// Читаем статью...

featured

Как обеспечить информационную безопасность при аутсорсинге?

Обычно указывают семь ключевых факторов, обеспечивающих успех аутсорсинговых проектов — безопасность, надежность, масштабируемость, производительность, эффективность, отточенность, возможность развития и управление взаимоотношениями. Всегда в подобном списке на первом месте оказывается безопасность, что логично — и закладывается в стоимость. Более дешевое, но менее адекватное с точки зрения информационной безопасности соглашение с аутсорсером может в конечном итоге обойтись дороже — и по финансовым результатам, и по репутационным рискам. Правда, сомнительно, что тот или иной сервис удовлетворит заказчика, если он не отвечает необходимым бизнесу стандартам безопасности.

Нужно учитывать четыре фактора, обеспечивающие соответствие аутсорсингового контракта стандартам безопасности. Необходимо четко понимать, что именно нужно бизнесу, уметь донести свои ожидания до провайдера услуг, убедиться, что он сможет реализовать поставленную задачу, а также постоянно контролировать статус работ по контракту.

Осознавать, чего хочешь

Требования каждой компании к информационной безопасности определяются, собственно, спецификой бизнеса, а также регуляционными требованиями, уровнем чувствительности к данным и масштабами последствий в случае утечек информации. Например, лечебное учреждение и банк по-разному обеспокоены безопасностью своих данных, однако оба стремятся обеспечить наиболее жесткий контроль за ними, в том числе в соответствии с требованиями регуляторов.

Но даже без этого влияния регулятора есть другие внешние требования к информационной безопасности предприятия — со стороны его клиентов, акционеров или других заинтересованных сторон. Все эти моменты необходимо учитывать при обсуждении вопросов информационной безопасности с сервис-провайдером.

Конкретизировать свои ожидания

Обозначив для себя необходимый стандарт безопасности сервиса, нужно также донести свое видение до собственно поставщика. Важно, чтобы аутсорсер понял и смог обеспечить реализацию выбранной стратегии безопасности. Учитывая большое количество используемых технологий информационной безопасности, возможно, в ходе проекта возникнут определенные сложности, которые должны решать обе стороны, исходя из изначально определенных приоритетов.

Вполне возможно, что для аутсорсера будет достаточно рекомендаций стандартов ISO/IEC 27000. Специфические отраслевые требования (например, в финансовом секторе) охватывают другие, собственные стандарты, учитывающие лучшие практики в данном секторе. Главное при этом избежать путаницы и противоречий с уже существующей в компании политикой безопасности, которая ориентирована на защиту персональных данных и коммерческой информации.

Убедиться в адекватности аутсорсера

Все требования к безопасности сервиса необходимо четко прописать в контракте, чтобы провайдер однозначно понимал все свои обязательства. Самый простой вариант — переложить всю ответственность на аутсорсера — может оказаться в итоге самым неэффективным. Компания-заказчик внешних услуг должна сама изучить все компетенции и возможности поставщика, с тем чтобы оценить, насколько он сможет справиться с поставленной задачей в контексте вопросови нформационной безопасности.

Самый простой вариант — переложить всю ответственность на аутсорсера — может оказаться в итоге самым неэффективным

В частности, нужно вообще определить подходы поставщика услуг к вопросам безопасности: как обеспечивается контроль доступа, мониторинг, аутентификация и верификация. А далее оценить — насколько эти подходы соответствуют выбранной компанией стратегии информационной безопасности.

В целом в безопасности, как и в любом другом виде сервиса, получаешь ровно то, за что платишь. Соответственно, нужно сразу оценить коммерческие возможности и не платить лишнего за избыточные параметры.

Держать руку на пульсе

Быстрая эволюция угроз неизбежно требует максимально гибкого и адаптивного подхода к обеспечению информационной безопасности. Вопросы безопасности должны регулярно обсуждаться с сервис-провайдером. Нужно постоянно контролировать соблюдение положений договора — в том числе, в соответствии с реализуемой политикой информационной безопасности и с требованиями регуляторов. При этом периодически необходим аудит работы провайдера — возможно, с участием третьих сторон.

Стратегия информационной безопасности постоянно меняется — ввиду того, что постоянно меняются угрозы информационной безопасности — вовне и внутри. Появляются новые вирусы, атаки становятся более хитроумными, могут обнаруживаться дополнительные уязвимости или ранее не встречавшиеся конфликты приложений. В новых условиях рынка компаниям и аутсорсерам нужно все более плотно сотрудничать, с тем чтобы обеспечить максимальную безопасность и стабильность бизнеса.

На основе материалов публикации Вильяма Бенна, CNews

Обсуждение

Комментирование этой статьи недоступно.

Комментирование недоступно.

Бухгалтерские услуги и аутсорсинг

Календарь

Июль 2017
Пн Вт Ср Чт Пт Сб Вс
« Авг    
 12
3456789
10111213141516
17181920212223
24252627282930
31