Сразу скажу, навеяло опять утренним чтением новостей. Подумалось вдруг: а если в ключе обеспечения информационной безопасности передать все критичные по этому параметру бизнес-процессы компании на аутсорсинг? Согласен, звучит как бред сивой кобылы, но давайте не будем торопиться с оценкой моего IQ, а вникнем в суть предложения.
В чем состоит самая неприятная для безопасника проблема защиты от внутренних угроз для среднестатистической организации? Правильно: в том, что кое-кого контролировать нежелательно, потому что начальство не велит, да и сор из избы выносить не стоит, потому что может плохо на бизнесе отразиться. Поэтому даже если словили с поличным, не всегда можно на виду у всех "поставить к стенке" - очень уж часто всё спускают на тормозах.
Если передать часть процессов на аутсорсинг, эта проблема решается сама собой. Потому что, во-первых, сор больше не в избе, соответственно, не действуют больше и запреты на его вынос. Во-вторых, нет больше неприкосновенных - наоборот, раз это не свои, а чужие, за ними нужен глаз да глаз. Соответственно, и благосклонность начальства к безопасникам повышается прямо на глазах, что не может не радовать тружеников нивы инфобеза.
Ещё один положительный момент: если выбран действительно качественный поставщик услуг, заботящийся о своей репутации, то совсем не в его интересах делать так, чтобы ваша информация куда-то утекала. Наоборот, он будет всячески стараться обезопасить вас, и в итоге может добиться такого высокого уровня защиты, который родной компании со всеми любимчиками начальства и не снился.
Проблема, которая возникает при этом, состоит в стоимости услуг аутсорсера, в их качестве, и в том, можно ли вообще отдать что-либо на аутсорсинг. Но в том случае, если такая возможность всё-таки есть, пользоваться ей нужно обязательно.
Роман Идов,
аналитик компании SearchInform
И в договоре с аутсорсерами вписать кругленькую сумму штрафа на случай утечки информации от них. Тогда контроль сотрудников ляжет на самих аутсорсеров, а безопаснику останется лишь отслеживать эту фирму в целом, что проще.
ОтветитьУдалитьШтраф-то они заплатят, только покроет ли он убытки от утечки информации?
ОтветитьУдалитьРаз на раз не придётся, конечно. А какие ещё могут быть варианты? Передать часть процессов аутсорсерам и договориться, что на их компы будет ставиться "контур". Ну и в случае утечки штраф.
ОтветитьУдалитьТут проблема не столько проконтролировать аутсорсера, что, на мой взгляд, очень трудно реализовать, сколько выбрать того, у кого "самоконтроль" на должном уровне.
ОтветитьУдалить