Сегодня решили поговорить о том, готовы ли компании отдавать на аутсорсинг внутреннюю безопасность. Многие годы считалось, что нет. Но ситуация меняется. В этом посте не будем говорить про «за и против аутсорсинга», а сделаем обзор, на что может рассчитывать заказчик, если у него уже появилась потребность как-то решать проблему утечек информации.
Сразу оговоримся, мы собирали информацию о тех услугах, которые:
А) подрядчики сами называют аутсорсингом;
Б) аутсорсингом не называются, но по факту решают какой-то вопрос, который мог бы решить специалист в штате (при его наличии).
Поехали.
В каком-то идеальном мире задачи ИБ, и в частности защиты от инсайдерских рисков, решаются внутри компании силами штатных специалистов. Они сами раскладывают бизнес-процессы, прописывают политики безопасности, вводят режим коммерческой тайны, ведут разъяснения и обучающие курсы для сотрудников, выявляют и расследуют инциденты.
В реальной жизни есть причины, по которым компаниям приходится преодолетьпрезрение сопротивление и поднять вопрос о том, чтобы отдать часть задач по внутренней безопасности аутсорсеру.
Если обращаться к зарубежной практике, от которой мы, как принято считать, отстаем лет на 5-10, в защите от инсайдерских рисков на аутсорсе нет ничего необычного. По последним данным Deloitte, 14% аутсорсинговых бюджетов компании в 2019 году потратили на защиту от внутренних рисков. Еще 15% – на обучение персонала кибербезопасности.
Если рассматривать услуги, объединенные термином «аутсорсинг внутренней информационной безопасности», в России сейчас представлены такие:
Если как-то систематизировать, видим, что есть предложение на то, чтобы закрыть какую-то разовую потребность (посоветоваться или решить точечную задачу) и на заместить функции ИБ-специалиста в долгую.
Так как мы имеем в виду заказчика, перед которым только встал вопрос защиты от утечек данных, запрос к внешнему эксперту тут как правило такой: посмотреть настройки сетевого оборудования, оценить входящий/исходящий трафик, оценить количество внешних подключений к серверам; выстроить систему доступов; решить, какое ПО поставить на тест, а на какое не тратить время, оценить результаты тестов.
Т.е. по большому счету – «только спросить».
Предложения на рынке такого консалтинга разнообразное. На «посоветоваться» всегда можно найти и фрилансера. Но костяк рынка – это учебные центры и компании, специализирующиеся на ИБ ЦИБИТ, «Академия ИБ», АКРИБИЯ, УЦСБ, AZONE IT и другие. (Вынесем за скобки «больших советчиков» с «четверкой» аудиторов во главе – они делят львиную долю мирового оборота от ИБ-консалтинга, но их услуги доступны только крупным заказчикам).
Перечисленные игроки могут закрыть и разовые задачи, когда нужно провести какую-то работу, для которой пока нецелесообразно нанимать человека в штат: обучить персонал, адаптировать политики безопасности, привести в порядок документы на соответствие требованиям регуляторов. И конечно, расследовать нарушение или корпоративное преступление, если вдруг в компании случилось ЧП.
При этом для расследования инцидентов информационной безопасности используют не только кибер-методы (здесь самый известный игрок – Group IB). Могут добавляться и «аналоговые» инструменты: анализ документов, опросы сотрудников и т.д. Поэтому, строго говоря, детективы, полиграфологи, профайлеры – это в своих узких задачах тоже участники ИБ-аутсорсинга.
Есть на рынке предложение по тонкой настройке политик безопасности в DLP-системе. По мере внедрения у пользователя могут возникнуть попутные вопросы: как быть с «железом», как настроить допуски, какие документы подписать с сотрудниками. Независимые компании оказывают такие услуги, но по сути – это работа хороших отделов внедрения, инженеров и техподдержки самого вендора.
Рынок пока разношерстный просто в силу своего молодого возраста. Но на нем уже сформировалось изобильное предложение под большинство запросов заказчика в разовой помощи ИБ-специалиста.
Если компании нужно решать не разовые задачи, а защищать информацию в постоянном режиме, потребуется DLP-система. Иначе предотвращать, выявлять и разбирать инциденты внутренней безопасности сложно. Без человека, который будет анализировать информацию из нее, софт мало эффективен. Но большинство компаний с коллективами от 100 человек часто просто не могут ответить на вопрос «оно нам надо?»
