Подписаться
Читать в телеграм
Банкам интересна сервисная модель
Дата публикации:
14.10.2019
Посетителей:
620
Просмотров:
567
Время просмотра:
1.5 мин.
На сегодняшний день многие крупные финансовые организации России используют модель аутсорсинга, передавая обслуживание элементов ИТ-инфраструктуры, в том числе ИБ-составляющую, сторонним компаниям. Мы поговорили с вице-президентом, директором по безопасности «Почта Банка» Станиславом Павлуниным о том, какие функции ИБ можно и нужно отдавать на аутсорсинг, что нельзя отдавать ни в коем случае и насколько необходим собственный ИБ-отдел.
— Станислав, расскажите, по каким критериям стоит выбирать ИБ-партнера.
— Есть стандартный набор критериев, который никого не удивит. Это должна быть известная компания, уважаемая на рынке и обладающая штатом высококвалифицированных специалистов. Никто не будет отдавать свои ИБ-функции на аутсорсинг noname-компании, которая появилась ниоткуда и в штате которой работают пять человек.
— То есть новой компании-аутсорсеру не заполучить хорошего клиента?
— Рынок всегда должен развиваться, и конкуренция — это замечательно. Но в последние пять лет мы видим, как стремительно растет роль ИБ в бизнесе, информационная безопасность перестает быть стандартной support-функцией. Поэтому компания при передаче даже части этих функций на аутсорсинг должна быть максимально внимательной. Если это абсолютно новый игрок на рынке аутсорсинга, нужно детально смотреть: кто эти люди, какие у них компетенции, какие есть сертификаты.
— «Роль ИБ в бизнесе растет». Что конкретно вы имеете в виду?
— За последние несколько лет тема ИБ перешла на новый виток развития под названием «кибербезопасность». Это новые угрозы, новые схемы хищения денег, а следовательно, новые методы прогнозирования угроз и защиты. Сейчас все, что связано с кибербезопасностью, имеет особую значимость для бизнеса, но по сути это лишь новый уровень развития ИБ. Остаются стандартные методы защиты сетевого периметра, регуляторные требования, просто к ним добавляется новое техническое направление. Сейчас кибербезопасность по очевидным причинам находится в фокусе внимания практически любого банка.
— По вашему мнению, что дешевле: своя ИБ-служба или аутсорсинг? И что надежнее?
— Чтобы выбрать между собственной ИБ-службой и аутсорсингом, нужно понять, на каком уровне развития находится финансовая организация. Если это стартап, когда необходимо быстро запустить рабочие решения и при этом нет соответствующего штата, лучше выбрать аутсорсинг. Тем более что в стартапах вопросам ИБ не уделяется столько внимания, сколько задачам запуска самого проекта и достижения первых бизнес-результатов. Если мы говорим о банке или финтех-компании, которая уже некоторое время работает на рынке и показывает устойчивую прибыль, обязательно необходима собственная служба информационной безопасности.
«Что дешевле?» — это вопрос из разряда пофантазировать. Дешевле в деньгах и в вопросе ФОТ? Наверное, тогда аутсорсинг дешевле. С точки зрения профессионализма и репутационных рисков? Не уверен, что его можно назвать дешевым. Я давно работаю в банковском секторе, и у меня сложилось четкое мнение: в банке должна быть своя служба ИБ, которая будет полностью защищать банк, самостоятельно контролировать и эксплуатировать средства защиты информации. Это в определенном смысле инвестиционная история: сначала руководство банка инвестирует в службу ИБ, а через некоторое время становится понятно, что эти инвестиции были не напрасны. Хотя некоторые функции ИБ, конечно же, можно отдавать на аутсорсинг.
— Например? И что нельзя передавать на аутсорсинг ни в коем случае?
— В целом я за взвешенный подход к аутсорсу. Если есть функции, которые можно отдать наружу и это будет дешевле и проще, то лучше их отдать. Например, можно пользоваться услугами SOC (Security Operations Center) — чтобы ИБ-инциденты мониторила аутсорсинговая команда и оповещала вас о критичных срабатываниях. Здесь не должно возникнуть организационных или технических проблем, и с точки зрения финансов это обычно дешевле.
Но если мы говорим об эксплуатации средств защиты информации, внедрении информационных систем, то это должна делать собственная ИБ-служба. Анализ рынка, выбор решений, поставка, внедрение и сопровождение —этим должны заниматься специалисты в штате, без привлечения аутсорсера. Например, эшелонированную систему защиты ни в коем случае нельзя отдавать «на сторону». Какое решение выбрать, как его внедрять, сколько именно эшелонов защиты должно быть — все эти вопросы критичны для банка. При этом, если вы хотите, чтобы у вас была собственная высококвалифицированная служба ИБ, необходимо инвестировать в нее, искать специалистов с соответствующими компетенциями.
— И где их стоит искать?
