Контакты
Подписка 2024
Статьи по информационной безопасности

Импортозамещение подталкивает компании к использованию аутсорсинга

Анна Андреева, 13/09/22

Анна Андреева, основатель и генеральный директор компании Information Security Lab, поделилась интересным взглядом на актуальные угрозы информационной безопасности, ситуацию с импортозамещением и организацию аутсорсинга.

– Анна, расскажите немного о себе.

– Родилась в Нижнем Новгороде, будучи еще ребенком, вместе с родителями переехала в Москву. Все детство и сознательные годы прожила в столице нашей Родины: здесь росла, становилась личностью. Когда после школы передо мной возник вопрос выбора профессии, то была немного растеряна. До сих пор считаю, что в 17–18 лет очень сложно определить будущую специальность. Тем не менее уже тогда я была достаточно амбициозна, поэтому неудивительно, что в итоге выбрала финансовую сферу – она должна была привести меня к организации собственного дела.

В те годы профессия экономиста была очень популярна, выбрав ее, я поступила правильно. На текущий момент 90% моей деятельности связаны с управлением, финансами и экономическим развитием компании. Процессы, происходящие в информационной безопасности, я тоже вижу через призму финансовой сферы. Правда, во времена моей учебы не было ни информационной безопасности, ни такого понятия, как информационные технологии. Мы тогда только "слезли" с модема и радовались широкополосному Интернету – достигли так называемого обывательского уровня пользователей.

Сначала работала в консалтинге, набиралась опыта, взаимодействуя с различными видами бизнеса, в том числе с теми, которые наиболее подвержены репутационным и финансовым рискам. Именно в этот момент начал зарождаться интерес к информационной безопасности. Со стороны компаний всегда прослеживалось пренебрежение к защите информации: пока не было прецедентов, казалось, утечки информации и последующие финансовые потери их не коснутся. Тем не менее я обращала внимание на это, потому что зачастую на кону были миллионные контракты. Мне нужны были гарантии, что аналитические сводки, которые я передаю, будут должным образом защищены, переданы нужному адресату и консультативная работа не попадает не в те руки. Тема информационной безопасности меня очень увлекла. Постепенно в моем окружении становилось все больше специалистов из ИБ- и ИТ-сферы.

– Как создавалась "Лаборатория информационной безопасности"?

– Изначально нас было всего несколько человек, заинтересованных темой развития информационной безопасности. Занимаясь консалтингом, я часто сталкивалась с несерьезным отношением бизнеса к защите информации: кражи данных случались очень часто и влекли за собой значительные финансовые и репутационные потери. Со мной рядом оказались единомышленники, которые понимали, что будущее за услугами и инструментами для защиты информации. Уже тогда обнаружился интерес к этой теме со стороны регуляторов. Но компанию начинали строить на чистом энтузиазме. Сначала это было больше похоже на хобби, а не на бизнес. Мы с коллегами занимались развитием наших идей в свободное время. Это не было полноценной работой с 9 утра до 18 вечера. У нас были небольшие заказы, но не бизнес.

В таком формате наша команда просуществовала лет пять. А потом началось основное развитие компании. Ситуация в России сложилась таким образом, что информационная безопасность уже не была чем-то чуждым или диковинным – с развитием информационных технологий, с появлением большего числа специалистов она стала выходить на первый план. И мы естественным образом вклинились в этот процесс, так как идеи развития нашего бизнеса полностью соответствовали повестке дня. Другими словами, спрос родил предложение.

Для некоторых процессов нужно время. Можно вложить в дело финансы, знания и другие ресурсы, но, пока не пройдет время, не наступит подходящий момент, развития не будет. И вот это подходящее для информационной безопасности время наступило. Этот рынок еще довольно молодой, но уже активно развивающийся.

– На каком этапе развития "Лаборатория информационной безопасности" сейчас?

– У нас есть некоторые отлаженные процессы и, самое главное, люди – сплоченная команда, в которой есть доверие и понимание общих целей. Сейчас у нас идет этап активного роста, который немного сдерживается внешними факторами. Планомерное развитие, может быть небыстрое, но зато более уверенное и устойчивое, сейчас важнее – ведь мы строим фундамент.

– Кто ваши заказчики?

– Мы очень хорошо понимаем друг друга с компаниями из финансовой сферы, промышленной, ИТ. То есть с теми, кто осознает, что именно потеряет из-за угроз безопасности. Перед ними не стоит выбор – строить у себя информационную безопасность или нет. Вопрос только – в каком виде.

Сейчас многим компаниям не хватает понимания, что информационной безопасностью нужно заниматься непрерывно. Это не тот процесс, для которого можно однажды закупить ПО, инструменты, оборудование и забыть. Бизнесу нужно время для осознания, что безопасность организации – это сфера, где фокус внимания должен быть постоянным.

