Аутсорсинг безопасности в России: результаты опроса

Аутсорсинг безопасности в России: результаты опроса

Редакция журнала "Information Security" провела опрос среди ведущих российских и зарубежных компаний, предлагающих услуги аутсорсинга отечественному потребителю.

Краткий анализ результатов данного опроса представлен в обзоре "Аутсорсинг информационной безопасности", который публикуется в №6 журнала "Information Seurity". Сразу надо отметить, что под аутсорсингом безопасности в данном случае понимались не все возможные сценарии предоставления услуг, а только связанные с дистанционным управлением средствами защиты.

Проанализируем некоторые результаты данного исследования. Показательно, что пока у нас нет провайдеров услуг аутсорсинга национального масштаба. Только 20% аутсорсинговых компаний имеют больше 10 клиентов, готовых отдавать управление своей безопасности в чужие руки. Для большинства респондентов это непрофильный или сопутствующий бизнес. Отчасти это объясняется неготовностью самих заказчиков; отчасти - несоответствием возможностей респондентов запросам наиболее требовательных клиентов.

35% респондентов, предлагая услуги аутсорсинга, не подписывают соглашения о качестве обслуживания - SLA. А это значит, что отсутствуют критерии оценки эффективности аутсорсинга, выполнения поставленных целей и т.д. Иными словами свыше трети всех компаний не несут никакой ответственности за низкое качество своих услуг, так как само понятие "качество" никак не определено и не контролируется.

Отказ от заключения SLA очень тесно связан с вопросом о наличии портала для клиентов. Ряд западных компаний, например, Arcana или Ubiqube, предлагают специальный инструментарий для самообслуживания заказчиков. Именно с его помощью потребитель может в любой момент времени и из любой точки контролировать выполнение SLA, получать необходимую статистику, создавать отчеты и т.д. В противном случае всегда остаются вопросы к степени доверия той информации, которую предоставляет аутсорсинговая компания; особенно в тех случаях, когда она по тем или иным причинам не выполняет SLA. К сожалению, в России меньше четверти компаний предлагают такие порталы своим заказчикам.

Примечательно, что на российском рынке представлены все возможные варианты предоставления аутсорсинга. Наибольшее распространение получил вариант управления уже приобретенными заказчиками системами защиты. Это исторически самый первый вариант аутсорсинга, когда заказчик сначала покупал средства безопасности, а потом задумывался о том, как ими управлять. Четверть всех заказчиков задумались о финансовой стороне вопросов аутсорсинга и не покупают системы защиты, доверяя этот процесс аутсорсинговой компании, которая сдает такое оборудование в лизинг/аренду. С точки зрения заказчика это благоприятно влияет на финансовые показатели компании, снижая налоги, уменьшая срок амортизации, снимая проблему со списанием оборудования и т.д. И, наконец, некоторые компании, как правило, операторы связи, предлагают Centrex-модель, в рамках которой система защиты располагается не на территории заказчика, а на территории аутсорсинговой компании. Такая модель допустима для услуг отражения DDoS-атак, инспекции электронной почты и Web-трафика, сканирования безопасности и ряда других.

Источник: комментарий Алексея Лукацкого (Cisco Systems) к результатам исследования "Аутсорсинг информационной безопасности в России".

Все результаты исследования, сведенные в диаграммы, а также экспертные комментарии к ним публикуются в №6 журнала "Information Security/Информационная безопасность", который выйдет в свет до конца декабря.