Денис Илюшин, 14/11/23
Денис Илюшин, директор по информационным технологиям Центра морских исследований МГУ им. М.В. Ломоносова (ЦМИ МГУ), рассказал, почему информационную безопасность организации отдали на аутсорсинг.
Запрос со стороны бизнеса
Мы всегда занимались безопасностью самостоятельно: строили файрволы, внедряли антивирусную защиту. Но с тех пор, как наш ЦМИ МГУ стал заключать договоры с крупными компаниями, в которых обязательным условием прописано сохранение конфиденциальности информации, возникла необходимость в разработке целого пакета документов по защите коммерческой тайны. Поэтому потребовалось усилить политики информационной безопасности, и для их исполнения необходима система защиты от рисков ИБ.
Мы искали ПО, которое позволило бы не только защитить компанию, контролировать данные, но и повысить уровень киберграмотности сотрудников, не нарушая их привычную работу, – важно было донести до них необходимость соблюдения мер безопасности.
Свой специалист или аутсорсинг?
Мы пробовали закрывать ИБ-задачи своими силами: изучили рынок решений для информационной безопасности, выбрали DLP-систему и взяли ее для тестирования. В ЦМИ МГУ не было собственной ИБ-службы, поэтому на первом этапе передали работу с системой ИТ-отделу, но, когда разобрались, как именно все устроено, поняли: чтобы качественно заниматься контролем, требуется минимум 4–5 часов в день, которых нет у наших специалистов. Конечно, можно было бы "все" заблокировать, но это риск парализовать работу сотрудников. С DLP должен работать грамотный ИБ-аналитик, в ней нет единой "волшебной кнопки", которая позволила бы с помощью одного нажатия выявить и решить проблемы. Когда мы поняли, что рабочих рук не хватает, перед нами встал выбор: нанять специалиста в штат или подключить аутсорсинг. Исходя из наших потребностей, решили в пользу второго варианта, выбрав услугу ИБ-аутсорсинга на базе решений "СёрчИнформ". Таким образом, мы защитились от внутренних угроз – утечек информации, неправомерного доступа к данным и др.
Почему приняли решение в пользу аутсорсинга – увидели несколько рисков, связанных с наймом специалиста в штат. Во-первых, у любого сотрудника ограниченный набор компетенций, знаний и опыта. Конечно, есть исключения, но хорошего специалиста, который при этом не занят в другой компании, найти крайне сложно. Во-вторых, не учитывая ситуации, когда компании могут позволить себе нанять целый ИБ-отдел, при найме специалиста в штат безопасность организации попадает в зависимость от компетенций одного ИБ-сотрудника. Если он столкнется с проблемой, которую не сможет решить из-за нехватки знаний, то в защите компании легко образуется брешь. В-третьих, если ИБ-специалист заболеет или уйдет в отпуск, то контроль за безопасностью остановится, так как проводить мониторинг будет некому. В противовес всему этому – при аутсорсинге ИБ заключается договор с компанией, в которой работает много взаимозаменяемых специалистов, что дает больше гибкости, компетенций и разнообразного опыта для предотвращения рисков. В работе всегда могут подстраховать коллеги, а если возникнет сложная задача, то ее решат совместными усилиями. Не будет ступора и долгого чтения мануалов, чтобы понять, как и что работает в системе. В этом смысле аутсорсинг показался нам более эффективным и удобным.
Учить ученого
В Центре морских исследований МГУ работают в основном ученые, наши задачи отличаются от задач коммерческих фирм. У нас нет кассы, мы не занимаемся агрегацией большого количества персональных данных. В первую очередь нам важно защищать разработки и исследования, которые проводим в рамках сотрудничества с другими компаниями, а во вторую – обучать сотрудников правилам ИБ через практику.
Возьмем документацию: в организации есть пачка документов по информационной безопасности, условно 500 листов, – все наизусть не выучишь. Кроме того, у нас семь основных направлений деятельности, у каждого свои бизнес-процессы: есть "полевики", гидрометеорологи, заведующий складом, специалисты по математическим расчетам, разработчики и др. Неправильно подходить ко всем специалистам с одной линейкой и говорить: работаем только так, вне зависимости от особенностей вашего направления.
Однако хочется, чтобы все специалисты работали с информацией грамотно с точки зрения безопасности. Наличие DLP-системы, помимо прямой задачи по защите предприятия, действует на персонал как сдерживающий механизм. Само знание о том, что в компании используют систему ИБ, заставляет сотрудника задуматься: "Правильно ли я делаю и нужно ли так поступать?"
Например, мы выявили привычку сотрудников, которая шла вразрез с принятой политикой парольной защиты. Специалисты "кидали" друг другу пароли или собирали их в какой-нибудь документ для простой пересылки. С точки зрения информационной безопасности это очень деструктивная практика. Хоть ничего плохого не произошло, решили скорректировать процесс. Мы предложили сотрудникам более безопасную и удобную альтернативу – ввели дополнительный софт для обмена паролями. Теперь мы знаем, что люди могут обмениваться паролями в более комфортной и безопасной среде, за которую не беспокоимся.
