Аутсорс кибербезопасности — действительно ли это опасно и дорого?

Много интереса к этому вопросу проявляют студенты и школьники. Так что количество желающих попытаться взломать чью-либо систему защиты постоянно растет. Еще и искусственный интеллект, такой как ChatGPT и OpenAI может помочь киберпреступникам в этом вопросе.

В то же время многие компании, даже крупные, не могут себе позволить держать отдельных специалистов по безопасности в штате, чтобы тестировать систему на уязвимости и выстраивать для мошенников препятствия. Так что оптимальный выход из этой ситуации — аутсорс.

Только дело в том, что вопросы безопасности обычно перекладывают на разработчиков. Это может выглядеть нормальным решением, но у последних множество других задач, так что они могут не успевать следить за тенденциями и новыми технологиями. Да и вообще сложно быть специалистом по нескольким направлениям одновременно. К примеру, разработчик может установить антивирусное программное обеспечение, но не сможет расследовать инцидент проникновения.

Почему некоторые компании не решаются на аутсорс? Ответ прост: тема новая и не очень ясна, поэтому обрастает мифами. Большинство думают, что это слишком дорого, лучше справиться собственными силами, и опасно, потому что посторонние люди получат доступ к важным данным. Также многие при словах “аудит безопасности” ожидают увидеть людей в белых воротничках и галстуках, которые выглядят изысканно, но похожи на воплощение определенной опасности, к тому же дают размытые и непонятные советы.

Разберемся, действительно ли такой страшный аутсорс, которым его рисует воображение.

О чем будем рассказывать:

• Что такое аутсорс кибербезопасности
• Что входит в услуги по аутсорсу
• Кому нужен аутсорс кибербезопасности
• Аутсорс безопасности и утечка информации
• Действительно ли аутсорс будет дороже собственной команды
• Как минимизировать затраты на аутсорс

Что такое аутсорс кибербезопасности

Аутсорс кибербезопасности – это модель получения бизнесом соответствующих услуг, ограниченных временем выполнения и не предполагающих необходимости найма сотрудников в штат. Такие услуги могут носить разовый характер или предоставляться периодически, но при этом обеспечивать бесперебойную работу инфраструктуры при соблюдении инструкций в течение длительного времени. Например, до тех пор, пока не закончится гарантийный срок программного обеспечения или оборудования (обычно в течение года).

Что входит в услуги по аутсорсу

Различные компании могут специализироваться в различных направлениях предоставления услуг по кибербезопасности. Например, это:

• Аудит по кибербезопасности для оценки защищенности.
• Тестирование на DDos-атаки для поиска уязвимостей.
• Расследование инцидентов для выявления влияния мошенников.
• Управление репутацией для повышения рейтинга бренда.
• Защита конфиденциальных данных во избежание утечки информации.
• Управление доступами и идентификацией для предупреждения взлома.
• Предоставление облачных услуг с усиленными системами защиты.
• Технические средства защиты для усиленной проверки подлинности.
• Разработка внутренних политик по кибербезопасности для предупреждения инцидентов.
• Надання послуг із сертифікації для управління інфраструктурою відкритих ключів (PKI).

Только из этого перечня можно увидеть, что направления достаточно разные, так что охватить их одному человеку будет сложно. Но команда может включать специалистов разных отраслей (кто лучше знает психологию мошенников, кто умело анализирует и разрабатывает инструкции, а кто больше ориентируется в новейших технологиях), поэтому они могут закрывать большинство запросов клиентов, предоставляя услуги качественно.

Кому нужен аутсорс кибербезопасности

Конечно, аутсорс кибербезопасности может потребоваться не всем компаниям. Обычно эти услуги заказывают:

• Компании, которым не хватает соответствующих узких специалистов.
• Бизнесы, которые не могут предоставить достаточную нагрузку специалисту для соответствующей роли в штате, удерживать его на фултайм нецелесообразно.
• Предприятия, которым не хватает времени, чтобы разбираться с вопросами кибербезопасности самостоятельно, для которых важно быстрее выстраивать другие процессы.
• Организации, которые по специфике бизнеса должны соответствовать определенным стандартам.

