Аутсорсинг в кібербезпеки: розвінчуємо міфи

0














Наша сучасність переконує нас у тому, що не варто недооцінювати загрози, а тим більше відбивати їх зброєю кам’яного століття, тоді як є професіонали.

«З невідомої причини телекран для спостереження був встановлений в кімнаті не так, як прийнято.

Збоку від нього була неглибока ніша, призначена для книжкових полиць, – там і сидів зараз Вінстон. Сівши в неї глибше, він був недосяжним для телекрана. Підслуховувати його могли, але спостерігати — ні».

Сьогодні Антиутопія Джорджа Оруелла «1984» не здається такою вже літературною вигадкою. А знаменита фраза з роману «Великий брат стежить за тобою» дуже органічно накладається на сучасну реальність. Щоправда, в новій інтерпретації. Сьогодні всі ми перебуваємо під прицілом у віртуальному світі. І сховатися від реальних і потенційних атак-спостережень-зазіхань в кіберпросторі практично неможливо. Але можна вжити заходів для захисту від них.

Є два варіанти: хаотично відбиватися від ворога своїми силами або вдатися до допомоги професіоналів. Про це і поговоримо.

Кібербезпека: куди направити інвестиції

Відповідь на це питання, незважаючи на існування маси помилок і міфів, досить однозначний. З деякими поправками він зводиться до тези: аутсорсинг в кібербезпеки набагато ефективніше і економічніше для бізнесу, ніж забезпечення всього процесу цілком силами спеціалізованої внутрішньої структури.

Завдання – мінімізувати витрати

З поняттям витрат, самим трепетним і нагальним питанням для топ-менеджменту, пов’язаний найбільш стійкий міф в області кібербезпеки: аутсорсинг – дорожче, ніж наявність власних фахівців в штаті. Розвіяти цей міф не так складно.

Варто почати з того, що кібербезпека максимально ефективно працює виключно в зв’язці «люди-технології-процеси». Тільки так, а не інакше, можна забезпечити повний цикл по захисту компанії від зовнішніх та інсайдерських загроз кіберпростору.

Приймаючи рішення про виділення бюджету на кібербезпека, менеджмент компанії найчастіше керується застарілими і в корені неправильні поняттями. До уваги беруться тільки явні та першочергові капітальні інвестиції в технології. Адже як здається на перший погляд, саме дороге ланка в ланцюжку – це технології. Їх можна «помацати», хоча б візуально оцінити результат фінансових вливань. От і досі для багатьох поняття «проекту з кібербезпеки» асоціюється з купівлею певних систем захисту, які треба, грубо кажучи, купити, поставити і активувати. Це перше і основне оману.

Купівля технології – одноразова, капітальна, іншими словами – «зручна і зрозуміла» інвестиція. Набагато більш «незручні», постійні і, в підсумку, – об’ємні витрати ховаються глибше.

Вся сіль – у людях

Люди – ось самий витратний і, в той же час – найцінніший для бізнесу актив. Для забезпечення процесу важливо зрозуміти: чи є резон формувати багатопрофільну вузькоспеціалізовану команду всередині компанії (а саме такою вона повинна бути в сучасних умовах архисложного різноманітності технологій і загроз), або ж – є сенс віддати цей процес повністю або частково в руки зовнішнього компетентному виконавцю, який «від і до» збудований і орієнтований на вирішення подібних завдань. Інакше кажучи – віддати на аутсорсинг, а висловлюючись професійною мовою – підписатися на керовані сервіси безпеки.

Будь-яка технологія вимагає обслуговування людьми, а це, як мінімум, аналітик і адміністратор. Наведу простий приклад: компанія купує сучасні міжмережеві екрани з вбудованою функцією виявлення вторгнень. Щодня пристрою накопичують величезні масиви статистики про аномальні активності, і кожне подібне повідомлення – це, фактично, інцидент, що вимагає розслідування. В ідеалі, результатом розслідування повинна бути корекція технічного контролю, локалізація і запобігання подальших погроз, або перенастроювання системи, або видалення якогось забороненого програмного забезпечення, або щось інше. Все це може зафіксувати, проаналізувати і оцінити кваліфікований фахівець, а найчастіше – ціла команда таких фахівців.

Саме тому, на етапі планування інвестицій в кібербезпека, важливо правильно розрахувати витрати комплексно, враховуючи, в першу чергу, не разові вкладення в основні засоби, а прораховувати майбутні необхідні операційні витрати на їх обслуговування, що в основному виливається в додаткові інвестиції в персонал і його навчання. Беручи до уваги лише перше, компанія не дотримується правильний баланс, формуючи уявну ефективність безпеки допомогою нагромадження технологій, при цьому основний процес контрпродуктивний, а результат – нікчемний.

Таким чином, багато компаній прийшли до однаковій ситуації – вони обростають дорогими технологічними комплексами безпеки, але, при цьому, не в змозі справлятися з операційною навантаженням по їх обслуговуванню. Та й не тільки в обслуговуванні справу. Суть в тому, щоб постійно аналізувати і коректно використовувати результати роботи подібних систем, щоб безперервно покращувати операційний процес. А інакше який сенс? Технологій багато, всі вони включені і працюють, але ефективність прагне до нуля.