DLP-система позволяет проверять соблюдение политик безопасности, оперативно находить как единичные, так и массовые нарушения, а в сотрудничестве с аутсорсером ИБ – быстро заметить инцидент и реагировать на него в режиме реального времени. Мы и раньше могли иногда пройтись по офису в качестве профилактики, например проверить, не клеят ли сотрудники пароли на монитор, но делали это не так часто. Сейчас, если что-то произошло, приходим через 20–30 минут и объясняем, почему так делать неправильно. Сотрудники относятся с пониманием, корректируют свои действия, содействуют, чтобы не вредить защите компании.
Если сотрудник ошибся, это не означает, что он плохой. Возможно, он не до конца понимает, как правильно. Поэтому мы регулярно проводим лекции на тему ИБ: даем базовые понятия, рассказываем, как это устроено у нас, какие политики безопасности используем, в чем их суть, где можно почитать о них подробнее. Если что-то произойдет у одного сотрудника, то достаточно поговорить с ним, но если это массовые случаи, значит, нужно доработать внутренние процессы. Бывают ситуации, когда то, что хочет реализовать служба безопасности, оказывается неудобным и мешает эффективности команды, тогда мы прислушиваемся к сотрудникам и решаем проблему.
Как подготовиться к аутсорсингу ИБ
Несколько моментов, которые стоит учесть при выборе услуги ИБ-аутсорсинга.
- Заключайте NDA с компанией-аутсорсером. Этого действия достаточно, чтобы о внутренних проблемах компании не узнали третьи лица, общественность, а также чтобы снизить тревогу руководства по этому поводу.
- Налаживайте взаимодействие с внешним ИБ-специалистом. Необходимо время, чтобы "притереться" и оптимально выстроить совместную работу: четко понять и донести ИБ-аналитику, какие задачи являются для вас первостепенными, где видите риски, в каком режиме удобно работать и пр.
- Решите, на чьей стороне железо. Можно сделать так, чтобы серверы и данные были на стороне компании, тогда аутсорсер будет работать дистанционно на вашем рабочем месте. Здесь есть вариативность.
- Оцените собственные возможности для использования аутсорсинга ИБ. Чтобы пользоваться услугой защиты данных, нам было необходимо разработать документальную базу, купить железо, оплатить софт, расставить его на рабочих станциях. Но есть более облегченные варианты работы, например в зависимости от ресурсов необходимое оборудование и ПО можно взять в аренду у специалистов по аутсорсингу, а дальше в дело вступит внешний ИБ-аналитик, который будет отслеживать и анализировать ситуацию, готовить отчеты и реагировать на инциденты.
Учитывая наш опыт, могу сказать, что многому приходилось учиться на ходу. Поэтому было важно поддерживать хорошую коммуникацию с ИБ-аутсорсером, чтобы получать разъяснения и оперативно решать проблемы.
Выводы из опыта
Нужно ли ходить к стоматологу раз в полгода? Нужно! Но очень многие этого не делают. Зато, когда зуб заболит, все бегут на прием. Приблизительно то же самое можно сказать об информационной безопасности. Ей необходимо заниматься проактивно всем компаниям, независимо от размера и отрасли, а не ждать первого серьезного инцидента, выстраивая защиту, разгребая последствия.
Если создать реальную модель угроз для вашей компании, а не просто скопировать общие слова из Википедии, то вы поймете, что вокруг довольно много рисков. Другое дело, как к этому относиться. Если вы понимаете, что определенные угрозы из модели очень вероятны или реальны, тогда необходимо озаботиться покупкой DLP-системы или попробовать услугу ИБ-аутсорсинга. Если же большая часть угроз из этой модели вам представляется мнимой, тогда можно ограничиться более простыми инструментами, например установкой антивирусной защиты или изменением модели доступа. Однако, как только вы начнете расти, будут расти и риски ИБ. Поэтому надо всегда сверяться с моделью угроз, отталкиваясь от нее при построении системы информационной безопасности.
Франшиза по аутсорсингу ИБ
В июне этого года "СёрчИнформ" запустила франшизу по аутсорсингу информационной безопасности – это первая франшиза в области ИБ в России. Первые партнеры вендора уже закончили обучение и начали оказывать услуги в своих регионах. Компания с 2019 г. развивала это направление самостоятельно, за четыре года порядка 200 компаний воспользовались сервисом ИБ от "СёрчИнформ".
ИБ-аутсорсинг – услуга под ключ, которая помогает закрыть вопросы безопасности без больших временных и финансовых трат на поиск и обучение специалистов, настройку системы. Услугу можно взять для тестирования – за один месяц она поможет увидеть "болевые точки" компании.