Аутсорс кибербезопасности и утечка информации

Поговорим о страхе утечки информации из-за вмешательства сторонних компаний. Спойлер – он нецелесообразен. Тому есть несколько причин:

• Компании, оказывающие соответствующие услуги, очень тщательно заботятся о своей репутации.
• Аутсорсинг не предусматривает полной передачи прав и доступов подрядчикам. Компания продолжает регулировать все процессы и предоставляет соответствующие права и доступы контролируемо по предварительному согласованию и если есть необходимость в том или ином случае.
• Перед началом работы аутсорсинговая компания заключает соответствующий договор — Service-level agreement (SLA) — об уровне доступов и гарантиях. В этом соглашении подробно описываются все виды предоставляемых услуг и штрафные санкции за нарушение сделки.

Еще один факт: когда людям нужны услуги узких специалистов, например стоматолога или няни, они не думают о том, насколько это может быть опасно, а к “белым хакерам” испытывают страх. Хотя услуги по кибербезопасности – это всего лишь услуги, такие же как любые другие. Есть определенные риски в любой профессии, но опытные специалисты знают, как их избегать.

Действительно ли аутсорс будет дороже собственной команды

Когда бизнесмен заботится о защите, в первую очередь он думает о технологиях. К примеру, он узнает о сетевом экране, отслеживающем инциденты, и решает его приобрести. Но оказывается, что:

• сетевые экраны бывают разных типов (шлюзы, пакетные фильтры, управляемые коммутаторы и т.п.), нужно знать, какой лучше будет работать именно в определенной IT-структуре, потому что у них есть определенные преимущества и ограничения;
• даже если вложить много денег в качественный сетевой экран, нужно научиться правильно читать сообщения — относится ли оно к инциденту или нет, и нужно ли в результате перенастраивать оборудование, выстраивать новую систему защиты, или достаточно ли будет просто удалить угрозу.

Таких примеров можно привести много. Если постоянно вкладывать деньги в оборудование и обучение/переподготовку штата, это получится значительно дороже, чем заказать разовые услуги.

Как минимизировать затраты на аутсорс

Конечно, чтобы не переплачивать за какие-либо услуги, нужно пробовать предварительно разобраться в видах угроз и возможных системах защиты. Для этого целесообразно периодически посещать разные мероприятия по кибербезопасности, читать новости или консультироваться со специалистами. К примеру, последними трендами по защите информации является использование облачных сервисов и аппаратных методов защиты учетных записей (смарт-карты, ключи безопасности, аппаратные модули).

Перед каждой консультацией со специалистами целесообразно собрать информацию и сформировать список вопросов и пожеланий:

• возможно, вы хотите предоставлять различные доступы для команды (администраторы обычно имеют больше прав, чем редакторы или авторы, а обычным пользователям достаточно ограниченных возможностей);
• возможно, вы хотите минимизировать затраты на обслуживание IT-структуры, при этом не покупать дополнительное оборудование, серверы и т.п.;
• а может, вы подозреваете, что кто-то из команды работает на конкурентов и нужно это очень корректно обнаружить;
• возможно, вы хотите предоставлять высокий сервис и провести тестирование системы на уязвимости или защититься от происков конкурентов.

После того, как вы сформулировали список вопросов, свяжитесь с компанией, предоставляющей услуги защиты информации, и закажите консультацию.

Будьте готовы к тому, что вам предоставят список дополнительных вопросов, так как специалистам нужно оценить объем работ, прежде чем подсчитать, сколько будут стоить услуги. Также опытная команда обычно может предложить вам несколько вариантов услуг для решения ваших вопросов. После этого вы сможете определиться, какие именно услуги покупать: только аудит безопасности, тестирование на атаки, программное обеспечение, или “переезд” в облако, или аппаратные решения и т.д.

А наша компания, имеющая опыт работы в сфере более 30 лет, будет рада помочь вашим вопросам. Обращайтесь, если вам нужно построить надежную систему защиты информации!

Другие наши публикации