Security outsorcing in Russia - myth or reality?

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 1/19

Аутсорсинг ИБ –миф или реальность

Алексей Лукацкий

Бизнес-консультант по безопасности


Что такое аутсорсинг ИБ?

Аутсорсинг – это не

услуги, оказываемые предприятию внешними подрядчиками

это

передача сторонней компании полномочий по исполнению некритичных для бизнеса функций

В зависимости от типа бизнеса обращение к внешнему подрядчику может называться аутсорсингом, а может и нет…

Но так ли это важно?!...


Поколения аутсорсинга ИБ

• Managed FW

• Managed VPN

• Managed IPS

• Managed security scanners

Управление продуктами сетевой

безопасности

• Managed AV

• Managed AppSec

• Managed Secure email

• Managed Secure hosting

Управление продуктами

прикладной защиты

• Предоставление защищенной инфраструктуры

• Managed SIEM

• Managed Secure Endpoint

• Реагирование на инциденты

Зарождение непродуктовых

услуг

• Managed Secure IM, IPT, ВКС, IPTV, Wi-Fi

• Managed Mobile Security

• Managed Web 2.0 / SOA Security

• Managed Secure Storage

Больше консалтинг, чем продукты

Ma

nag

ed

Sec

uri

ty L

ifec

ycle

Уп

ор

на ж

ел

езо

и с

оф

т

Уп

ор

на

чел

ов

еч

ески

й

факто

р


О доверии к аутсорсингу ИБ

Вы доверяете свои секреты консультантам аудиторских, юридических, финансовых компаний?

Вы доверяете перевозку своих денег внешним инкассаторам?

Вы доверяете охрану своих физических активов и топ-менеджмента нанятому ЧОПу?

Почему информационная безопасность

должна быть исключением?!


Что дает аутсорсинг ИБ?

Круглосуточная защита ваших ресурсов

Решение задачи нехватки специалистов ИБ

Разгрузка существующего персонала по ИБ

Получение «в штат» высококлассных специалистов

Все это верно!

Но насколько реальны эти ожидания в России?


Географическое покрытие

А что если у вас есть площадки, требующие управления, за пределами Москвы?

У аутсорсеров обычно один Security Operation Center (SOC)

В Москве

Для западных компаний - заграницей


Каналы связи

США. Хорошая связь есть почти в

любом месте (с резервированием)

Россия. Хорошая связь есть в крупных

городах

Фотография сделана автором на берегу Тихого океана

недалеко от Форт Росс (США). Август 2008 г.

Фотография сделана на берегу Северного Ледовитого океана

недалеко от Мурманска (Россия). Август 2008 г.


О реагировании

Вопросы: «Почему произошел инцидент?», «Кто виноват?», «Что делать?», «Как избежать впредь?»…

Может ли аутсорсер оперативно выехать на место нарушения?

• Что?

• Куда?

• Зачем?

План

Внедрение• Сбор сигналов

• Корреляция

Мониторинг

• Обновление

• Контроль активности

Эксплуатация• Изменение

правил

• Отражение

• Разбор полетов

Реагирование


О реагировании

«Содержать штат сотрудников, которые в круглосуточном режиме будут заниматься мониторингом и отражением атак, может позволить себе далеко не каждая компания»

и при этом

«Специалисты компании <имярек> выполнят следующие работы: Предоставление рекомендаций по выявленным инцидентам безопасности»

Иными словами вам предлагают смотреть телевизор за вас, но в случае его поломки ремонтировать самому ;-(


Квалификация

«…имеющий в своѐм штате сертифицированных и высококвалифицированных аналитиков и инженеров»

В России жесточайшая нехватка квалифицированных специалистов по ИБ

Квалифицированный специалист по ИБ не будет заниматься рутинной работой по «просиживанию штанов за консолью»

Если у аутсорсера работает CCIE, а у вас его нет, то неужели его услуги будут стоит дешевле?

Квалификация и финансовая экономия трудно совместимы

Невредно регулярно, но без предупреждения навещать аутсорсера, чтобы посмотреть, кто на практике занимается аутсорсингом

Ведь именно из-за экспертизы вы и нанимаете аутсорсера


Ответственность и гарантии

Что делать, если по вине аутсорсера произошел инцидент?

