Сторонние поставщики услуг ИБ: эффективная помощь или лишние проблемы?

По данным исследования «Лаборатории Касперского», более трети компаний в России (42%) обращаются к поставщикам управляемых IT- и ИБ-услуг из-за нехватки собственных специалистов по информационной безопасности.

Дефицит кадров, способных обеспечить комплексную защиту данных, может привести к утечкам конфиденциальной информации, возникновению уязвимостей, реализации кибератак и другим неприятным последствиям.

О том, как корректно выбрать поставщиков услуг ИБ, рассказывает в данном материале Мария Некрасова, младший консультант по ИБ компании RTM Group.

Понятие и виды аутсорсинга

Аутсорсинг — это процесс передачи определенных функций или задач сторонней компании.

Можно разделить его на несколько видов:

• Постоянный, когда стороннему поставщику передается часть задач, связанных с обеспечением информационной безопасности на постоянной основе.
  Он может подразумевать:

• • Решение отдельных задач, включая проведение регулярных мероприятий (тестирования на проникновение или анализа уязвимостей, например)
  • Полнофункциональную службу ИБ

• Разовый, когда к стороннему поставщику обращаются для выполнения одной задачи.Например, для проведения аудита ИБ, который поможет понять, каково состояние информационных систем и насколько актуальны угрозы ИБ для конкретной организации.

Когда возникает необходимость в обращении к аутсорсу?

Обращение к аутсорсу может оказаться необходимым в ряде случаев:

1. Оптимизация затрат
   Это одна из основных причин обращения к аутсорсингу. Найм собственного персонала для выполнения определенных задач может быть дорогостоящим, в то время как аутсорсинг позволяет компаниям экономить на зарплатах, социальных отчислениях, аренде офисного помещения и т.д. Если необходимо производить мониторинг событий безопасности, но хочется обойтись без затрат на покупку дорогостоящих СЗИ, например, то аутсорсинг может стать хорошим решением.
2. Концентрация на основной деятельности
   Аутсорсинг помогает компаниям сконцентрироваться на своем основном бизнесе, освобождая ресурсы и время для развития ключевых компетенций.
3. Получение доступа к экспертным знаниям
   Обращаясь за аутсорсингом, компания получает доступ к высококвалифицированным специалистам и экспертам в определенных областях. Это особенно актуально в технологичных сегментах, где существует постоянная необходимость следить за инновациями и использовать передовые технологии.
4. Гибкость и масштабируемость
   Если деятельность компании временно увеличивается, а затем сокращается, то подрядчик может легко адаптироваться к ее потребностям, предоставляя дополнительные ресурсы или, наоборот, сокращая объем услуг. Это удобно для бизнеса, подверженного сезонным колебаниям или бурному росту.
5. Увеличение скорости выполнения работ
   Привлечение специалистов, находящихся на аутсорсе, может значительно сократить время, необходимое для выполнения определенных задач. Благодаря их опыту и эффективности, работы могут быть выполнены быстро и качественно.

Однако, при работе со сторонними поставщиками услуг ИБ могут возникнуть определенные проблемы, которые следует принять во внимание. Ниже перечислим основные из них.

Риск утечки данных

Gередавая конфиденциальные данные стороннему поставщику ИБ, компания должна быть уверена в его надежности.

Недостаточная безопасность стороннего поставщика ИБ может представлять угрозу для безопасности данных клиентов.

Поэтому, передавая данные на аутсорс, необходимо осуществить тщательный отбор и проверку компании, а также заключить договор, включающий соглашение о неразглашении (NDA).

Качество услуг

Услуги по информационной безопасности, предоставляемые сторонним поставщиком, должны быть качественными и соответствовать потребностям заказчика.

Недобросовестные исполнители могут предоставлять неполные или недостаточно эффективные сервисы, что приведет к неудовлетворительным результатам, уязвимостям и рискам для организации-заказчика.

Поэтому важно провести тщательный анализ и выбрать поставщика с хорошей репутацией и положительными отзывами от предыдущих клиентов.

Выбор некачественного исполнителя может спровоцировать ряд проблем, включая:

• Недостаточный мониторинг и анализ сетевой активности, что может привести к заметному увеличению числа успешных кибератак
• Отсутствие четкого плана реагирования на инциденты, что может обернуться задержками в реагировании на инциденты безопасности и увеличению ущерба

Эти проблемы свидетельствуют о том, что компания не проанализировала должным образом риски и сделала неудачный выбор.

Последствия от него могут быть и гораздо более тяжелыми, вплоть до полного останова бизнеса вследствие успешно реализованной кибератаки.

Как выбрать подходящего стороннего поставщика услуг ИБ?

1. Проверка репутации и опыта его работы на рынке
   Ознакомление с его историей позволит узнать, сколько лет он на рынке, какие проекты были реализованы, насколько успешно. Так можно будет сделать выводы о том, насколько хорошо поставщик знаком с предметной областью и способен адаптироваться к различным требованиям и ситуациям. Чтение отзывов от других клиентов также является полезным инструментом для оценки поставщика.
2. Соответствие нормам и стандартам
   Узнайте, какие нормы и стандарты по информационной безопасности соблюдает поставщик услуг. Соответствие стандартам гарантирует, что поставщик применяет надежные методы и процедуры для защиты ваших данных.
3. Наличие сертификатов и лицензий
   Стоит убедиться в том, что поставщик имеет все необходимые документы для оказания услуг по ИБ, что его работа не идет вразрез с действующим законодательством. В частности, это важно, если планируется передача ему конфиденциальных данных или ведение операций с высоким уровнем риска. В таких случаях несоблюдение регуляторных требований или некорректное обращение с чувствительными данными может привести к серьезным последствиям.
4. Проведение консультаций с потенциальным поставщиком
   Это поможет понять, способен ли он решить проблемы заказчика, а также повысить уровень компетенций в целом.
5. Уточнение условий сотрудничества, стоимости и сроков выполнения работ
   Использование услуг ИБ сторонних поставщиков может значительно усилить защищенность заказчика. Нередко такие компании обладают профессионализмом, опытом и технологическими средствами для эффективного обнаружения и предотвращения атак, а также для обработки уязвимостей. Они также могут предложить комплексный набор сервисов, включающий в себя мониторинг, анализ, обучение персонала и реагирование на инциденты. Это особенно полезно для малых и средних предприятий, которые могут не иметь достаточных ресурсов для устранения уязвимостей ИБ самостоятельно.

Важно быть очень внимательными при выборе исполнителя, чтобы не получить низкое качество услуг и массу сопутствующих проблем.