Обеспечение информационной безопасности по традиционной схеме (имея штатных специалистов) или привлекая аутсорсинговые услуги – вопрос, который возникает практически перед каждым владельцем бизнеса. И каждый решает его по-своему. Но практика показывает, что есть несколько ключевых критериев, которые однозначно склоняют выбор в пользу модели с привлечением внешних специалистов. К числу таких критериев относятся:
Ограниченность собственных человеческих ресурсов.
Штатных специалистов может оказаться недостаточно в тот или иной период жизни компании или при наступлении определенных событий (масштабная реструктуризация, ликвидация последствий чрезвычайных ситуации и т. д.). В этом случае аутсорсинг может быть использован на короткий срок.
Требуется быстрый запуск какого-либо сервиса или продукта.
Любой бизнес может столкнуться с рисками срыва дедлайнов или нуждаться в быстром запуске сервиса ИБ. В такой ситуации проще привлечь профессионалов со стороны, которым поставить конкретные задачи и сроки и требовать реализации. Свой персонал, если таковой имеется, не отвлекать от основной деятельности.
Нужно обеспечить круглосуточную работу подсистем информационной безопасности, а также поддержку всех процессов в формате 24/7/365.
Также эта ситуация может усугубляться территориальной распределенностью бизнеса. В такой ситуации аутсорсинг, заточенный исключительно под данный функционал будет и выгоднее, и эффективнее.
Требуется разноплановая экспертиза бизнесу.
Это одна из самых популярных причин, по которой обращаются «на сторону». Действительно, свои штатные сотрудники, постоянно «варясь» в реалиях одной компании, теряют преимущество иного взгляда на проблему. Нередко именно аутсорсеры становятся носителями лучших практик, которые видели и использовали в других компаниях. В таком случае владелец бизнеса получает быструю и экспертную помощь, объем которой он определяет самостоятельно.
Снижение зависимости от штатных специалистов, сокращение постоянных затрат на персонал.
Оказание услуг по информационной безопасности аутсорсерами станет эффективным инструментом, если требуется показать «зазвездившимся» штатным сотрудникам, что они не так уж уникальны и незаменимы. Сокращение затрат на персонал достижимо в случае оказания типовых, не требующих высокой компетенции, услуг (установка лицензионных средств защиты и т.п.).
С тех пор как информационная безопасность стала ключевой стороной обеспечения работоспособности бизнеса, компании, специализирующиеся только на предоставлении услуг по аутсорсингу ИБ наработали большой и успешный опыт, в том числе по фундаментальным подсистемам ИБ. В их число входит:
управление системами защиты от DDoS, предотвращения вторжений;
системы фильтрации трафика и e-mail;
контроль работы антивирусного ПО;
работа с системами сбора и обработки инцидентов;
управление криптографическими системами, а также системами аутентификации и авторизации;
такие частные отраслевые случае, как проведение тестов на проникновение (пентестов) и оценка соответствия положению 382-П Банка России, например.
Ключевым преимуществом профессионального аутсорсинга является сочетание его с консалтингом. И по этому параметру привлечение внешних специалистов в большинстве случаев значительно превосходит эффективность штатных сотрудников.
Однозначный выбор в пользу аутсорсинга или содержания штатных специалистов сегодня используется все более редко. Даже корпорации все активнее привлекают аутсорсинг не только для обязательных, регламентированных законодательством процедур, но и я реализации эффектов консалтинга. При этом профессиональные и опытные аутсорсеры в области ИБ сравнительно давно научились предоставлять уровень сервиса не проигрывающий по качеству схеме с использованием штатных специалистов.
