Стоит ли передавать защиту компании на аутсорсинг?

Когда речь заходит о том, чтобы отдать безопасность на аутсорсинг, возникает много вопросов. При всех его плюсах, есть ощущение, что вы передаете ключи от собственного дома незнакомцу. Как контролировать результат? Что делать, если подрядчик уйдет? И не сольет ли он ваши данные конкурентам? Спойлер: все эти риски снимаются грамотными SLA, NDA и документацией. 

Киберпреступникам все равно, продаете вы автозапчасти или разрабатываете ПО, руководите заводом или стоматологической клиникой. Тема кибербезопасности касается абсолютно всех, у кого есть компьютеры, базы клиентов или доступ в интернет. 

Вопрос только в том, как именно бизнес подходит к решению этого вопроса. Существует несколько распространенных стратегий.

Первая – это игнорирование угрозы. Логика здесь следующая: наша компания небольшая, она никому не интересна, и вкладываться в защиту смысла нет. Такой подход крайне опасен, поскольку автоматизированные программы-боты в поисках любой уязвимости сканируют всех подряд, не разбирая масштабов бизнеса.

Второй подход – возложить дополнительные обязанности на IT-отдел. Руководство рассуждает так: сотрудники, которые работают с компьютерами, смогут их защитить. Но здесь кроется серьезная ошибка. У IT-специалиста главная задача – обеспечить стабильную работу системы. Цель специалиста по безопасности – не допустить проникновения извне. Это совершенно разные компетенции.

Третий вариант – создание собственной службы ИБ. Компания нанимает команду, которая занимается только защитой. Минус очевиден: это дорого и организационно сложно. Квалифицированных кадров на рынке мало.  Содержать целый отдел ИБ по карману только крупному бизнесу.

И наконец, четвертый путь – аутсорсинг. Это передача задач по обеспечению безопасности внешней компании-подрядчику. 

Зачем передавать ИБ на аутсорсинг 

Первая причина – существенная экономия. Содержать штатного специалиста – значит регулярно платить зарплату, налоги, тратиться на его обучение, покупку софта и оборудования. Аутсорсинговая компания распределяет эти расходы между всеми своими клиентами. В итоге, по данным Boost Sales Efficiency with Smart Outsourcing, экономия для заказчика составляет 20–30%, а согласно отчету Cost Reduction Through IT Outsourcing: Calculator & ROI – до 50%.

Следующее преимущество, это доступ к экспертизе. Например, в нашей компании работает целый ряд узких специалистов: одни отвечают за защиту сетей, другие расследуют инциденты, третьи разбираются в антивирусных решениях. 

И наконец, еще один плюс: снятие кадровой нагрузки. Компании не нужно искать редких и дорогих специалистов, тратить время на собеседования и начинать все сначала, когда сотрудник, найденный с таким трудом, внезапно уволится. 

Подводные камни и как их обойти

Мы прекрасно понимаем природу опасений, с которыми заказчик смотрит на аутсорсинг информационной безопасности. В их основе лежит риск остаться один на один со сложной системой, если подрядчик уйдет. Также есть мнение, что аутсорсеры не вникают в специфику бизнеса, а просто продают типовые пакеты услуг. Кроме того, руководителю важно видеть, за что он платит деньги. Невозможность контролировать процесс напрягает: «А чем они вообще занимаются? Действительно решают наши проблемы или просто делают вид?» 

И самый мощный тормоз – это допуск посторонних к внутренним процессам компании. Этот психологический барьер перешагнуть сложнее всего.

Проблема	Решение
Зависимость от подрядчика	Этот риск нивелируется на старте. Нужно заранее прописать в договоре обязанность подрядчика предоставить полную документацию: инструкции, схемы сети, регламенты. Мы, например, даже после окончания сотрудничества в любой момент готовы проконсультировать бывшего клиента, чтобы не бросать его в сложной ситуации.
Учет специфики бизнеса	Рынок услуг сегодня огромен. Можно найти компанию, которая закроет любые, даже самые специфические запросы. Главное – четко сформулировать свои потребности.
Невозможность контролировать процесс	Контролировать нужно не процесс, а результат. Для этого существует Соглашение об уровне сервиса, или SLA. В этом документе четко прописаны обязательства подрядчика: через сколько минут он обязан отреагировать на инцидент и в какие сроки его устранить.
Доступ к конфиденциальной информации	Во-первых, подписывается соглашение о неразглашении (NDA), которое накладывает на подрядчика юридическую ответственность. Во-вторых, доступ к информации настраивается точечно, только туда, куда нужно для работы. Сотрудники, увольняясь, действительно иногда уносят базы данных конкурентам. Но профессиональный аутсорсер дорожит своей репутацией на рынке гораздо больше, чем уволенный программист.

Передавая ИБ на аутсорсинг, вы как будто нанимаете профессиональных штурманов и механиков, которые следят за дорогой и исправностью вашего автомобиля, пока вы его ведете. Грамотно составленные договор, SLA и NDA превращают потенциальные риски в четкие обязательства и контролируемый процесс. 

Что самое важное в договоре?

• В договоре должно быть написано, что именно вы передаете под защиту: конкретные серверы, системы, базы данных, сегменты сети. Это исключает разночтения.
• Пропишите ответственность подрядчика: штрафы за срывы сроков, некачественную работу, инциденты, которые произошли по вине исполнителя.
• Зафиксируйте состояние систем на старте. Проведите совместное обследование, составьте и подпишите акт. Это точка отсчета, которая потом защитит вас от споров.

Что самое важное в SLA?

• Здесь важны не слова, а цифры. Конкретные метрики, например: время реакции на критическую угрозу — 15 минут, время устранения сбоя — 2 часа, время простоя системы — не более 4 часов в месяц.
• Отдельно пропишите приоритеты. Не все инциденты одинаковы: одно дело — подозрительная активность. Другое — утечка данных или остановка критичного сервиса. Время реакции должно быть разным. 
• Определите границы ответственности: за что отвечает подрядчик, а за что — заказчик.

Что самое важное в NDA?

• Обязательства по конфиденциальности должны работать не только пока вы сотрудничаете, но и после окончания договора. Информация о вашей инфраструктуре не должна стать доступной третьим лицам год, три, пять лет — чем дольше, тем лучше.
• Пропишите, что именно считается тайной: пароли, логины, топология сети, используемое ПО, выявленные уязвимости, факт вашего сотрудничества с этим подрядчиком. 
• Добейтесь, чтобы NDA подписывало не только руководство, но и сотрудники подрядчика, которые будут иметь доступ к вашей инфраструктуре. 

С таким набором документов вы можете делегировать задачи по безопасности, сохраняя при этом полный контроль над ситуацией. Вы платите не за чьи-то рабочие часы, а за собственное спокойствие. 

Киберугрозы не ждут, пока вы созреете для идеального решения. Лучшее время для наведения порядка в безопасности – сейчас.