| Статистика |
Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
|
Главная » 2010 » Январь » 20 » Аутсорсинг IT безопасности: страхи и сомнения...
15:59 Аутсорсинг IT безопасности: страхи и сомнения... |
Аутсорсинг сегодня тема модная. Практически на всех бизнес и IT форумах встает эта тема. Кто-то утверждает, что за аутсорсингом будущее и отдавать на откуп аутсорсерам надо практически все бизнес процессы и совсем избавится от IT специалистов(такие примеры на рынке есть). Кто-то считает, что отдавать на аутсорсинг какие-либо IT функции смерти подобно (и такие примеры тоже есть). Бывает, что на форумах встречаются высказывания типа «По поводу спама: опять же дешевле и безопасней дополнительно нанять 1-го человека, который бы непосредственно занимался почтой, чем пускать весь трафик через левую контору, и платить за это минимум втрое больше. Ну а если IT отдел не в состоянии самостоятельно организовать антивирусную защиту предприятия, то в первую очередь нужно ставить вопрос об его эффективности».
Кто же прав?
IT безопасности и аутсорсинг. Что можно отдать на сторону.
Один из постулатов, продвигаемых поставщиками услуг аутсорсинга IT безопасности, что проще и логичнее всего отдавать на аутсорсинг системы защиты периметра. Такие как защита почтового трафика, защиту Gateway, организацию VPN и систем обнаружения вторжений. То есть те системы, которые с одной стороны, контактируют с внешним миром и настроить доступ к этим системам из вне проще всего, с другой стороны, такие системы требуют если не круглосуточного, то регулярного и постоянного мониторинга. Наиболее понятны, распространены и доступны для большинства компаний, и, следовательно, широко представлены на рынке, услуги про аутсорсингу защиты почтового трафика.
Если рассматривать систему аутсорсинга проверки почтового трафика с точки зрения технаря, то все работает довольно просто — достаточно изменить MX запись в DNS сервере и вся ваша почта будет проходить через сервера третьей стороны (аутсорсера) и вся антивирусная, антиспам проверка и другая фильтрация будет происходить на серверах аутсорсера.
Достаточно указать системе, что вы не хотите получать (спам, вредоносные программы, картинки с порнографией или музыкальные файлы) и что делать с теми письмами, которые не будут вам доставлены. И все работает как хорошие швейцарские часы. Клиенту не надо знать какие технологии используются у аутсорсера, сколько у него серверов и сколько человек следят за этими серверами. Разумеется, что этими функциями не ограничиваются современные провайдеры услуг. Все современные сервисы гарантируют высочайшую безотказность. Другой интересной возможностью для аутсорсинга является услуга по резервному копированию всех почтовых сообщений, что особо востребовано публичными компаниями. Деятельность публичных компаний ограничена рядом законодательных актов, регулирующих информационные потоки в компании (Basel II, Sarbanes — Oxley Act (SOX), HIPPA и др.). Что бы соответствовать этим и другим законодательным актам, в том числе, необходимо обеспечивать копирование всех почтовых сообщений и хранение их в течение длительного срока. Такой сервис могут обеспечить и обеспечивают аутсорсеры.
С Web трафиком ситуация аналогичная — аутсорсер становится прокси сервером и через его сервера идет Web трафик клиента. Разумеется уже очищенный от нежелательного контента. В свое время английские бизнесмены очень жаловались на снижение производительности труда во время чемпионата мира по футбола — большое количество сотрудников не имея возможности уйти с работы для просмотра футбольного матча смотрели или читали про матчи on — line. Для такого и многих других случаев есть системы контроля за контентом, за посещаемыми сотрудниками во время работы сайтами с возможностью регламентирования доступа.
Сомнения и страхи.
На предложения отдать часть функций IT безопасности на аутсорсинг многие отвечают: «То есть дать возможность неконтролируемого доступа во внутреннюю сеть для неавторизованного персонала. С инфобезопасностью все тоже самое. Конфигурирование граничных маршрутизаторов силами аутсорсеров? Дыра в безопасности».
Или вот частое замечание по поводу безопасности передачи функции проверки почты третьей стороне «Особой выгоды в аутсорсинге не вижу: если компания действительно заботится о своей IT безопасности — через ее почтовый сервер проходят очень важные сведения, думаю вопрос об отдаче в обслуживание „системы защиты периметра,защита почтового трафика, защиту Gateway..." в руки сторонней организации в принципе стоять не должен, причины здесь очевидны, объяснять почему думаю не стоит.». Как ни странно, подобные сомнения в крупных компаниях терзают именно технарей. Специалисты по безопасности прекрасно знают, что пересылка e — mail сродни пересылке почтовой открытке обычной почтой — и в том и в другом случае содержимое сообщения может быть с легкостью прочитано и конфиденциальность переписки не гарантируется. Если же есть потребность пересылать средствами электронной почты (т. е. по незащищенному каналу) конфиденциальной информации, то необходимо воспользоваться средствами криптографической защиты.
Бизнес люди и в первую очередь финансисты и директора компаний хотят знать про цену: "Все конечно, красиво нарисовано! Но почему то вспоминается:"...гладко было на бумаге, но забыли про овраги, а по ним ходить..." И почему бы не привести расчет стоимости обоих вариантов [аутсорсинг и все делать своими силами]? А ведь цена вопроса, один из основных факторов. Не говоря уже про дефицит кадров по безопасности: как раз специализированные компании больше страдают текучкой этих кадров«. По сути два вопроса — выгоден ли аутсорсинг экономически и второй — дефицит кадров, есть ли он у аутсорсеров.
Выгоден или нет?
Вариантов решения задачи обеспечения обычно три. Первое — сделать все своими силами с использование Open Source продуктов. Второй — своими силами, но с использованием коммерческих (платных) решений и третий вариант — отдать решение задачи аутсорсеру. Давайте рассмтрим простой, но в тоже время показательный пример. Задача: избавиться от спама в компании. На конференции «Проблемы спама и ее решения 2006» выступал системный администратор крупной компании (более 3000 сотрудников), который самостоятельно, используя только Open Source продукты, избавил свою компанию от спама (качество решения пока не рассматриваем). По его словам ему потребовался не один год на решения задачи и создание системы защиты от спама. Уверен, что это высокооплачиваемый сотрудник и затраты лишь на одну его зарплату составляла десятки тысяч долларов в год. Второй фактор время — два года. Третий, пожалуй, самый важный фактор для CIO и CEO — что случиться, когда этот сотрудник уволится? Сможет ли кто-нибудь разобраться в системе и поддерживать ее также эффективно?
Второй вариант решения — купить коммерческое программное обеспечение. Время, затраченное на решение задачи будет гораздо меньше, прямых затрат тоже меньше, следовательно эффективность выше. Но осталась еще проблема приема спама (хотя бы SMTP сессий), перегрузок от спам атак, установка новых версий, обновлений, мониторинг. Я не говорю о затратах на инсталляцию, деинсталляцию программ.
Третий вариант — аутсорсинг. Да, стоимость обслуживания будет выше, чем покупка коммерческого ПО, но не в разы. Но никаких затрат на обслуживание, а это время. Время загруженных IT специалистов. Нет необходимости принимать мусор, а это экономия на трафике, дисковом пространстве и на сервере. Кроме этого, функционал сервисов больше, чем стандартного ПО. Платя больше и получаешь больше, при этом еще и экономишь.
В начале статьи была цитата про эффективность IT отдела. У аутсорсера эффективность выше по определению т. к. аутсорсер выполняет узкоспециализированные функции и фокусируется на них, в отличие от собственного специалиста, который во многих случаях и жнец и на дуде игрец.
Люди. У хороших, правильных аутсорсеров работают профессионалы. Аутсорсер холит и лелеет этих людей т. к. именно они являются залогом успешности бизнеса аутсорсера и текучка если и есть, то очень не большая.
А у своего специалиста могут быть свои, личные проблемы. «Админ может заболеть. У админа может быть отпуск. У админа рожает жена. Наконец, он занят, потому что сейчас пишет на болванку Prey. А вот с компанией подрядчиком надо подписывать SLA. В конце концов, есть договорные отношения».
Именно так. Взаимоотношения с аутсорсером строятся на договорной основе и у заказчик получает не только гарантии по уровню качества, но и возможность применить санкции в случае нарушения гарантий. Много ли внутренних специалистов готовы подписать такое соглашение и его выполнять?
Ну и разумеется администраторы боятся за свои места, полагая, что с приходом аутсорсеров его уволят.
Страхи сисадминов.
Я сам сисадмин, и мне тоже — не то, чтобы страшно за место, — но неприятно как-то, когда в мою родную сеть, моему шефу вдруг приходит спам от таких вот «аутсорсеров-профессионалов». Кто его знает, чего от них можно ждать?
Конечно, правы те, кто утверждает, что аутсорсер выше классом, чем «просто админ». Да, концентрация умов у аутсорсера выше, но какой же нормальный бизнес будет вдаваться во все подробности вашей фирмы? Только один — высокооплачиваемый. Ибо у бизнеса цель — рентабельность, а у сисадмина, даже если их и не одна штука, цель — работоспособность системы.
Представьте себе торговую компанию (розничный магазин или гипермаркет, что не важно). Есть свои IT специалисты. Какая их самая важная задача? Не пропустить спам в почтовый ящик генерального директора, настроить новый ноутбук для коммерческого директора или сделать так, что бы кассовый терминал не давал сбои и не зависала информационная система в 7 вечера, когда основной наплыв покупателей? В случае, когда всё делается своими силами, возможна ситуация, когда что-то не будет сделано в срок или качественно — квалифицированных рук и времени всегда не хватает.
В этом случае можно прибегнуть к аутсорсингу для оптимизации деятельности IT отдела. И тогда у айтишников появится больше времени заняться самыми важными задачами и их работа принесет больше прибыли предприятию (и бонусов самим айтишникам). Получается, что затратив средства на аутсорсинг предприятие получит дополнительную выгоду. Я уж не говорю о том, что та часть работы, которую отдадут аутсорсеру зачастую выполняется качественнее, чем в случае выполнения этой работы внутренними силами.
Заключение
Использование аутсорсинга IT безопасности новое и, пока вызывающее опасения, направление для России. Надеюсь, что данная статья помогла преодолеть сомнения относительно преимуществ использования модели аутсорсинга для защиты предприятий от IT угроз.
|
|
Просмотров: 722 |
Добавил: maleks64
| Рейтинг: 0.0/0 |
|
|