Revista si suplimente
MarketWatch
Inapoi Inainte

Outsourcing Security - a construi încredere într-o lume legată în reţea

19 Decembrie 2008



A hotărî outsoursarea securităţii reţelei organizaţiei dumneavoastră este o decizie dificilă. Mizele sunt ridicate, astfel încât nu este de mirare că panica (sper să nu vă ţină mult) este o reacţie obişnuită atunci când vine vorba de a outsoursa sau nu securitatea reţelei.

Beneficiile promise ale securităţii outsoursate sunt foarte atractive. Potenţialul de a spori semnificativ securitatea reţelei organizaţiei proprii fără necesitatea angajării mai multor persoane sau cheltuirii unei mici averi este imposibil de ignorat. Însă şi riscurile potenţiale ale outsoursării sunt considerabile. Întâmplări despre organizaţii care au ieşit din afaceri şi experienţe nefaste privind outsoursarea altor domenii din IT arată că selectarea unui “outsourcer” nepotrivit poate însemna o greşeală ce vă va costa scump.


Barometrul outsourcing-ului securităţii informaţiei


Dacă a hotărî să outsoursaţi securitatea informaţiei reprezintă o decizie dificilă, a hotărî ce anume să outsoursaţi şi unde anume pare deja o decizie imposibilă (nu vă panicaţi din nou).


Totuşi, există şi o veste bună. Atât analiştii, cât şi grupul Gartner, estimează că acest sector a crescut în anul 2007 cu puţin sub 20 de procente şi că este foarte posibil să crească în continuare, deoarece practica outsoursării securităţii devine din ce în ce mai acceptată.


Mai mult, un raport recent al grupului Yankee Group estimează că organizaţiile vor outsoursa 90% din managementul securităţii proprii până în anul 2010; că tot mai multe companii au făcut din securitate o prioritate pentru a veni în întâmpinarea ameninţărilor tot mai frecvente şi pentru a fi în conformitate cu standardele şi regulamentele în vigoare, precum HIPAA şi Sarbanes-Oxley. Raportul subliniază motivele pentru care organizaţiile din întreaga lume ar trebui să ia în considerare outsourcing-ul securităţii informaţiei şi arată că furnizorii de servicii din aria securităţii informaţiei pot implementa cele mai bune practici de securitate şi pot asigura o protecţie de un nivel ridicat, alocând resurse tehnologice şi umane pe care multe organizaţii nu îşi pot permite să le asigure intern. Furnizorii de servicii de securitate care lucrează deja pe nişa de outsourcing au dovedit că pot implementa o infrastructură puternică şi eficientă, dezvoltând tehnologiile de securitate, în vreme ce supravegherea şi controlul aplicaţiilor de securitate se realizează din interiorul organizaţiilor “client”. Pentru ca outsourcing-ul să fie eficient este necesar ca furnizorul de servicii şi organizaţia să formeze o echipă de coordonare comună şi să stabilească nişte termeni contractuali care să definească fără echivoc aşteptările celor două părţi.


Ce să outsoursaţi


Organizaţiile nu pot outsoursa orice, deoarece unele lucruri nu se pot outsoursa cum trebuie. Fie sunt prea importante pentru business, fie prea scumpe pentru ca o companie de outsourcing să le managerizeze eficient, fie nu sunt bine scalate. A şti ce anume trebuie să outsoursaţi este cheia. Securitatea reţelei nu este diferită. Organizaţiile ar trebui să outsourseze asistenţa de specialitate, ca de exemplu scanarea vulnerabilităţilor, monitorizarea, consulting-ul şi serviciile de forensics, însă niciodată nu ar trebui să outsourseze managementul companiei. Industria IT a dovedit deja acest lucru. În general, outsoursăm lucrurile care au una dintre următoarele trei caracteristici: sunt complexe, importante sau neplăcute. Securitatea informaţiei le are pe toate trei. Este o sarcină neplăcută pentru că este foarte dificilă, neinteresantă şi cu alarme la ora 3 dimineaţa. Este complexă din cauza caracterului complicat al reţelelor moderne, a ratei cu care se schimbă ameninţările, cu care apar atacurile şi cu care se dezvoltă serviciile pentru reţele. Este importantă datorită faptului că business-ul nu se poate conduce, în contextul lumii moderne, decât prin intermediul reţelelor deschise către Internet.