— В России уже сложился ИБ-рынок, так что в банках есть немало хороших специалистов. Если же вы ищете молодых специалистов, в Новосибирске, Казани, Санкт-Петербурге и Москве есть вузы, которые обучают студентов по профилю «Защита информации».
Я считаю, что проблема дефицита специалистов по защите информации стоит не так остро, как принято считать. Да, не хватает экспертов по такому молодому направлению, как Application Security. Но и они рано или поздно появятся на рынке, а если такие специалисты нужны срочно, их можно найти на рынке.
— Вернемся к ИБ-аутсорсингу. Какие плюсы и минусы этой модели вы видите и какие сложности могут возникнуть при ее использовании?
— Плюсы в том, что аутсорсинг быстрее разворачивается, он отлично подходит для стартапов и немного дешевле инвестиций в собственную команду. Минусы очевидны: в случае полного аутсорсинга вы не сможете самостоятельно управлять собственной ИБ-инфраструктурой. Сложности могут возникать из-за несоблюдения SLA, но это, скорее, вопрос конкретных договоренностей. Главное, что лично мне непонятно, — как точно определить виновного в случае ИБ-инцидента. Как разграничить зоны ответственности? Это однозначно сложный вопрос.
— К слову о SLA, что обязательно должно быть прописано?
— Необходимо детально прописать любую ситуацию, которая может возникнуть, особенно финансовую ответственность и регламенты взаимодействия. В нашем случае SLA всегда составляют юристы, и мы в дальнейшем вносим в них правки, если это необходимо. Помимо составления SLA, необходимо регулярно проверять стоимость услуг аутсорсинга у других поставщиков — мы делаем это постоянно. Это логичный шаг для организации, которая хочет знать, на что тратятся ее деньги.
— Может ли человеческий фактор негативно повлиять на аутсорсинг?
— Информационная безопасность всегда про людей. Самое слабое звено любой системы — человек, поэтому человеческий фактор очень важен, и он, безусловно, может повлиять. У меня есть примеры из практики, когда это происходило, но я не могу их разглашать. Поэтому можем с вами пофантазировать: представьте, что у человека, который в данный момент обслуживает вашу ИБ-инфраструктуру, плохое настроение, из-за этого он невнимателен. Или он не выспался, а в итоге проигнорировал критичный сигнал, из-за чего инфраструктура «упала». Такое вполне может быть, потому что все мы люди, все мы устаем и испытываем различные эмоции.
— Как можно оценить успешность перехода к модели аутсорсинга?
— Когда вы решаете что-то отдать на аутсорсинг, необходимо внимательно все просчитать и понять, какова конечная цель. После этого нужно поэтапно расписать, как достигнуть этой цели, и в дальнейшем регулярно сверяться с планом. К примеру, банк хочет перейти на аутсорсинг ИБ, чтобы сократить расходы, повысить скорость реакции на инциденты и избавиться от проблемы, связанной с текучестью ИБ-кадров. Соответственно, после того как переход состоялся, нужно свериться по этим трем показателям, чтобы понять, принес ли он ожидаемые результаты.
Стандарт Банка России
В марте 2018 года Центробанк заявил о разработке стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге». В документе отмечается, что сейчас в деятельности отдельных организаций банковской системы страны существует тенденция передавать выполнение отдельных собственных бизнес-функций сторонним организациям на основании договорных отношений. Но это в большинстве случаев приводит к появлению новых рисков в деятельности организаций, включая риски нарушения ИБ.
Поэтому совместно с профессиональным сообществом ЦБ разработал документ, который определяет процесс обеспечения ИБ для финансовых организаций при использовании услуг аутсорсинга. В нем определены факторы риска нарушения информационной безопасности при аутсорсинге, установлены требования к управлению ими, контролю и оценке. Также стандарт определяет зону ответственности и задачи руководства финансовых организаций при аутсорсинге услуг по обеспечению информационной безопасности, утверждает критерии оценки поставщика услуг и требования к содержанию соглашений об аутсорсинге. Документ вступил в силу 1 июля 2018 года, он предназначен для банков, НФО, субъектов национальной платежной системы и других участников финансового рынка.
— Насколько наша банковская отрасль в целом заинтересована в приобретении ИБ-сервисов «на стороне»?
— Сервисная модель в принципе выгодна, и банки заинтересованы в получении ИБ-сервисов — например, уже упомянутых мной услуг SOC, которые позволяют не тратиться на собственную команду специалистов, работающих в режиме 24/7. Также интересна услуга Threat Intelligence. Вопрос в том, насколько эксклюзивными и экономически выгодными будут эти сторонние сервисы, каким будет уровень профессионализма компании-аутсорсера. Это должна быть сбалансированная схема, с четко понятными рисками и финансовой выгодой. Насколько мне известно, сейчас много банков выбирают ИТ-аутсорсинг, в том числе передают на обслуживание элементы ИБ-инфраструктуры.
