[Информационная безопасность, IT-стандарты, Управление персоналом] Аутсорсинг ИБ, внутренняя безопасность. Куда податься заказчику
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Сегодня решили поговорить о том, готовы ли компании отдавать на аутсорсинг внутреннюю безопасность. Многие годы считалось, что нет. Но ситуация меняется. В этом посте не будем говорить про «за и против аутсорсинга», а сделаем обзор, на что может рассчитывать заказчик, если у него уже появилась потребность как-то решать проблему утечек информации.
Сразу оговоримся, мы собирали информацию о тех услугах, которые:
А) подрядчики сами называют аутсорсингом;
Б) аутсорсингом не называются, но по факту решают какой-то вопрос, который мог бы решить специалист в штате (при его наличии).
Поехали.
В каком-то идеальном мире задачи ИБ, и в частности защиты от инсайдерских рисков, решаются внутри компании силами штатных специалистов. Они сами раскладывают бизнес-процессы, прописывают политики безопасности, вводят режим коммерческой тайны, ведут разъяснения и обучающие курсы для сотрудников, выявляют и расследуют инциденты.
В реальной жизни есть причины, по которым компаниям приходится преодолеть презрение сопротивление и поднять вопрос о том, чтобы отдать часть задач по внутренней безопасности аутсорсеру.
Вот основные:
1) Нет специалиста в штате или он есть, но перегружен, не специализируется на защите от инсайдерских рисков.
2) Дефицит кадров – компания не может найти ИБ-специалиста нужной квалификации.
3) Нет специализированного ПО для мониторинга в автоматическом режиме.
4) В целом непонятно, сколько стоит информационная безопасность, оправданы ли расходы на организацию всей этой работы.
Если обращаться к зарубежной практике, от которой мы, как принято считать, отстаем лет на 5-10, в защите от инсайдерских рисков на аутсорсе нет ничего необычного. По последним данным Deloitte, 14% аутсорсинговых бюджетов компании в 2019 году потратили на защиту от внутренних рисков. Еще 15% – на обучение персонала кибербезопасности.
Из чего выбирать
Если рассматривать услуги, объединенные термином «аутсорсинг внутренней информационной безопасности», в России сейчас представлены такие:
1) Аудит и анализ состояния ИТ-инфраструктуры.
2) Разработка нормативных документов.
3) Форензика (расследование инцидентов).
4) SOC (организация и обслуживание мониторингового центра).
5) Обучение/тренировка персонала.
6) Сопровождение информационных систем (систем аутентификации и авторизации, DLP, SIEM, IDS/IPS).
Если как-то систематизировать, видим, что есть предложение на то, чтобы закрыть какую-то разовую потребность (посоветоваться или решить точечную задачу) и на заместить функции ИБ-специалиста в долгую.
Временная помощь
Так как мы имеем в виду заказчика, перед которым только встал вопрос защиты от утечек данных, запрос к внешнему эксперту тут как правило такой: посмотреть настройки сетевого оборудования, оценить входящий/исходящий трафик, оценить количество внешних подключений к серверам; выстроить систему доступов; решить, какое ПО поставить на тест, а на какое не тратить время, оценить результаты тестов.
Т.е. по большому счету – «только спросить».
Предложения на рынке такого консалтинга разнообразное. На «посоветоваться» всегда можно найти и фрилансера. Но костяк рынка – это учебные центры и компании, специализирующиеся на ИБ ЦИБИТ, «Академия ИБ», АКРИБИЯ, УЦСБ, AZONE IT и другие. (Вынесем за скобки «больших советчиков» с «четверкой» аудиторов во главе – они делят львиную долю мирового оборота от ИБ-консалтинга, но их услуги доступны только крупным заказчикам).
Перечисленные игроки могут закрыть и разовые задачи, когда нужно провести какую-то работу, для которой пока нецелесообразно нанимать человека в штат: обучить персонал, адаптировать политики безопасности, привести в порядок документы на соответствие требованиям регуляторов. И конечно, расследовать нарушение или корпоративное преступление, если вдруг в компании случилось ЧП.
При этом для расследования инцидентов информационной безопасности используют не только кибер-методы (здесь самый известный игрок – Group IB). Могут добавляться и «аналоговые» инструменты: анализ документов, опросы сотрудников и т.д. Поэтому, строго говоря, детективы, полиграфологи, профайлеры – это в своих узких задачах тоже участники ИБ-аутсорсинга.