– На данный момент рынок испытывает потребность в санкционно устойчивых защищенных системах, то есть в продуктах, которые могут заменить импортные. Можно ли сказать, что сейчас благоприятное время для того, чтобы захватывать внимание заказчиков?

– Это спорный момент. С одной стороны, время, возможно, и благоприятное, но с другой стороны – сейчас многие факторы работают против нас. Нужно играть как будто вопреки. До этого момента спроса на российскую продукцию было меньше, но условий для ее создания и развития больше. Можно было в спокойном режиме создавать решения, изучать опыт других. В настоящее время многие возможности закрываются и начинается активная конкуренция с теми, у кого ресурсов изначально больше.

– Интересует ли вас госсектор в качестве потенциальных заказчиков?

– Госсектор нас интересует, и мы планируем наращивать взаимодействие с государственными компаниями. Сейчас в основном работаем с другими направлениями: небольшие ИТ-структуры, финтех очень интересен, промышленные предприятия.

– Как вы осуществляете выбор решений? По каким критериям выбираете вендоров? Отталкиваетесь от потребностей заказчика или от продукции?

– Прежде всего, активно сотрудничаем с вендорами, у нас много стратегических партнерских соглашений. Сейчас компании переходят на другие сервисы, что несколько болезненно для них. Information Security Lab старается сделать выбор новой продукции максимально прозрачным и предлагает "тест-драйв". Взаимодействует с вендорами на этапе продажи, занимается внедрением и сопровождением продуктов, то есть помогает плавно и безболезненно перейти на новые решения.

Мы всегда начинаем с потребности заказчика в каком-то конкретном решении. Замена иностранного решения одним линейным российским аналогом – это редкость. Гораздо чаще бывает, что мы заменяем одно иностранное решение на пять российских, которые дополняют друг друга. Это не в упрек российским решениям, но нельзя отрицать отставание.

Просто так заменить иностранное решение быстро не получится. Сначала нужно определить критически важный функционал для заказчика: что заменяем в первую очередь, что во вторую очередь, а что в третью.

Обычно заказчики – это не те, кто занимается информационной безопасностью на постоянной основе. Как правило, это компании, перед которыми возникла задача обеспечения ИБ, и ее нужно оперативно решить, чтобы сохранить свой бизнес. Мы стараемся предложить им решения, которые в наибольшей степени упростят эту задачу. Наши специалисты подбирают именно то решение, которое не просто максимально точно заменяет иностранное, но и наилучшим образом соответствует интересам заказчика, включая соблюдения требований законодательства и регуляторов.

– Анна, возвращаясь к теме создания компании: как вы подбирали команду? Вы уже сказали, что все начиналось с единомышленников, а сколько человек работает в компании сейчас, планируете ли дальнейшем увеличивать штат?

– Сейчас в компании работает не более 20 человек. К формированию команды у нас достаточно практичный подход: есть определенные задачи, для выполнения которых нужны люди с конкретными компетенциями, – так и набираем. У нас нет цели раздувать штат, потому что чем больше людей, тем больше нужно ресурсов коллективу, чтобы он нормально взаимодействовал. Каждый дополнительный человек – это звено цепочки, которое требует внимания и регламентов.

Рынок информационной безопасности достаточно закрытый, в нем нет каких-то совсем неизвестных людей, кто-то кого-то всегда знает. При найме я целиком доверяю рекомендациям коллег. Как правило, кейсы кандидата уже говорят сами за себя, и остается посмотреть, подходит ли человек в команду. Мы берем только командных игроков. Пока у нас нет огромного штата, где нужен постоянный поток новых людей.

– Как вы удерживаете сотрудников? Сотрудник, который пришел по рекомендации, наверное, тоже ожидает какой-то отдачи от компании?

– На собеседовании мы рассказываем, как у нас все устроено, а насколько человеку это подходит, каждый определяет сам. Конечно, не стоит забывать о деньгах. Это, безусловно, краткосрочная мотивация, но работающая, особенно в условиях инфляции. Естественно, финансовый фактор нельзя оставлять как единственный вариант. Прибавьте к этому уникальность и сложность проектов – для опытных специалистов хорошим стимулом является возможность сделать что-то новое и нестандартное.

– То есть у вас в компании больше возможностей для горизонтального типа развития карьеры, чем для вертикального?

