Несмотря на существование массы мифов, ответ на этот вопрос относительно однозначен. С некоторыми поправками он сводится к тезису: аутсорсинг в кибербезопасности, особенно управляемые службы обнаружения и реагирования, гораздо эффективнее и экономичнее для бизнеса, чем обеспечение всего процесса в целом силами специализированной внутренней структуры.
Основная задача – минимизировать затраты
Самый стойкий миф в кибербезопасности связан с понятием затрат, самым острым и актуальным вопросом для топ-менеджмента: аутсорсинг всегда дороже, чем иметь штатных специалистов. Развеять этот миф не так уж и сложно. Давайте продолжим.
Начать стоит с того, что кибербезопасность работает максимально эффективно исключительно в соединении людей, технологий и процессов. Только так, а не иначе, можно обеспечить полный цикл защиты компании от внешних и внутренних угроз киберпространства.
При принятии решения о выделении бюджета на кибербезопасность руководство компании зачастую руководствуется устаревшими и в корне неверными концепциями. Учитываются только четкие и приоритетные капитальные вложения в технологии. Ведь, как кажется на первый взгляд, самым дорогим звеном в этой цепочке являются технологии. Их можно ощутить и хотя бы визуально оценить результат финансовых трат. Даже сейчас для многих понятие проекта кибербезопасности ассоциируется с покупкой конкретных систем защиты, которые, грубо говоря, надо купить, установить и запустить в работу. Это первое и главное заблуждение.
Покупка техники — это разовая инвестиция. Другими словами, разумное и понятное вложение. Немного неудобно, но постоянно, и, как следствие, объемные затраты прячутся глубже.
Правильные люди — важная инвестиция
Люди — самый дорогой и в то же время самый ценный актив бизнеса. Для обеспечения процесса принципиально важно понять: имеет ли смысл формировать внутри компании многопрофильную, узкоспециализированную команду (а именно такой она и должна быть в современных условиях высокосложного разнообразия технологий и угроз) или имеет смысл доверить этот процесс полностью или частично внешнему компетентному исполнителю, который от А до Я выстроен и ориентирован на решение подобных вопросов. Говоря простым языком, аутсорсинг и с профессиональной точки зрения, подпишитесь на услуги управляемой безопасности DR (обнаружение и реагирование).
Именно поэтому важно комплексно и правильно рассчитать затраты на этапе планирования инвестиций в кибербезопасность. Следует учитывать, прежде всего, не разовые вложения в основные средства, а будущие эксплуатационные расходы на их содержание. В основном это связано с дополнительными вложениями в персонал и его обучение. Принимая во внимание только первое, компания не может найти правильный баланс, а вместо этого создает иллюзорную эффективность безопасности за счет накопления технологий. В то же время основной процесс контрпродуктивен, а результат ничего не стоит.
В такую же ситуацию попали многие компании – они обросли дорогостоящими технологическими комплексами безопасности. Они не справляются с оперативной нагрузкой по их обслуживанию. Дело не только в сервисе, но не только в сервисе, а не только в сервисе. Суть в том, чтобы анализировать и применять результаты таких систем для улучшения операционного процесса. Технологий много, а эффективность стремится к нулю.
Безопасно ли передавать безопасность в чужие руки?
Второй устойчивый миф, который логичен, а может быть, наоборот, нелогичен, возникает в ситуации информационной безопасности и чаще всего звучит в виде риторического вопроса: «Как мы можем отдать безопасность на аутсорсинг, если это безопасность?» Но подождите, разве вы не отдаете свое здоровье в поликлинику на аутсорсинг? Разве вы не отдаете заботу о своих детях няням? Почему-то эти сферы не вызывают таких бурных споров, споров, сомнений и глубоких размышлений. Оно того стоит, потому что врач – специалист, и диагноз не всегда поставишь сам, и аппендицит не удалишь. Хотя, на первый взгляд, достаточно купить только скальпель, вату и бинт, а что дальше?
Аутсорсинг в кибербезопасности — не совсем классический пример аутсорсинга в виде полной передачи процессов внешнему подрядчику. Это всегда синергия усилий заказчика вместе с действиями поставщика услуг безопасности. Вдобавок ко всему, весь процесс строго регламентирован и зафиксирован в SLA (соглашение об уровне обслуживания), гарантии которого никак не сравнимы с уровнем ответственности конкретного сотрудника из штата компании.
Чаще всего мы наблюдаем ситуацию, когда в компании «несколько операторов», которые и обслуживают системы, и формируют отчеты об эффективности процессов. Другими словами, специалист, который ставит перед собой задачи, затем сам их выполняет. Не каждая организация, даже крупная, может позволить себе содержать большую команду специалистов и руководителей процессов. При этом объективно оценить результаты работы одного «мультипроцессора», на котором базируются все процессы, просто невозможно. Ведь чаще всего руководство далеко не компетентно в вопросах кибербезопасности. Риски, возникающие в этом случае, никто не оценивает, а последствия могут быть плачевными.
Компания, которой безопасность передана на аутсорсинг, априори не может навредить бизнесу клиента, так как это вопрос репутации. Более того, на самом деле спецслужбы не имеют прямого отношения к коммерческой информации.
При этом компания-заказчик получает полноценную защиту от угроз 24/7, лучшие на сегодняшний день технологии и укомплектованную команду профессионалов. Последние набираются именно в той пропорции и в том количестве, которые соответствуют масштабу и специфике технологий, необходимых для конкретного бизнеса.
Актуальность выбора особенно актуальна в свете последних событий. Крах хрупких систем защиты заставил осознать, насколько важно формировать многоуровневую и профессиональную безопасность. Самодельные патчи не работают. Тысячи компаний имели возможность убедиться в этом. Вопрос об аутсорсинге отпал сам собой. Ответ однозначен: необходимо привлекать опытных специалистов и действовать здесь и сейчас.
Оставить комментарий
Есть что сказать об этой статье? Добавьте свой комментарий и начните обсуждение.