Есть на рынке предложение по тонкой настройке политик безопасности в DLP-системе. По мере внедрения у пользователя могут возникнуть попутные вопросы: как быть с «железом», как настроить допуски, какие документы подписать с сотрудниками. Независимые компании оказывают такие услуги, но по сути – это работа хороших отделов внедрения, инженеров и техподдержки самого вендора.
Рынок пока разношерстный просто в силу своего молодого возраста. Но на нем уже сформировалось изобильное предложение под большинство запросов заказчика в разовой помощи ИБ-специалиста.
Регулярный мониторинг
Если компании нужно решать не разовые задачи, а защищать информацию в постоянном режиме, потребуется DLP-система. Иначе предотвращать, выявлять и разбирать инциденты внутренней безопасности сложно. Без человека, который будет анализировать информацию из нее, софт мало эффективен. Но большинство компаний с коллективами от 100 человек часто просто не могут ответить на вопрос «оно нам надо?»
Поэтому возникает следующий уровень аутсорсинга – отдать за штат управление системой и аналитику инцидентов из DLP. Пока на этом рынке работают единицы (собственно, «СёрчИнформ», Softline, «Инфосистемы Джет»). Услуга реализуется в нескольких форматах в зависимости от уровня доступа, который заказчик готов дать аутсорсеру, то есть от доверия к нему.
Что может делать аутсорсер?
1) Мониторить события и передавать отчеты об инцидентах без какой-то их дополнительной проработки.
2) Делать первичный разбор инцидента, анализировать контекст; экстренно реагировать на критичные нарушения.
3) Делать полноценные расследования инцидента, давать рекомендации по профилактике рецидивов.
В процессе работы отношения могут эволюционировать. Условно, сначала заказчик был готов передать аутсорсеру только настройку DLP и выгрузку из нее отчетов всей «простыней». Увидев эффект и пользу, может прийти к тому, чтобы отдать и разбор содержимого инцидентов.
Из-за того, что рынок еще развивается, заказчику не всегда легко сформулировать запрос, выбрать формат работы с аутсорсером, расставить приоритеты контроля. Соответственно и подписание SLA со старта не всегда возможно.
Тем не менее эффективный формат взаимодействия уже получает очертания. Вот подход, в рамках которого работают зарубежные аутсорсеры (MSSP, Managed Security Services Provider):
1. Персональный ИБ-аналитик настраивает систему в соответствии с задачами, поставленными заказчиком.
2. Заказчику предоставляются максимальные полномочия в системе. Заказчик обговаривает «красные линии» и пожелания (говорит, кого выводит из-под мониторинга, уточняет наиболее актуальные задачи и т.д.)
3. Обнаружив инцидент, ИБ-аналитик связывается с заказчиком по оговоренному каналу связи (задача – донести информацию максимально быстро).
4. Предоставляет отчеты по графику и за выбранный период (раз в день/неделю/месяц).
5. Заказчик может работать в системе вместе с ИБ-аналитиком или самостоятельно.
Скорее всего примерно в таких рамках ИБ-аутсорсинг будет развиваться и дальше, потому что этот формат способствует созданию доверительных отношений между участниками процесса. Но полноценно рынок сформируется еще нескоро, когда-то на нем появится и страхование рисков, которое сильно продвинет отношения клиент/аутсорсер вперед. Но процесс все равно уже идет – мы это видим по реакции заказчиков. Поэтому в пути до «без этого жить нельзя» мы где-то в точке «в этом что-то есть».
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Хранение данных] 5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Торг
- [Информационная безопасность, Разработка под e-commerce, Управление e-commerce] Ozon запустил публичную bug bounty программу
- [Информационная безопасность] Интервью с победителем Deep Fake Detection Challenge
- [Информационная безопасность, Криптография] Начинается эксперимент по переходу госорганов на российскую криптографию
- [Информационная безопасность, Разработка мобильных приложений, Разработка под iOS, Тестирование мобильных приложений] Приложение LinkedIn под iOS тоже читает контент из буфера обмена, компания назвала это багом
- [IT-компании, Информационная безопасность, История IT, Терминология IT] Google просит ИБ-сообщество отказаться от терминов Black\White Hat и заменить их на нейтральные
- [Информационная безопасность, Развитие стартапа] Блокчейн и стандартные базы данных. А есть ли разница
- [Карьера в IT-индустрии, Лайфхаки для гиков, Мозг, Управление персоналом] Как на интервью распознать начальника — самодура?
