Аутсорсинг информационной безопасности – проблема доверия

Создавать самим или отдать на аутсорсинг? Сколько это может стоить? В чем плюсы? Много ли минусов? Эти вопросы задают себе многие руководители компаний и профильных подразделений информационной безопасности, перед которыми так или иначе в какой-то момент встает вопрос целесообразности отдачи той или иной функции ИБ на аутсорсинг.

В статье Дениса Муравьева "Аутсорсинг информационной безопасности – проблема доверия" перечислены те моменты, которые обязательно надо учитывать, принимая решение о привлечении сторонней организации:

"Не каждая компания, испытывающая потребность в формировании стратегии реагирования на комплексные угрозы информационной безопасности, может позволить себе нанять квалифицированного специалиста. В этой ситуации может показаться, что аутсориснг – наиболее быстрый путь "подтянуть" отстающие процессы в области ИБ. В действительности же процесс согласования условий оказания услуг подчас сильно затягивается и сократить время возможно только за счет увеличения соответствующих рисков.

В профессиональной среде бытует мнение, что компании обращаются к аутсорсингу в основном в поисках снижения издержек. Однако исследование Forrester показало, что это не так. Денежные вопросы, конечно, важны, однако в отношении информационной безопасности у руководителей компаний другие приоритеты. В большинстве случаев аутсорсинг информационной безопасности в абсолютном значении обходится компаниям дороже.

Многие полагают, что использование аутсорсинга означает полное переложение рисков на поставщика услуг. В действительности же организация, обратившаяся к аутсорсингу, возлагает на провайдера услуг ответственность за совершение конкретных действий. Это не освобождает организацию от ответственности за общее состояние дел в области информационной безопасности. Лучшие практики включают в себя использование соответствующих пунктов, оговаривающих ответственность сторон".

Какие еще моменты следует обязательно учитывать, решая вопрос, отдавать ли функции информационной безопасности сторонней организации? О чем следует помнить при выборе аутсорсинговой компании? Можно ли аутсорсинг функций ИБ использоваться в качестве оружия для борьбы с инсайдерами? Как провести оценку внутри организации – что делается самостоятельно, а что передается на аутсорсинг? Какие функции ни в коем случае нельзя передавать сторонней организации? Об этом (и не только) читайте в статье генерального директора "Бюро профессиональных услуг 4Х4" Дениса Муравьева "Аутсорсинг информационной безопасности – проблема доверия", которая публикуется в №5 журнала "Information Security/Информационная безопасность".