Где грань между инцидентом и штатной ситуацией? Чем отвечает аутсорсер? Каковы гарантии работы аутсорсера?

Гарантия качества сервиса

Самое главное в аутсорсинге – ответ на вопрос, что делать, а что нет

Качество сервиса описывается в SLA (требуйте его!)

Критически обдумайте предложенные вам KRI, KPI, PI

Чем отвечает аутсорсер?

Готов ли он возместить вам ущерб? Как его посчитать?

Страхование информационных рисков в России не работает


О цене вопроса

Чтобы обеспечить своими силами режим работы 24х7(а не 5х8), вам понадобится в 4,2 раза больше людей (плюс оплата сверхурочных за работы в выходные)

Служба ИБ

Затраты на ИБ

Служба ИБАутсорсинг

ИБЗатраты на

ИБ

Так сейчас!

Высвободятся ли

у вас люди?

Уволите ли вы их?

В чем экономия?


О цене вопроса

Не забудьте включить в договор пункт про колебание валютного курса

Итоговая «цена» договора на $100К будет различной при курсе 23,12 рубля за 1 доллар и при курсе 27,67 рубля за доллар (так менялся курс в течение года)

Включено ли обновление продуктов в стоимость контракта?

Если нет, то «цена» аутсорсинга может вырасти на 25-70%

Если договор заключается на длительный срок, то обновление должно быть предусмотрено на этот же срок

А что насчет стоимости модернизации аппаратной части?

Не забудьте заранее оценить стоимость подготовки к переходу на аутсорсинг

Каналы связи, резервирование, средства контроля…


О реальной экономии

Реальная экономия от аутсорсинга может быть достигнута только при соблюдении следующих условий:

У вас большой штат дорогостоящих специалистов по ИБ

У вас было достаточно персонала в области ИБ и после передачи части их обязанностей на аутсорсинг вы сократили их, перераспределили их или скорректировали их обязанности

При отказе от традиционного приобретения средств защиты в пользу лизинга (CapEx переходит в OpEx)

Долговременный контракт на аутсорсинг (как минимум, больше одного года)

Вы имеете группу и средства контроля выполнения аутсорсером своих обязанностей


Контроль

Мало иметь SLA, необходимо иметь средства его контроля

Параметры эффективности необходимо получать, анализировать и пересматривать

Пересмотр SLA должен соответствовать изменяющимся условиям бизнеса

Должен быть ответственный за контроль

Правила оценки должны быть одинаковые у всех сторон

Не стоит слепо доверять аутсорсеру

Минимум сделать, максимум получить

Процедура незапланированного пересмотра условий


О технике вопроса

Один из российских аутсорсеров заявляет об «…архивировании данных сроком до 7 лет»

Исходные данные (усредненные):

Длина сигнала тревоги (без дампа) – 100 байт

Число сигналов тревоги с одной СЗИ в секунду – 1000 (зависит от типа)

Объем лога от одной СЗИ за сутки – 8.64 Гб

Объем лога от одной СЗИ за 7 лет – 22.08 Тб

Умножьте это на количество СЗИ!

У скольких российских аутсорсеров ИБ есть такой центр обработки данных?


Резюме

При условии нехватки в России персонала в отделах ИБ аутсорсинг – это не средство экономии

Основные мотивы – экспертиза, качество сервиса, нехватка собственных ресурсов

Аутсорсинг ИБ в России (на данном этапе) применим только в Москве (реалистично) или крупных федеральных центрах (оптимистично)

Не имеет смысла обращаться к компаниям, имеющим менее 2-х лет подтвержденной экспертизы именно в аутсорсинге ИБ

Аутсорсинг – это не просто иной способ взаимодействия между компаниями, это иная культура ведения бизнеса, рассчитанная на долгосрочное партнерство


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410

Полная версия презентации выложена на сайтеhttp://lukatsky.blogspot.com/


Business

Security outsorcing in Russia - myth or reality?