- [Big Data, Информационная безопасность, Машинное обучение] Расчет факторов в антифроде. Доклад Яндекса
- [Администрирование баз данных, Законодательство в IT, Информационная безопасность] Хакер взламывает базы данных MongoDB и требует выкуп с угрозами слить персданные и сообщить в органы защиты GDPR
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_itstandarty (IT-стандарты), #_upravlenie_personalom (Управление персоналом), #_informatsionnaja_bezopasnost (Информационная безопасность), #_itautsorsing (ИТ-аутсорсинг), #_ibautsorsing (ИБ-аутсорсинг), #_blog_kompanii_searchinform (
Блог компании SearchInform
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_itstandarty (
IT-стандарты
), #_upravlenie_personalom (
Управление персоналом
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:11
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Сегодня решили поговорить о том, готовы ли компании отдавать на аутсорсинг внутреннюю безопасность. Многие годы считалось, что нет. Но ситуация меняется. В этом посте не будем говорить про «за и против аутсорсинга», а сделаем обзор, на что может рассчитывать заказчик, если у него уже появилась потребность как-то решать проблему утечек информации. Сразу оговоримся, мы собирали информацию о тех услугах, которые: А) подрядчики сами называют аутсорсингом; Б) аутсорсингом не называются, но по факту решают какой-то вопрос, который мог бы решить специалист в штате (при его наличии). Поехали. В каком-то идеальном мире задачи ИБ, и в частности защиты от инсайдерских рисков, решаются внутри компании силами штатных специалистов. Они сами раскладывают бизнес-процессы, прописывают политики безопасности, вводят режим коммерческой тайны, ведут разъяснения и обучающие курсы для сотрудников, выявляют и расследуют инциденты. В реальной жизни есть причины, по которым компаниям приходится преодолеть презрение сопротивление и поднять вопрос о том, чтобы отдать часть задач по внутренней безопасности аутсорсеру. Вот основные: 1) Нет специалиста в штате или он есть, но перегружен, не специализируется на защите от инсайдерских рисков. 2) Дефицит кадров – компания не может найти ИБ-специалиста нужной квалификации. 3) Нет специализированного ПО для мониторинга в автоматическом режиме. 4) В целом непонятно, сколько стоит информационная безопасность, оправданы ли расходы на организацию всей этой работы. Если обращаться к зарубежной практике, от которой мы, как принято считать, отстаем лет на 5-10, в защите от инсайдерских рисков на аутсорсе нет ничего необычного. По последним данным Deloitte, 14% аутсорсинговых бюджетов компании в 2019 году потратили на защиту от внутренних рисков. Еще 15% – на обучение персонала кибербезопасности. Из чего выбирать Если рассматривать услуги, объединенные термином «аутсорсинг внутренней информационной безопасности», в России сейчас представлены такие: 1) Аудит и анализ состояния ИТ-инфраструктуры. 2) Разработка нормативных документов. 3) Форензика (расследование инцидентов). 4) SOC (организация и обслуживание мониторингового центра). 5) Обучение/тренировка персонала. 6) Сопровождение информационных систем (систем аутентификации и авторизации, DLP, SIEM, IDS/IPS). Если как-то систематизировать, видим, что есть предложение на то, чтобы закрыть какую-то разовую потребность (посоветоваться или решить точечную задачу) и на заместить функции ИБ-специалиста в долгую. Временная помощь Так как мы имеем в виду заказчика, перед которым только встал вопрос защиты от утечек данных, запрос к внешнему эксперту тут как правило такой: посмотреть настройки сетевого оборудования, оценить входящий/исходящий трафик, оценить количество внешних подключений к серверам; выстроить систему доступов; решить, какое ПО поставить на тест, а на какое не тратить время, оценить результаты тестов. Т.е. по большому счету – «только спросить». Предложения на рынке такого консалтинга разнообразное. На «посоветоваться» всегда можно найти и фрилансера. Но костяк рынка – это учебные центры и компании, специализирующиеся на ИБ ЦИБИТ, «Академия ИБ», АКРИБИЯ, УЦСБ, AZONE IT и другие. (Вынесем за скобки «больших советчиков» с «четверкой» аудиторов во главе – они делят львиную долю мирового оборота от ИБ-консалтинга, но их услуги доступны только крупным заказчикам). Перечисленные игроки могут закрыть и разовые задачи, когда нужно провести какую-то работу, для которой пока нецелесообразно нанимать человека в штат: обучить персонал, адаптировать политики безопасности, привести в порядок документы на соответствие требованиям регуляторов. И конечно, расследовать нарушение или корпоративное преступление, если вдруг в компании случилось ЧП. При этом для расследования инцидентов информационной безопасности используют не только кибер-методы (здесь самый известный игрок – Group IB). Могут добавляться и «аналоговые» инструменты: анализ документов, опросы сотрудников и т.