Поэтому возникает следующий уровень аутсорсинга – отдать за штат управление системой и аналитику инцидентов из DLP. Пока на этом рынке работают единицы (собственно, «СёрчИнформ», Softline, «Инфосистемы Джет»). Услуга реализуется в нескольких форматах в зависимости от уровня доступа, который заказчик готов дать аутсорсеру, то есть от доверия к нему.
В процессе работы отношения могут эволюционировать. Условно, сначала заказчик был готов передать аутсорсеру только настройку DLP и выгрузку из нее отчетов всей «простыней». Увидев эффект и пользу, может прийти к тому, чтобы отдать и разбор содержимого инцидентов.
Из-за того, что рынок еще развивается, заказчику не всегда легко сформулировать запрос, выбрать формат работы с аутсорсером, расставить приоритеты контроля. Соответственно и подписание SLA со старта не всегда возможно.
Тем не менее эффективный формат взаимодействия уже получает очертания. Вот подход, в рамках которого работают зарубежные аутсорсеры (MSSP, Managed Security Services Provider):
Скорее всего примерно в таких рамках ИБ-аутсорсинг будет развиваться и дальше, потому что этот формат способствует созданию доверительных отношений между участниками процесса. Но полноценно рынок сформируется еще нескоро, когда-то на нем появится и страхование рисков, которое сильно продвинет отношения клиент/аутсорсер вперед. Но процесс все равно уже идет – мы это видим по реакции заказчиков. Поэтому в пути до «без этого жить нельзя» мы где-то в точке «в этом что-то есть».
Сразу оговоримся, мы собирали информацию о тех услугах, которые:
А) подрядчики сами называют аутсорсингом;
Б) аутсорсингом не называются, но по факту решают какой-то вопрос, который мог бы решить специалист в штате (при его наличии).
Поехали.
В каком-то идеальном мире задачи ИБ, и в частности защиты от инсайдерских рисков, решаются внутри компании силами штатных специалистов. Они сами раскладывают бизнес-процессы, прописывают политики безопасности, вводят режим коммерческой тайны, ведут разъяснения и обучающие курсы для сотрудников, выявляют и расследуют инциденты.
В реальной жизни есть причины, по которым компаниям приходится преодолеть
Вот основные
- Нет специалиста в штате или он есть, но перегружен, не специализируется на защите от инсайдерских рисков.
- Дефицит кадров – компания не может найти ИБ-специалиста нужной квалификации.
- Нет специализированного ПО для мониторинга в автоматическом режиме.
- В целом непонятно, сколько стоит информационная безопасность, оправданы ли расходы на организацию всей этой работы.
Если обращаться к зарубежной практике, от которой мы, как принято считать, отстаем лет на 5-10, в защите от инсайдерских рисков на аутсорсе нет ничего необычного. По последним данным Deloitte, 14% аутсорсинговых бюджетов компании в 2019 году потратили на защиту от внутренних рисков. Еще 15% – на обучение персонала кибербезопасности.
Из чего выбирать
Если рассматривать услуги, объединенные термином «аутсорсинг внутренней информационной безопасности», в России сейчас представлены такие:
- Аудит и анализ состояния ИТ-инфраструктуры.
- Разработка нормативных документов.
- Форензика (расследование инцидентов).
- SOC (организация и обслуживание мониторингового центра).
- Обучение/тренировка персонала.
- Сопровождение информационных систем (систем аутентификации и авторизации, DLP, SIEM, IDS/IPS).
Если как-то систематизировать, видим, что есть предложение на то, чтобы закрыть какую-то разовую потребность (посоветоваться или решить точечную задачу) и на заместить функции ИБ-специалиста в долгую.
Временная помощь
Так как мы имеем в виду заказчика, перед которым только встал вопрос защиты от утечек данных, запрос к внешнему эксперту тут как правило такой: посмотреть настройки сетевого оборудования, оценить входящий/исходящий трафик, оценить количество внешних подключений к серверам; выстроить систему доступов; решить, какое ПО поставить на тест, а на какое не тратить время, оценить результаты тестов.
Т.е. по большому счету – «только спросить».
Предложения на рынке такого консалтинга разнообразное. На «посоветоваться» всегда можно найти и фрилансера. Но костяк рынка – это учебные центры и компании, специализирующиеся на ИБ ЦИБИТ, «Академия ИБ», АКРИБИЯ, УЦСБ, AZONE IT и другие. (Вынесем за скобки «больших советчиков» с «четверкой» аудиторов во главе – они делят львиную долю мирового оборота от ИБ-консалтинга, но их услуги доступны только крупным заказчикам).
Перечисленные игроки могут закрыть и разовые задачи, когда нужно провести какую-то работу, для которой пока нецелесообразно нанимать человека в штат: обучить персонал, адаптировать политики безопасности, привести в порядок документы на соответствие требованиям регуляторов. И конечно, расследовать нарушение или корпоративное преступление, если вдруг в компании случилось ЧП.
При этом для расследования инцидентов информационной безопасности используют не только кибер-методы (здесь самый известный игрок – Group IB). Могут добавляться и «аналоговые» инструменты: анализ документов, опросы сотрудников и т.д. Поэтому, строго говоря, детективы, полиграфологи, профайлеры – это в своих узких задачах тоже участники ИБ-аутсорсинга.
Есть на рынке предложение по тонкой настройке политик безопасности в DLP-системе. По мере внедрения у пользователя могут возникнуть попутные вопросы: как быть с «железом», как настроить допуски, какие документы подписать с сотрудниками. Независимые компании оказывают такие услуги, но по сути – это работа хороших отделов внедрения, инженеров и техподдержки самого вендора.
Рынок пока разношерстный просто в силу своего молодого возраста. Но на нем уже сформировалось изобильное предложение под большинство запросов заказчика в разовой помощи ИБ-специалиста.
Регулярный мониторинг
Если компании нужно решать не разовые задачи, а защищать информацию в постоянном режиме, потребуется DLP-система. Иначе предотвращать, выявлять и разбирать инциденты внутренней безопасности сложно. Без человека, который будет анализировать информацию из нее, софт мало эффективен. Но большинство компаний с коллективами от 100 человек часто просто не могут ответить на вопрос «оно нам надо?»
Поэтому возникает следующий уровень аутсорсинга – отдать за штат управление системой и аналитику инцидентов из DLP. Пока на этом рынке работают единицы (собственно, «СёрчИнформ», Softline, «Инфосистемы Джет»). Услуга реализуется в нескольких форматах в зависимости от уровня доступа, который заказчик готов дать аутсорсеру, то есть от доверия к нему.
Что может делать аутсорсер?
- Мониторить события и передавать отчеты об инцидентах без какой-то их дополнительной проработки.
- Делать первичный разбор инцидента, анализировать контекст; экстренно реагировать на критичные нарушения.
- Делать полноценные расследования инцидента, давать рекомендации по профилактике рецидивов.
В процессе работы отношения могут эволюционировать. Условно, сначала заказчик был готов передать аутсорсеру только настройку DLP и выгрузку из нее отчетов всей «простыней». Увидев эффект и пользу, может прийти к тому, чтобы отдать и разбор содержимого инцидентов.
Из-за того, что рынок еще развивается, заказчику не всегда легко сформулировать запрос, выбрать формат работы с аутсорсером, расставить приоритеты контроля. Соответственно и подписание SLA со старта не всегда возможно.
Тем не менее эффективный формат взаимодействия уже получает очертания. Вот подход, в рамках которого работают зарубежные аутсорсеры (MSSP, Managed Security Services Provider):
- Персональный ИБ-аналитик настраивает систему в соответствии с задачами, поставленными заказчиком.
- Заказчику предоставляются максимальные полномочия в системе. Заказчик обговаривает «красные линии» и пожелания (говорит, кого выводит из-под мониторинга, уточняет наиболее актуальные задачи и т.д.)
- Обнаружив инцидент, ИБ-аналитик связывается с заказчиком по оговоренному каналу связи (задача – донести информацию максимально быстро).
- Предоставляет отчеты по графику и за выбранный период (раз в день/неделю/месяц).
- Заказчик может работать в системе вместе с ИБ-аналитиком или самостоятельно.
Скорее всего примерно в таких рамках ИБ-аутсорсинг будет развиваться и дальше, потому что этот формат способствует созданию доверительных отношений между участниками процесса. Но полноценно рынок сформируется еще нескоро, когда-то на нем появится и страхование рисков, которое сильно продвинет отношения клиент/аутсорсер вперед. Но процесс все равно уже идет – мы это видим по реакции заказчиков. Поэтому в пути до «без этого жить нельзя» мы где-то в точке «в этом что-то есть».