– Да, пока это так. Чем больше вертикаль, тем больше требуется административного ресурса для управления этой вертикалью. Мне нравится идея именно горизонтального типа развития. Традиционная вертикальная система иерархии, наверное, хороша тем, что ей легко управлять: руководитель сказал – подчиненные делают. Горизонтальную систему строить сложнее, но она автономна. Каждый сотрудник в горизонтальной структуре берет ответственность на себя и осознает рамки, в которых может действовать. Например, прежде чем принять какое-то решение по клиенту, он должен поговорить еще с двумя коллегами, которые знакомы с нюансами, услышать их мнение. Такую диверсификацию мнений и рисков сложнее выстроить и делегировать сотрудникам. Но благодаря такому подходу получается очень устойчивая система. Я верю, что у горизонтального типа управления большие перспективы.

– Вы делаете ставку на готовых "самоходных" сотрудников, над которыми не нужно постоянно нависать, говорить, что делать, тратить много административных ресурсов, как при наборе студентов, например. Это интересный опыт, потому что многие стараются нанимать студентов и уже из них растить специалистов.

– Мы вообще не берем студентов. Я уделяю большое внимание опыту кандидата. Когда есть опыт, то на него достаточно легко нанизывать разные знания, кейсы, фишки и т. д. Например, такой человек может прийти на конференцию и почерпнуть там для себя информацию, которая даст ему стимул для профессионального развития. Но все меняется, когда мы говорим про молодых сотрудников. Если мы берем студента, только вышедшего из института с теоретическими знаниями или еще учащегося, то у нас перед ним возникает ответственность, суть которой заключается в том, чтобы создать условия для освоения практических навыков.

Заниматься этим "на коленке" – плохая практика. Для обучения студентов в компании должно быть отдельное направление. Конечно, есть категория самоучек, которые могут самостоятельно перелопатить весь материал, дорыться до истины, но это редкость.

– Давайте вновь обратимся к теме импортозамещения. Как ваша компания может нивелировать эффект от санкций? В вашем пакете решений только российские вендоры или иностранные тоже остались? Есть ли какой-то спрос на их продукцию сейчас?

– Сейчас мы практически не предлагаем иностранных решений. Их мало. Есть решения из Азии, наших китайских партнеров. Но в нынешних условиях компания сильно углубилась в изучение продуктов российского рынка. Мы постоянно на связи с российскими производителями решений для информационной безопасности, так как являемся связующим звеном между заказчиком и вендором.

– Обеспечиваете обратную связь с вендорами касательно того, что нужно доработать в их продуктах?

– Да. Мы отправляем сотрудников на обучение по российским продуктам, потому что иностранные решения им были знакомы, а наши, увы, нет. То есть стараемся максимально быстро переквалифицировать сотрудников, чтобы они лучше разбирались в отечественных продуктах. Мы, конечно, не всемогущи, но стараемся сделать наиболее безболезненным переход от зарубежных решений к российским.

– Отечественные решения дешевле по сравнению с импортными?

– Это не такой простой вопрос. Отечественное решение может быть дешевле при покупке, но по итоговой стоимости его внедрение и обслуживание сопоставимо с импортным.

Несколько лет назад, когда начали говорить про импортозамещение, все посмеивались. Потом стали призадумываться. А теперь все поняли, что импортозамещение – это необходимость, будущее, которое уже наступило, хотели мы того или нет.

– Вы упомянули про поддержку решений, которые предлагаете. Какие услуги в этом направлении вы оказываете, это поддержка 24/7?

– Есть два сценария развития этой ситуации: компания может организовать самостоятельно поддержку решений либо привлечь кого-то со стороны. В "Лаборатории информационной безопасности" мы занимаемся развитием этого направления. Можем либо внедрить решение и после передать его обслуживание дальше, либо внедрить и продолжить обслуживание. Во втором случае заказчик получает готовый проект и дальнейший сервис под ключ.

Некоторое время назад компании испытывали сложности с поддержкой решений из-за существующего недоверия к аутсорсингу ввиду рисков информационной безопасности, связанных с конфиденциальностью. Сейчас ситуация другая: доверия к ИБ-компаниям стало больше, есть успешные примеры работы аутсорсинговых компаний. Опять же, ИБ-рынок достаточно закрытый, все друг с другом общаются. Сложность развития ИТ-решений внутри компании заключается в том, что это не только достаточно дорого, но и трудозатратно. Поэтому сейчас тренд на аутсорсинг. Заказчикам финансово выгоднее и эффективнее сотрудничать с аутсорсинговыми компаниями, чем содержать у себя штат ИБ-специалистов.

– Но все-таки всегда существует риск потенциальной утечки информации, так как предоставляется доступ внешним специалистам к данным компании. Как вы работаете с такого рода возражениями?

– Доступ предоставляется компании, которая профильно занимается информационной безопасностью. В информационной безопасности есть понятие "адекватность принимаемых мер".