д. Поэтому, строго говоря, детективы, полиграфологи, профайлеры – это в своих узких задачах тоже участники ИБ-аутсорсинга. Есть на рынке предложение по тонкой настройке политик безопасности в DLP-системе. По мере внедрения у пользователя могут возникнуть попутные вопросы: как быть с «железом», как настроить допуски, какие документы подписать с сотрудниками. Независимые компании оказывают такие услуги, но по сути – это работа хороших отделов внедрения, инженеров и техподдержки самого вендора. Рынок пока разношерстный просто в силу своего молодого возраста. Но на нем уже сформировалось изобильное предложение под большинство запросов заказчика в разовой помощи ИБ-специалиста. Регулярный мониторинг Если компании нужно решать не разовые задачи, а защищать информацию в постоянном режиме, потребуется DLP-система. Иначе предотвращать, выявлять и разбирать инциденты внутренней безопасности сложно. Без человека, который будет анализировать информацию из нее, софт мало эффективен. Но большинство компаний с коллективами от 100 человек часто просто не могут ответить на вопрос «оно нам надо?» Поэтому возникает следующий уровень аутсорсинга – отдать за штат управление системой и аналитику инцидентов из DLP. Пока на этом рынке работают единицы (собственно, «СёрчИнформ», Softline, «Инфосистемы Джет»). Услуга реализуется в нескольких форматах в зависимости от уровня доступа, который заказчик готов дать аутсорсеру, то есть от доверия к нему. Что может делать аутсорсер? 1) Мониторить события и передавать отчеты об инцидентах без какой-то их дополнительной проработки. 2) Делать первичный разбор инцидента, анализировать контекст; экстренно реагировать на критичные нарушения. 3) Делать полноценные расследования инцидента, давать рекомендации по профилактике рецидивов. В процессе работы отношения могут эволюционировать. Условно, сначала заказчик был готов передать аутсорсеру только настройку DLP и выгрузку из нее отчетов всей «простыней». Увидев эффект и пользу, может прийти к тому, чтобы отдать и разбор содержимого инцидентов. Из-за того, что рынок еще развивается, заказчику не всегда легко сформулировать запрос, выбрать формат работы с аутсорсером, расставить приоритеты контроля. Соответственно и подписание SLA со старта не всегда возможно. Тем не менее эффективный формат взаимодействия уже получает очертания. Вот подход, в рамках которого работают зарубежные аутсорсеры (MSSP, Managed Security Services Provider): 1. Персональный ИБ-аналитик настраивает систему в соответствии с задачами, поставленными заказчиком. 2. Заказчику предоставляются максимальные полномочия в системе. Заказчик обговаривает «красные линии» и пожелания (говорит, кого выводит из-под мониторинга, уточняет наиболее актуальные задачи и т.д.) 3. Обнаружив инцидент, ИБ-аналитик связывается с заказчиком по оговоренному каналу связи (задача – донести информацию максимально быстро). 4. Предоставляет отчеты по графику и за выбранный период (раз в день/неделю/месяц). 5. Заказчик может работать в системе вместе с ИБ-аналитиком или самостоятельно. Скорее всего примерно в таких рамках ИБ-аутсорсинг будет развиваться и дальше, потому что этот формат способствует созданию доверительных отношений между участниками процесса. Но полноценно рынок сформируется еще нескоро, когда-то на нем появится и страхование рисков, которое сильно продвинет отношения клиент/аутсорсер вперед. Но процесс все равно уже идет – мы это видим по реакции заказчиков. Поэтому в пути до «без этого жить нельзя» мы где-то в точке «в этом что-то есть». =========== Источник: habr.com =========== Похожие новости:
Блог компании SearchInform ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_itstandarty ( IT-стандарты ), #_upravlenie_personalom ( Управление персоналом ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:11
Часовой пояс: UTC + 5