вторник, 22 апреля 2014 г.

Security as a Service

      После обусловленного запаркой на работе перерыва продолжаю писать:) Посетители последней Information Security Russia могли подумать, что я против аутсорсинга ИБ в принципе. Это немножко не так - мало есть сравнимых по пользе для службы ИБ управленческих инструментов. Но, обычно никто не умеет "готовить" аутсорсинг.

      Вспомним классическое определение сервиса "полезная для клиента деятельность, устраняющая препятствия либо повышающая производительность деятельности клиента". Обычно операционная деятельность службы ИБ для бизнеса выглядит наоборот - непонятно полезна ли она для бизнеса, непонятно какая именно от нее польза, непонятно что конкретно она защищает, измеряется она лишь высокоуровнево и в клиентоориентированности ее заподозрить трудно. Т.е. перед тем как что-то аутсорсить хорошо бы это что-то трансформировать в понятный управляемый и измеряемый внутренний сервис.
     Итого вижу Security as a Service как деятельность, характеризуемую следующими свойствами:
  • Конкретность – деятельность ИБ декомпозирована и понятные активности выделена – антивирусная защита, управление доступом и др.
  • Бизнес-ориентированность – активности ИБ привязаны к бизнес-активам или бизнес-операциям – количеству ПК, сотрудников или транзакций, договоров
  • Справедливость – ответственность за активности ИБ адекватно распределена между ИБ, ИТ и другими бизнес-подразделениями
  • Измеряемость – активности ИБ измеряемы и контролируемы и могут быть проанализированы на экономическую эффективность 
  • Экономическая эффективность – рутинные экономические невыгодные активности ИБ могут  выведены к сервис-провайдерам по ИБ или в «облака»

     Вывод на аутсорсинг любого сервиса ИБ без прохождения этих этапов целесообразен только в том случае, если нет принципиальной возможности организовать эту активность внутри. Например, есть ограничение по штату (предельная численность), на рынке всего десяток-другой специалистов с нужными компетенциями или для реализации сервиса нужного уровня нужны серьезные капитальные инвестиции.
     P.S. При всей правильности данного подхода ему следуют немногие. Немного компаний понимают целесообразность серьезного умственного труда в ИТ в принципе. Консалтинг и проектирование часто становятся жертвами оптимизации расходов служб ИБ, и в итоге много мертвого железа собирает пыль в ЦОДах.

Комментариев нет:

Отправить комментарий