В рамках рубрики Клуб специалистов мы продолжаем публикацию книги А.В.Лукацкого заблуждения и Мифы информационной безопасности
Алексей Лукацкий — менеджер по формированию бизнеса Cisco Systems
Это весьма распространенный миф, что циркулирует в среде экспертов по информационной безопасности. В качестве доказательств они опираются скорее на эмоции, чем логику. Не смотря на то, что, мне думается, что в базе их мотивации совсем другие обстоятельства.
Обычно они опасаются выпустить из рук направление деятельности, которое им поручено управлением компании. А что если аутсорсинговая компания будет делать работу лучше либо отыщет какие-то упущения в деятельности работы ИБ?
Как опасение, вынесенное в заглавие, имеет под собой основания?
Не проводя анализ осуществимости аутсорсинга в Российской Федерации (мы к этому еще возвратимся в другом мифе), хотелось бы , что многие предприятия и особенно банки поручают внешним компаниям значительно более важные направления собственной деятельности. Итак, денежная отчетность.
Дабы проверить ее корректность приглашаются консультанты и финансовые аудиторы, каковые и выискивают в корпоративных документах нарушения законодательства и различные недочёты перед тем, как это сделает налоговая администрация либо проверки вторых регуляторов. К банкам это не имеет отношения, но в среднем и малом бизнесе не редки ситуации, в то время, когда внешней компании либо приглашенным сотрудникам отдается на откуп вся бухгалтерия.
А ведь денежная и бухгалтерская документация есть более чувствительной информацией, чем ИБ.
Кто перевозит финансовые средства из операционных касс, обменных пунктов в финансовое хранилище? Инкассаторская работа, которая также может принадлежать не банку, а аутсорситься у внешней организации. Подобная обстановка и с сетями банкоматов либо процессинговыми центрами, каковые для маленьких и средних банков в большинстве случаев «арендуются на стороне».
Кто снабжает физическую безопасность банка либо охрану топ-менеджеров? Сотрудники собственной работы безопасности либо эксперты нанятого ЧОПа либо охранного агентства? Далеко не всегда банк в состоянии содержать набор и такой штат специалистов нужных, но недешевых технических средств.
А ИТ-аутсорсинг? О нем на данный момент говорят многие и довольно часто. А кое-какие кроме того применяют на практике, передавая управление собственной ИТ-инфраструктурой внешним подрядчикам. И снова это никого не смущает и не сдерживает. А вдруг отыскать в памяти отечественную личную судьбу, то аутсорсинг есть неотъемлемым элементом нашей жизни – образование отечественных детей, отечественное здоровье, ремонт отечественных машин Все это мы делаем не сами, а доверяем внешним экспертам.
Отчего же информационная безопасность должна быть исключением? Второй вопрос, что к аутсорсингу ИБ нужно доходить, шепетильно взвесив все «за» и «против», проработав все денежные и юридические вопросы, составив соглашение о качестве обслуживания (SLA) и решив многие другие вопросы.
И лишь ответив на них, возможно совсем принимать для себя ответ, подпускать ли внешние компании к собственной безопасности либо нет.
10 ИСТОРИЙ О ТОМ, КАК Торговые марки Была названи
