100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
СодержаниеМиф №69 «Аутсорсинг дороже, чем создать свой отдел»21.02.2010 01:30 Миф №70 «Аутсорсинг ИБ в России – это реальность»13.03.2010 00:31 |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №69 «Аутсорсинг дороже, чем создать свой отдел»21.02.2010 01:30
Сейчас аутсорсинг (или Managed Security Services, или Security-as-a-Service, или Cloud security) находится в фокусе внимания многих компаний. Все-таки кризис заставляет многих руководителей искать возможности для экономии и снижения издержек. И аутсорсинг является одной из таких возможностей. Разумеется, все отдавать на аутсорсинг не совсем правильно, как и заниматься всем самому тоже – во всем нужен здоровый компромисс. И когда речь идет о переходе к аутсорсинговой модели, надо проводить конкретные расчеты.
Возьмем, к примеру, приобретение межсетевого экрана (МСЭ) для защиты Интернет-банкинга стоимостью 10000 долларов. Этим защитным средством должен управлять администратор, мониторить его состояние, отслеживать сигналы тревоги, которые он генерит, реагировать на несанкционированные действия. Допустим, для межсетевого экрана стоимость зарплаты такого администратора в месяц составит 1500 долларов. Такой администратор может работать максимум 8 часов в сутки; больше не позволяет Трудовой Кодекс. Но можно ли обеспечивать безопасность круглосуточно работающего сервиса только в течении восьми часов? Конечно нет. Чтобы соблюсти закон и обеспечить круглосуточный мониторинг нам потребуется 3 человека (минимум). На самом деле контроль МСЭ в режиме 24х7 требует не в 3, а в 4.2 раза больше людей. Это связано с необходимостью работы в выходные (и не стоит забывать про оплату сверхурочных в выходные согласно Трудовому Кодексу). Иными словами наши затраты составят минимум 4500 долларов в месяц. Дальше умножаем эту цифру на 12 месяцев: 4500 на 12 – у нас получается 54000 долларов. Добавляем к этой сумме 10 тысяч за сам межсетевой экран и мы получаем сумму в 64000 долларов в год.
Для простоты я не буду учитывать многие другие аспекты, связанные с эксплуатацией межсетевого экрана:
- стоимость оборудования под него (если он представлен был в виде программного обеспечения),
- стоимость поддержки оборудования под него,
- стоимость поддержки самого межсетевого экрана,
- стоимость обновления,
- стоимость внедрения этой системы
- и т.д.
Если учитывать эти аспекты, входящие в понятие «совокупная стоимость владения», введенное компанией Gartner, то цена межсетевого экрана возрастет в разы (по мнению Gartner прайсовая стоимость ИТ-решения составляет всего 15-20% от всей совокупной стоимости владения).
А теперь посмотрим, сколько будет стоить управление этой системы защиты во внешней, аутсорсинговой компании? Если посмотреть стандартные расценки, существующие на этом рынке, управление межсетевым экраном стоит примерно 2-3 тыс. долларов в месяц. Умножаем на 12 и получаем 24-36 тысяч долларов в год (в среднем 30 тысяч долларов). Эта сумма включает в себя круглосуточное управление со стороны высококвалифицированных специалистов с реагированием на все проблемы и т.д. Мы видим, что цены на аутсорсинг вдвое ниже. Эта усредненная цифра на управление межсетевым экраном. Мы не учитываем стоимость самого устройства. Если оно находится на балансе заказчика, то мы должны приплюсовать к 30 тысячам еще и прайсовую (а лучше совокупную стоимость владения) стоимость МСЭ. Но даже в этом случае аутсорсинговые услуги будут стоить дешевле. А если потребитель не будет приобретать межсетевой экран, а воспользуется услугами лизинга, то капитальные затраты (CapEx) перейдут в операционные (OpEx) и совокупная стоимость владения будет существенно ниже.
Мы рассмотрели только экономическую сторону вопроса, которую часто называют основной причиной отказа от аутсорсинга. На самом деле причина в другом. Это вопрос доверия и нежелания выпускать контроль из своих рук. С экономической точки зрения услуги аутсорсинга при прочих равных условиях обходятся дешевле, чем занятие безопасностью собственными силами. Конечно, речь идет не о полном отказе от службы информационной безопасности, а о выносе только тех направлений деятельности, которые сложно или невозможно обеспечить собственными силами на качественном уровне. И, разумеется, важно помнить, что экономика играет в пользу аутсорсинга только при равных условиях. В России, например, не принято, чтобы служба ИБ работала круглосуточно. В ней же трудятся обычные люди, которые хотят спать ночами и отдыхать на выходные. Поэтому, говоря о цене круглосуточного мониторинга МСЭ, я говорю об идеальной ситуации, которая встречается нечасто. А это только один из нюансов, которые должны быть оценены перед принятием решения о переходе к аутсорсингу. На деле их гораздо больше. Особенно в России, которая отличается от многих европейских стран и США, где аутсорсинг информационной безопасности давно и прочно занял свое место в бизнес-практике многих предприятий.
В заключении надо заметить, что аутсорсинг выгоден, но только при выполнении ряда условий:
- У вас большой штат дорогостоящих специалистов по ИБ. Поэтому их высвобождение и обращение к услугам менее дорогих экспертов даст ощутимую экономию.
- У вас было достаточно персонала в области ИБ и после передачи части их обязанностей на аутсорсинг вы сократили их, что позволило сэкономить еще больше.
- Вы отказываетесь от традиционного приобретения средств защиты в пользу лизинга.
- Вы заключаете долговременный контракт на аутсорсинг (не менее 2-3-х лет).
- Вы отслеживаете экономику аутсорсинга.
Миф №70 «Аутсорсинг ИБ в России – это реальность»13.03.2010 00:31
Миф о том, что аутсорсинговые компании нельзя подпускать к своей безопасности мы уже рассматривали, как и миф о том, что аутсорсинг не выгоден. Именно эти тезисы часто приводятся российскими компаниями, которые предлагают свои услуги безопасности потребителям. Но насколько реален аутсорсинг в России? Сразу замечу, что мы будем рассматривать самый распространенный вариант аутсорсинга – управление «чужими» средствами защиты.
Начнем с того, что большинство центров мониторинга западных компаний сосредоточено в Европе, Азии или даже Северной Америке. А значит и говорить специалисты этих центров будут на английском языке, что в России может служить определенным препятствием при общении. Российские аутсорсинговые компании сосредоточены преимущественно в Москве, что является допустимым при мониторинге, но может стать сложно преодолимой преградой при реагировании на обнаруженные несанкционированные действия против заказчика. Ведь отдавая управление своими средствами защиты, мы хотим регулярно получать не только отчеты о числе отбитых атак, но и надеемся на расследование и разбор полет на месте. А оперативно добраться из Москвы в Норильск (особенно под Новый Год) или во Владивосток бывает проблематично. Я уже не говорю про населенные пункты, с которыми отсутствует авиационное сообщение и до них надо добираться на перекладных.
Вторая проблема связана с отсутствием в России хороших каналов связи. И Европа и США опутаны проводной и беспроводной связью третьего поколения, чего не скажешь о России. И если в Москве и крупных региональных центрах проблем с подключением потребителя аутсорсинговых услуг к их поставщику не составляет большого труда, то в регионах – это уже серьезная проблема. Могу привести такой случай – в прошлом году я отдыхал на берегу Северного Ледовитого океана, на полуострове Рыбачий. Присутствия «большой мобильной тройки» там не наблюдалось (а ведь до Мурманска было всего около 200 километров) – изредка, на вершине хребта Мустатунтури, удавалось «поймать» только норвежский Telenor. Про наличие резервных каналов связи и говорить не приходится.
Третья проблема – экономическая. Мы уже рассматривали миф о дороговизне аутсорсинга безопасности. Но в России ситуация немного иная. Вы вряд ли будете сокращать людей при переходе на аутсорсинг, т.к. людей и так не хватает на решение всех важных задач. Значит вместо экономии мы только увеличим затраты на безопасность. А в условиях неумения доказывать необходимость ИБ для бизнеса, а также во время непростой экономической ситуации, получить дополнительные ассигнования на аутсорсинг очень непросто.
Четвертая проблема связана с хранением сигналов тревоги, полученных от управляемых средств защиты. Давайте вместе посчитаем, какое хранилище требуется для решения этой задачи. Средняя длина сигнала тревоги – 100 байт. Число сигналов тревоги с одной СЗИ в секунду – около 1000 (зависит от типа системы защиты). Таким образом объем журнала регистрации (лога) от одной системы защиты за сутки составит 8.64 Гб, а за 7 лет (о которых говорят некоторые российские аутсорсеры) – 22.08 Тб. Осталось умножить это число на количество управляемых средств защиты и мы получим объем центра обработки данных, которых нет у российских аутсорсеров.
К чему мы приходим? При условии нехватки в России персонала в отделах ИБ, аутсорсинг – это, в первую очередь, не средство экономии. Основные мотивы обращения к услугам внешних компаний – наличие экспертизы, высокое качество сервиса, нехватка собственных ресурсов. Во-вторых, аутсорсинг ИБ в России на текущем этапе применим только в Москве или крупных федеральных и региональных центрах. И, наконец, аутсорсинг – это не просто иной способ взаимодействия между компаниями, это иная культура ведения бизнеса, рассчитанная на долгосрочное партнерство. А этого в России пока нет. История нашего бизнеса насчитывает всего пару десятков лет, в отличие от европейского или американского. Мы только в начале пути и придет время, когда и у нас аутсорсинг безопасности завоюет свое место под солнцем.