Вопрос экспертам «коллекция аутсорсинговых отговорок 2. Работа с Информацией»

Аватар пользователя Sedov
Автор: Седов Олег, главный редактор BISA

Начатое обсуждение предыдущей темы «Ответственность» http://bis-expert.ru/blog/6433/45806 продолжает раздел отговорок «Работа с информацией»

Публичное обсуждение этих заблуждений состоялось в рамках конференционной части выставки InfoSecurity 2014 совместно с компанией «Инфосистемы Джет». Сомодератором секции вместе со мной выступил, Кирилл Мартыненко, эксперт сообщества BISA. Его комментарии и дополнения Михаила Никишова, чьи компетенции в моем личном рейтинге находятся на очень высоких призовых позициях, я привожу в виде тезисов, как повод для дискуссии.

 

И так «Работа с информацией»:

  1. «могут "увидеть" лишнее при работе с системой»

Кирилл Мартыненко: «Могут. И что? Данное утверждение само по себе не состоятельно, как минимум, по той причине, что лишнее могут точно с такой же вероятностью увидеть и сотрудники вашей собственной компании. А значит, раздувать риск утери конфиденциальной информации именно через внешние компании не вполне Если служба ИБ правильно разграничила и организовала доступ к информации, то такую информацию можно передать аутсорсинговому партнера, сохранив за собой контроль над ее состоянием».

Михаил Никишов: «я бы здесь закавычил слово «лишнее»!!! Не стойте иллюзий о том, что ИТ-шники в компании супер патриотичны и отличаются от ИТ-ников за «забором». Бизнес в первую голову будет подозревать …. Правильно СВОИХ СИСАДМИНОВ!!! Так было, так есть и будет всегда. В «облаках» все сложнее»/

2. «владеют информацией по уязвимостям/проблемам в работе систем и внутренним инцидентам ИБ»

М.Н.: «Если их допустить на объект и к логам – да будут, но это опять для услуги управления на ваших сетях. А если сети не ваши, а для вас только услуга. Огромное хранилище с защитой на периметре. Зачем им ваши внутренние инциденты? Они вас даже не видели никогда. Дайте им правильное задание, обезличьте (если хотите) пользователей и получайте фактуру и РАЗБИРАЙТЕСЬ САМИ со своим инцидентами сколько и как хотите….».

3. «На стороне аутсорсера могут украсть/исказить данные».

К.М.: «Украсть, безусловно, могут! Равно как и сотрудники вашей собственной компании. Исказить – крайне маловероятно, так как аутсорсер отвечает за предоставленные вам сервисы в рамках того самого SLA, о котором все так любят говорить».

М.Н.: «могут, при некоторых условиях. Опять стоит разделить привычный аутсорсинг и работу в «облаке». Фантазий может быть много, реальность задает один вопрос «Зачем им это делать»? Когда начнем анализировать реальные решения для такой задачи, то окажется, что самыми опасными будут местные сисадмины!!! Другим категориям есть чем заняться по работе вместо кражи и искажения ваших данных…. Свои опаснее многократно и «облако» многие проблемы решает даже по защите (или доказательстве невиновности) «своих»».

4. «требования регуляторов (работа с ПДН, PAN, коммерческой/банковской тайной)»

М.Н.: «Никто не против. Найдите партнера, который предоставит «облачные услуги» с учетом требований регуляторов (все, что пропишете в договоре). Просто это будет стоить немного дороже…».

5. «невозможность следить/контролировать проводимые работы»

К.М.: «Здесь вновь возникает вопрос зрелости процессов компании. Если ваши внутренние сотрудники в состоянии контролировать периметр и проводимые работы, то у вас не должно возникнуть проблем с внешними. Сказать «мы все отдали на аутсорсинг» и престать контролировать – абсолютно неправильно. Всегда должен действовать внутренний менеджер, который контролирует договор и проверяет правильность его выполнения, исходя из ожидаемых экономических результатов, которые влияют на эффективность бизнеса в целом. Если результаты не соответствуют ожиданиям, это является поводом для анализа ситуации и каких-то выводов».

М.Н.: «Не убедительно. Контролировать и мониторить как раз проще. Стоит только определиться какие работы мониторить, какие контролировать, а какие оставить в покое. И для этого сотрудников надо будет меньше, чем при полном обеспечении всего набора требований для услуг ИТ и ИБ».

6. «Если я испорчу отношения с аутсросером, то останусь без команды, СЗИ и буду не защищен. В случае on-site команда и СЗИ мои».

М.Н.: «При обычном аутсорсинге – да, при работе в «облаке» - нет. Что может быть предметом «порчи отношений»??? Если вы не оплачиваете услуги по договору – это одно. Если они не выполняют своих обязательств – другое. НО, мы говорим о снижении нагрузки на бизнес (затраты ИТ и ИБ). Надо уметь выбирать партнера и отвечать за свои обязательства и проблем не будет. Сокращать затраты при высоком качестве услуг (ИТ и ИБ)  и при этом ничего не делать со своей стороны – так не получится ни у кого».

7. «Очень сложно определить ту грань и классифицировать ту информацию, которую я готов передать на обработку аутсорсеру»

М.Н.: «Это проблемы на вашей стороне. В каждом случае схема решения должна быть уникальна, но не очень дорогой. Пригласите специалистов по RM, оцените риски и угрозы – тогда сможете определиться «на что вы готовы»».

 

Коллеги, ваши версии ответов, комментарии к сказанному, аргументы «За» и «Против».

Мне очень важно услышать ваше мнение!

Продолжение темы аутсорсинговых отговорок:

1. Ответственность http://bis-expert.ru/blog/6433/45806

2. Работа с информацией;

3. Управляемость;

4. Роль в процессе.

 

Оцените материал:
Total votes: 569
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.