З якої б сторони ми не підходили до порівняння аутсорсингу і самостійних зусиль у забезпеченні кібербезпеки, вигода все одно буде на стороні керованого сервісу. Безумовно, подібна послуга вартістю від 25 тисяч доларів в рік доступна далеко не кожному середньостатистичному бізнесу. Але якщо врахувати вартість утримання всіх складових «люди-технології-процеси», то необхідно брати до уваги всі фактори: і вартість технологій, і вартість співробітників (а це інженери, аналітики, адміністратори, менеджери), і комп’ютерних платформ, мереж, систем зберігання даних, а також приміщень, додаткових витрат на інші підрозділи і т. д. На виході подібна статистика завжди однозначна на користь керованих сервісів з кібербезпеки.

Віддати безпека в чужі руки – безпечно?

Другий стійкий міф, який логічно, а, може, навпаки Нелогічно, виникає в ситуації з безпекою і найчастіше звучить у формі риторичного запитання: «Як ми можемо передати безпека на аутсорсинг, якщо це…безпека»? Але стривайте, а хіба не на аутсорсинг в поліклініці ви передаєте обслуговування свого здоров’я, хіба не на аутсорсинг передаєте турботу про своїх дітей нянькам, а забезпечення охорони власного життя – охоронець (якщо буде потрібно)? Чомусь ці сфери не викликають таких бурхливих дебатів і суперечок, сумнівів і тяжких роздумів з розряду «а чи варто? Варто, тому що лікар – це фахівець, і самі собі ви діагноз не завжди поставите, і апендицит не видалите. Хоча, на перший погляд, досить купити скальпель, вату і бинт, а далі що?

З кібербезпеки питання довіри варто навіть менш гостро, так як на відміну від лікаря, який може зробити помилку і наслідки будуть непоправні, тут все детерміновано і чітко.

Аутсорсинг в кібербезпеки – це не зовсім класичний приклад аутсорсингу у вигляді повної передачі процесів зовнішньому виконавцеві. Це завжди синергія зусиль замовника з зусиллями фокусної провайдера. На кордоні компанія-замовник/інтегратор послуг завжди стоїть сторож у вигляді менеджера (СІЅО або підпорядкованого йому менеджера процесів), який контролює рівні доступів, визначає, що подавати на вхід і чого очікувати на виході процесу, що виконується зовнішніми підрядником. Плюс до всього, весь процес строго регламентований і зафіксований у договорі SLA (service level agreement), гарантії за яким не йдуть ні в яке порівняння з рівнем відповідальності конкретного співробітника зі штату компанії.

Найчастіше ми спостерігаємо ситуацію, коли в компанії існують «багатоверстатники», які обслуговують системи і формують звітність щодо ефективності процесів. Іншими словами – спеціаліст, який сам собі ставить завдання, сам їх виконує. Дозволити утримувати численну команду фахівців і процесних менеджерів може далеко не кожна, навіть велика, організація. У той же час, об’єктивно оцінювати результати одного «многостаночника», на якому тримаються всі процеси, неможливо. Найчастіше керівництво само далеко від компетентності в питаннях кібербезпеки. Ризики, що виникають при цьому, ніхто не оцінює, а наслідки можуть бути плачевними.

Компанія, якій віддають на аутсорсинг безпека, апріорі не може зашкодити бізнесу клієнта, так як це питання репутації. Більш того, фактично, послуги з безпеки безпосередньо не стосуються комерційної інформації: це моніторинг та робота з потоками даних телемеханіки без можливості втручатися в будь-які інформаційні процеси.

При цьому компанія-замовник отримує повномасштабну захист від загроз 24/7, кращі на сьогоднішній день технології і укомплектовану команду професіоналів. Остання набирається саме в тій пропорції і в тій кількості, які відповідають обсягу і специфіки необхідних для конкретного бізнесу технологій. Важливо, що дана система динамічна і може змінюватися разом зі зростанням або трансформацією бізнесу. У разі самостійних зусиль подібні півот досягаються шляхом непідйомних інвестицій. Питання: який у цьому сенс? Навіщо будувати лікарню, якщо можна купити медстраховку?

Нагальність такого вибору особливо актуальна у світлі недавніх подій: масової кібератаки 27.06.2017 на державні та комерційні організації. Реальна ситуація катастрофи кволих систем «захисту» принесла з собою усвідомлення, наскільки важливо формувати багаторівневу та професійну безпеку. Доморощені «заплатки» не працюють. В цьому була можливість переконатися тисячам компаній. І взагалі, питання «чи віддавати кібербезпека» на аутсорсинг відпав сам собою. Відповідь очевидна як ніколи: треба залучати досвідчених фахівців і діяти тут і зараз.

Можливо, головний герой знаменитої «оруэловской» антиутопії Вінстон Сміт в деякій мірі і був параноїком, але наша сучасність переконує нас у тому, що не варто недооцінювати загрози, а тим більше відбивати їх зброєю кам’яного століття, тоді як є професіонали.

Facenews

Натисніть на стрілку що б перейти до наступної сторінки

Оставить комментарий