De ce să outsoursaţi securitatea informaţiei

Argumentul principal pentru outsoursarea securităţii informaţiei este cel financiar: o companie poate obţine “security expertise” - atunci când are nevoie - mult mai ieftin decât dacă ar angaja pe altcineva pentru a i-o furniza. Să luăm, spre exemplu, monitorizarea: cheia către o monitorizare de succes a securităţii este vigilenţa. Atacurile pot avea loc în orice moment al zilei, în orice zi din an. Deşi e posibil pentru organizaţii să implementeze servicii de detecţie şi răspuns pentru reţelele proprii, acest lucru se dovedeşte rareori a fi ieftin. Completarea cu personal specializat pe securitate 24 de ore pe zi, 365 de zile pe an, necesită cinci angajaţi full-time, chiar şi mai mulţi în cazul în care doriţi supervisor-i şi personal de backup având calificări specializate. Şi chiar dacă o organizaţie ar găsi bugetul necesar pentru toţi aceşti oameni, ar fi foarte dificil să-i şi angajeze în contextul actual al pieţei joburilor. A-i păstra ar fi chiar şi mai greu. Monitorizarea securităţii este o muncă neregulată: şase săptămâni de plictiseală urmate de opt ore de panică, apoi alte şapte săptămâni de plictiseală urmate de şase ore de panică. Atacurile împotriva unei singure organizaţii nu au loc suficient de des pentru a menţine o echipă de un asemenea calibru ocupată şi interesată. Din acest motiv outsourcing-ul este singura cale “cost-effective” pentru a satisface necesităţile. Lăsând la o parte expertiza pe care o poate realiza, un serviciu de monitorizare outsoursată are o altă dimensiune financiară. Acesta poate angaja şi antrena personal mai uşor, deoarece necesită mai mulţi angajaţi. În plus, poate construi o infrastructură pentru a-i susţine. Monitorizarea vigilentă înseamnă a te menţine la zi cu noile vulnerabilităţi, cu noile unelte ale hackerilor, cu noile produse de securitate şi cu noile lansări de software specializat. Organizaţiile cu securitatea informaţiei outsoursată pot distribui toate aceste costuri pe fiecare dintre clienţii săi. Pe de altă parte, o companie de outsoursing are o imagine mai cuprinzătoare a Internetului. Ea poate învăţa din atacurile împotriva unuia dintre clienţi şi folosi respectiva cunoaştere pentru a-şi proteja toţi clienţii. Confruntându-se mult mai des cu atacuri (practic, atacurile împotriva reţelelor au loc zilnic), specialiştii acesteia ştiu exact cum să răspundă unui atac sau cum să facă faţă unei noi ameninţări de securitate.


Ce înseamnă outsourcing-ul securităţii informaţiei?

Acest outsourcing înseamnă că nu va mai trebui să vă bateţi capul cu problemele şi costurile angajării unui specialist şi nici să mai fiţi îngrijoraţi dacă resursele strategice ale organizaţiei sunt sau nu pe mâini sigure. Un “outsourcer” va deţine personal de specialitate calificat orientat către client (adică către dvs.), având ca primă grijă alinierea managementului securităţii cu obiectivele strategice ale organizaţiei. Nu va mai trebui să vă faceţi griji în legătură cu costurile de training ale personalului de securitate. Noul dumneavoastră partener va fi super-calificat (de avut grijă cu acest lucru) pentru a vă furniza un suport continuu (24 x 7), fiind la curent cu cele mai noi lucruri din aria securităţii informaţiei. Un bun “outsourcer” va crea un centru de comandă al operaţiunilor şi o echipă de răspuns la incidentele de securitate pentru a se asigura că toate incidentele sunt tratate cu maximă seriozitate şi profesionalism, de la început până la sfârşit. “Outsourcerii” vor trebui să aibă o cunoaştere amănunţită a pieţei de securitate a informaţiei atât locală, cât şi globală, pentru a vă putea informa şi a putea face recomandări care să ajute la creşterea organizaţiei dvs. Serviciile, precum auditul, “penetration testing”, documentarea unor proceduri şi politici de securitate, “construcţia” şi implementarea soluţiilor de securitate,”disaster recovery”-ul, trainingul şi instruirea, monitorizarea şi managementul proactiv le lăsaţi, mai bine, în mâna experţilor - adică a “outsourcer-ilor” dvs. Un bun “outsourcer” va fi capabil să vă furnizeze referinţe şi, acolo unde este posibil, chiar şi cazuri reale pentru a vă demonstra că serviciile sale sunt la nivelul aşteptărilor dvs. Iată, deci, că se poate. De acum vă veţi putea utiliza la maximum toate resursele pentru dezvoltarea business-ului (oricare ar fi acela), fiindcă managementul securităţii informaţiei organizaţiei dumneavoastră este pe mâna celor care ştiu să facă cu adevărat acest lucru.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite