Банки

Аутсорсинг информационной безопасности

Главное – найти надежного контрагента, чья компетентность и ответственность не будут вызывать сомнений.

Защита банковской информации остается одной из самых серьезных проблем, ведь утечка данных может привести не только к прямым финансовым потерям, но и к ухудшению репутации на долгое время. В этой связи банковский сектор считается главным потребителем систем информационной безопасности. Каждая финансово-кредитная организация самостоятельно отвечает на вопрос: стоит ли передавать ИБ на аутсорсинг? Одним из важнейших факторов здесь выступает надежность контрагента.

Формирующийся рынок

Мировая статистика по привлечению сторонних компаний для выполнения услуг аутсорсинга ИБ свидетельствует, что такого рода услугами пользуются все больше организаций и темпы роста этого рынка очень высокие. Аналитическое агентство Frost & Sullivan в своем отчете Global Managed Security Service Providers Market указало, что к 2016 году сектор вырастет до 15,63 млрд долларов. 
Рынок аутсорсинга информационной безопасности в нашей стране находится только в стадии становления, число компаний, предлагающих услуги по аутсорсингу ИБ, пока невелико. Такой точки зрения придерживается большинство опрошенных NBJ экспертов. Так, директор департамента экономической и информационной защиты бизнеса РОСГОССТРАХ БАНКа Артем Гонта отмечает, что организаций, оказывающих подобные услуги в России, пока немного. А некоторые из них вышли на данный рынок буквально в прошлом году, изучая спрос на отдельные услуги.

С коллегой соглашается заместитель начальника управления информационной безопасности Пробизнесбанка ФГ Лайф Мария Воронова: «Аутсорсинг информационной безопасности появился в России всего несколько лет назад, эта область достаточно критичная, поэтому до сих пор отношение экспертов ИБ к данному направлению неоднозначное».

В настоящее время рынок аутсорсинга ИБ в достаточной степени фрагментирован, говорят эксперты: на нем преобладает технический аутсорсинг определенных подсистем, например межсетевого экранирования, и аутсорсинг консалтинговых услуг, например в области персональных данных, PCI DSS и т.д.

Стандартной практикой стала передача бизнесом на аутсорсинг рутинных операций и процессов, требующих круглосуточного мониторинга. При этом сбор, анализ и использование необезличенных данных, связанных с наблюдением за состоянием инфраструктуры, должны оставаться в банке. Кроме того, кредитные учреждения не передают сторонним подрядчикам сервисы информационной безопасности, критичные для бизнеса. 

Несмотря на то что рынок аутсорсинга ИБ только формируется, в нынешних условиях экономии финансовые организации, имеющие высокий уровень зрелости процессов, которые связаны с управлением информационной безопасностью, охотнее обращают внимание на компании, оказывающие услуги по аутсорсингу. 

Как правило, передаются либо задачи, не требующие высокой квалификации специалиста, например обслуживание антивирусного программного обеспечения, либо нетривиальные задачи, требующие высочайшей квалификации специалиста. 

Что отдать на аутсорсинг?

Решение, что именно передавать на аутсорсинг, зависит от ряда факторов. Например, передав на аутсорсинг поддержку антивируса, организация может без труда поменять одного провайдера услуг на другого. Однако в некоторых случаях возникает риск, что компания попадет в зависимость от провайдера. 

Артем Гонта (РОСГОССТРАХ БАНК) считает, что аутсорсинг информационной безопасности в банках в полном объеме невозможен. «Аутсорсинг ИБ возможен в том случае, когда контрагент абсолютно надежен и прозрачен, то есть его структура (штат, порядок управления и финансирования), планы о смене собственников, кадровые перемещения, политика безопасности, стратегии бизнеса и многие другие аспекты вам известны и устраивают», – говорит специалист. 

При этом эксперт добавляет, что в части использования баз данных либо наработок по предотвращению мошенничеств в сфере кредитования сторонних специализированных компаний аутсорсинг вполне приемлем. Кроме того, эффективный аутсорсинг допустим при желании оптимизировать расходы, но это возможно только для организаций, достигших определенной зрелости процессов в части обеспечения информационной безопасности. «Процессы должны быть формализованы, документированы, должны иметь измеримые показатели качества. Пока система управления информационной безопасностью формируется и фактически управляется в ручном режиме, передача ее на аутсорсинг нежелательна. Выстроенные процессы, переданные на аутсорсинг, – наилучший вариант как с точки зрения оптимизации затрат, так и с точки зрения улучшения качества, так как взаимодействие в рамках SLA позволяет точно оценивать качество услуг и гибко регулировать их финансовыми рычагами». 

Начать дискуссию