, у кого будет возникать взаимодействие с провайдером, спроектируйте процесс для них и согласуйте его с ними. Это позволит значительно сократить время реакции и минимизировать риски при крупном инциденте после перехода на аутсорсинг.

Могут возникать опасения внутри штата ИБ о потере рабочих мест. Чтобы нивелировать такие ситуации, назначьте одного или нескольких сотрудников ответственными за взаимодействие с провайдером, вовлеките их в разработку требований к услуге и плана интеграции аутсорсера или определите для них новые роли и обязанности, сфокусируйте их на стратегических задачах ИБ, чтобы они чувствовали свою значимость и вклад. Донесите главную мысль: аутсорсинг – это расширение команды, а не ее замена, это инструмент освобождения от рутины.

4. Недооцененность сложности интеграции и неподготовленность инфраструктуры

Интеграция систем аутсорсера с существующей инфраструктурой заказчика может быть достаточно сложным и трудоемким процессом, требующим совместных усилий, времени и ресурсов. Ожидание, что провайдер «сам все подключит и настроит» без активного участия со стороны заказчика, может привести к срыву сроков, ошибкам и риску прерывания работы критически важных бизнес-процессов. Более того, если ваша инфраструктура не имеет актуальной документации, не проведена инвентаризация активов, нет централизованного управления, нет карты сети, не настроены системы журналирования и мониторинга, нет выстроенных ИТ-процессов, то это существенно увеличивает сроки интеграции, раздувает трудозатраты и расходы в моменте, и очень сильно снижает эффективность двустороннего взаимодействия.

Поэтому, прежде чем планировать переход на аутсоринг, в комфортном для себя режиме сделайте программу-минимум, проведите инвентаризацию своих активов, создайте актуальную карту сети, документируйте свои ИТ-процедуры, подготовьте хорошую почву для эффективного двустороннего взаимодействия. Рекомендуется использовать автоматизированные инструменты, чтобы упростить процесс. Затем совместно с провайдером разработайте детальный план перехода и адаптации, включающий этапы, сроки, ответственных лиц с обеих сторон, требования к ресурсам и тестовые сценарии, а также регламент взаимодействия. Начинайте такие трансформации с пилотного проекта, охватывающего небольшую часть инфраструктуры, чтобы все протестировать и отладить процессы.

Важно учитывать, что в договоре прописаны обязанности провайдера по предоставлению требований к подготовке инфраструктуры, ограничений услуги и условий ее функционирования, чтобы потом это не стало для вас неожиданностью.

5. Пассивность в работе с поставщиком услуг

Некоторые компании, заключив договор на аутсоринг, полагают, что все новые проблемы ИБ будут решаться автоматически, и перестают уделять внимание поставщику услуг в вопросах развития взаимодействия. Они считают, что достаточно просто платить деньги, и провайдер сделает «все безопасно» и сам догадается, где и что нужно вам, без какой-либо координации с вашей стороны. Кибербезопасность – это процесс, требующий постоянного внимания, активного участия всех сторон и их совместных усилий, понимания контекста, а тем более надзора и управления в вопросах стратегического развития ИБ.

При правильном подходе аутсорсер создает партнерские отношения, основанные на взаимной ответственности и сотрудничестве. Он обеспечивает экспертизу и ресурсы, но бизнес должен активно участвовать в формировании стратегии безопасности, предоставлении контекста и повышении осведомленности сотрудников. Только совместные усилия позволяют создать эффективную и надежную среду кибербезопасности.

Для этого активно работайте с поставщиком услуг, доводите до него контекст и планируемые значимые изменения, касающиеся или влияющие на услугу, учитывайте его рекомендации по рискам, по политикам безопасности, обучении сотрудников и мониторинге состояния ИБ. Договоритесь о каналах коммуникации, об отчетности и регулярно проводите совещания с провайдером для обсуждения всех этих вопросов, обратной связи, обзора текущей ситуации, чтобы совместно работать над повышением эффективности взаимодействия.

Заключение

Аутсорсинг информационной безопасности представляет собой разумную стратегию управления ресурсами и эффективную меру снижения рисков в условиях постоянного совершенствования киберугроз. Это позволяет организациям сосредоточить усилия на ключевых направлениях своего бизнеса, переложив ежедневные операции по обеспечению ИТ-безопасности на профессионалов.

Важно отметить, что передача ответственности внешнему исполнителю не означает потерю контроля над процессом. Команда заказчика остается вовлеченной во все важные процессы, передав операционную ответственность, а подрядчик лишь дополняет их экспертизой и технологиями.

Для тех компаний, которые стремятся обеспечить надежный уровень кибербезопасности, команда профессионалов ICL Services готова провести консультацию и подобрать решения, которые будут соответствовать потребностям бизнеса и его бюджету.