Конечно, ни мы, ни любая другая компания не можем защититься вообще от всего, но можем максимально минимизировать риски. Компания, оказывающая услуги по информационной безопасности, в первую очередь должна быть уверена в собственной безопасности и безопасности своих бизнес-процессов.

– Существует какой-то пробный или тестовый период для аутсорсинга?

– Как такового пробного периода нет. Есть "тест-драйв", когда заказчик может оценить решение. Если говорить про пробный период у услуги, то здесь возникает подмена понятий: ведь данные нам уже передали, по сути доступ уже получен, а на какой период – значения не имеет.

Мы давно на рынке и очень заботимся о своей репутации. Самое болезненное, уязвимое – это репутация, а на ИБ-рынке тем более.

– Какая сейчас самая актуальная и опасная угроза в сфере информационной безопасности?

– Здесь неправильно говорить о каких-то конкретных инструментах, которые могут стать угрозой. Самую большую опасность представляет собой несистемный подход к информационной безопасности. Система всегда лучше, чем несколько отдельных элементов, она всегда более сбалансирована. Если изначально у руководства компании нет цели сделать из решений систему безопасности, то, мне кажется, это самая опасная ситуация.

Шифровальщики, DDoS-атаки вроде отступили немного, но надолго ли? Инструменты могут быть разными и меняться со временем, но самое опасное, когда нет фокуса на построении системного подхода, потому что возникает латентная постоянная угроза.

Злоумышленники тоже не стоят на месте, их технологии постоянно развиваются, хорошо финансируются. Поэтому необходимо понимать, что информационная безопасность – это не конечный проект, а постоянный процесс самосовершенствования: развитие технологий, использование лучших практик, обмен опытом и т. п.

– Каков ваш прогноз по импортозамещению на ближайшее будущее?

– Скорее всего, будет просадка по качеству и удобству решений. Она продлится какое-то время, потому что невозможно за месяц или за год построить то, на что нужны десятилетия. Но я верю, что найдутся предприниматели, которые смогут создать конкурентоспособные решения. Надо немного подождать.
Темы:ИнтервьюПерсоныЖурнал "Информационная безопасность" №3, 2022

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Главное, чтобы исследователь не ушел от нас с негативной реакцией
    Ольга Гурулева, директор департамента информационной безопасности “Группы Астра”
    В 2023 г. в “Группе Астра" была запущена корпоративная программа BugBounty. Это первый опыт среди российских разработчиков операционных систем. Ольга Гурулева, директор департамента информационной безопасности “Группы Астра”, ответила на вопросы о ходе программы и ее результатах.
  • Новые горизонты защиты: как ИИ революционизирует информационную безопасность
    Юрий Иванов, технический директор ООО “АВ Софт”, руководитель направления машинного обучения, к.т.н.
    Юрий Иванов, технический директор ООО “АВ Софт”, руководитель направления машинного обучения, к.т.н., поделился своим опытом реального применения элементов ИИ в продуктах для информационной безопасности.
  • Мы добились почти нулевого false positive на WAF
    Андрей Усенок, руководитель по информационной безопасности Авито
    Андрей Усенюк, руководитель по информационной безопасности Авито, рассказал, как выстроить эффективную инфраструктуру безопасности и при чем тут Web Application Firewall, а также о том, как выбрать и “приручить” свой WAF, чтобы снизить риски атак и утечек данных.
  • Инновации и безопасность – приоритеты "Сколково"
    Игорь Соловьев, директор департамента информационных систем и сервисов “Сколково”
    ”Cколково” не просто помогает стартапам, это еще и целый город со своей инфраструктурой, образовательной системой, жилыми кварталами. О том, как обеспечить безопасность экосистемы, не жертвуя при этом развитием цифровизации, рассказал Игорь Соловьев, директор департамента информационных систем и сервисов “Сколково”.
  • Российские NGFW успешно захватывают долю мирового рынка информационной безопасности
    Дмитрий Хомутов, директор компании “Айдеко”
    Успешные компании рождаются не только в американских гаражах или Силиконовой долине, но и в общежитиях российских вузов. Дмитрий Хомутов, директор компании Ideco, рассказал о саморазвитии, импортозамещении, госрегулировании ИБ-рынка и влиянии заказчиков на вендоров.
  • То, что мы делаем, реально работает
    Сергей Никитин, руководитель группы управления продуктами компании “Газинформсервис”
    Беседуем с Сергеем Никитиным, руководителем группы управления продуктами компании “Газинформсервис”, о том, как непросто заслужить доверие заказчиков, о важности синергии продуктов российских разработчиков и о том, почему термин “экосистема” не стоит применять к программам.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"