Создавать самим или отдать на аутсорсинг? Сколько это может стоить? В чем плюсы? Много ли минусов? Эти вопросы задают себе многие руководители компаний и профильных подразделений информационной безопасности, перед которыми так или иначе в какой-то момент встает вопрос целесообразности отдачи той или иной функции ИБ на аутсорсинг.
В статье Дениса Муравьева "Аутсорсинг информационной безопасности – проблема доверия" перечислены те моменты, которые обязательно надо учитывать, принимая решение о привлечении сторонней организации:
"Не каждая компания, испытывающая потребность в формировании стратегии реагирования на комплексные угрозы информационной безопасности, может позволить себе нанять квалифицированного специалиста. В этой ситуации может показаться, что аутсориснг – наиболее быстрый путь "подтянуть" отстающие процессы в области ИБ. В действительности же процесс согласования условий оказания услуг подчас сильно затягивается и сократить время возможно только за счет увеличения соответствующих рисков.
В профессиональной среде бытует мнение, что компании обращаются к аутсорсингу в основном в поисках снижения издержек. Однако исследование Forrester показало, что это не так. Денежные вопросы, конечно, важны, однако в отношении информационной безопасности у руководителей компаний другие приоритеты. В большинстве случаев аутсорсинг информационной безопасности в абсолютном значении обходится компаниям дороже.
Многие полагают, что использование аутсорсинга означает полное переложение рисков на поставщика услуг. В действительности же организация, обратившаяся к аутсорсингу, возлагает на провайдера услуг ответственность за совершение конкретных действий. Это не освобождает организацию от ответственности за общее состояние дел в области информационной безопасности. Лучшие практики включают в себя использование соответствующих пунктов, оговаривающих ответственность сторон".
Какие еще моменты следует обязательно учитывать, решая вопрос, отдавать ли функции информационной безопасности сторонней организации? О чем следует помнить при выборе аутсорсинговой компании? Можно ли аутсорсинг функций ИБ использоваться в качестве оружия для борьбы с инсайдерами? Как провести оценку внутри организации – что делается самостоятельно, а что передается на аутсорсинг? Какие функции ни в коем случае нельзя передавать сторонней организации? Об этом (и не только) читайте в статье генерального директора "Бюро профессиональных услуг 4Х4" Дениса Муравьева "Аутсорсинг информационной безопасности – проблема доверия", которая публикуется в №5 журнала "Information Security/Информационная безопасность".
Источник: статья Дениса Муравьева "Аутсорсинг информационной безопасности – проблема доверия"
Вы хотите прокомментировать статью? Есть вопросы к автору? Хотите поделиться своей точкой зрения на рассматриваемую проблему? Пишите главному редактору журнала "Information Security/Информационная безопасность" Марии Калугиной ( kalugina@groteck.ru )

По вопросам размещения рекламных материалов в журнале обращайтесь к руководителю проекта "Информационная безопасность" Наталье Рохмистровой ( rohmistrova@groteck.ru ). Тел.: (495) 609 32 31.