Поддержание информационной безопасности в рамках ИТ аутсорсинга

Информационная безопасность компании в наши дни является одним из непреложных условий не только ее успешности, но и самого выживания на рынке. Высокая конкуренция и применяемые в связи с этим порой нечестные методы вынуждают как отечественные, так и зарубежные предприятия постоянно наращивать свой арсенал средств борьбы с угрозами несанкционированного доступа и разглашения секретной информации. Развитие технологий позволяет максимально автоматизировать эту задачу, сделав ее решение наиболее эффективным. ИТ аутсорсинг в этом случае становится одним из самых правильных решений, несущих в себе немалые выгоды. Главное – изначально верно выбрать поставщика ИТ услуг.

Компания ALP Group давно зарекомендовала себя в качестве сильного игрока на рынке, способного устранять самые серьезные проблемы и полностью удовлетворять потребности заказчиков. Наши специалисты всегда готовы применить на практике свой опыт и знания, встав на защиту информационной безопасности вашей организации. И для этого мы обладаем всеми необходимыми средствами и возможностями.

Как защититься от чужого вторжения?

Типовые решения, обычно использующиеся при массовом хостинге, изначально не могут быть рассчитаны на обслуживание предприятий, имеющих специальные требования к уровню конфиденциальности и защиты информации. Если потенциальный клиент обращается к ответственному аутсорсеру, со стороны последнего уделяется особое внимание обеспечению максимально высокого уровня информационной безопасности. Серьезность отношения к этому вопросу можно считать одним из индикаторов, с помощью которых можно определить качество работы внешнего поставщика ИТ услуг.

Ключевые принципы построения политики безопасности при ИТ аутсорсинге:

• задействование комплекса специальных аппаратных, программных, административных и организационных средств и методов обеспечения для организации безопасной работы с секретными данными для различных групп пользователей;
• обеспечение защиты их прав;
• формирование прозрачной и эффективной системы безопасности для персонала предприятия-заказчика;
• быстрое реагирование на возможность угрозы вторжения в систему и предупреждение вероятности ее возникновения;
• открытая политика предоставления отчетности заказчику и защита его интересов.

В наше время информационную безопасность невозможно представить без создания многоуровневой системы защиты. В большинстве случаев она состоит из следующих элементов:

• технические средства, необходимые для того, чтобы можно было обеспечить безопасность корпоративных данных: сетевые экраны (firewall), сканеры сетевых вторжений (IDS), многоуровневая архитектура сети с изоляцией портов и сформированным списком доступа, журнала событий, ведение постоянного мониторинга, антивирусная защита, способы повышения надежности хранения конфиденциальных данных;
• средства физической защиты, включая контролирование доступа в техзоны, создание защитного периметра и пропускной системы, видеонаблюдение, биометрическую аутентификацию операторов сетей;
• организационные действия и процедуры, обеспечивающие наивысшую безопасность данных, в частности, создание регламента мониторинга и реакции на появившуюся опасность, организация хранилища конфиденциальных сведений;
• меры по обеспечению собственной безопасности, куда входит формирование внутреннего порядка хранения, обновления, а также передачи паролей и соблюдения прав доступа для персонала компании.

На практике доказано, что ИТ аутсорсинг помогает повысить уровень безопасности ИТ инфраструктуры организации с помощью высокотехнологичных методов защиты данных, которые эффективно могут использовать только профессионалы, имеющие специализацию в данной сфере и накопленные опыт и знания. Всем этим требованиям в полной мере отвечает и компания ALP Group.

Передача на ИТ аутсорсинг функций по обеспечению ИБ (информационной безопасности)

В последние десятилетия уже достаточно большое число отечественных организаций пошли на довольно-таки, как может сначала показаться, рискованный шаг: они передали на ИТ аутсорсинг полное обслуживание своей информационной системы, фактически предоставив сотрудникам компании-аутсорсера доступ к конфиденциальным сведениям. Одновременно критически значимая информация остается доступной и для ряда штатных сотрудников предприятия-заказчика. Это означает, что связанные с опасностью разглашения или даже хищения данных риски могут практически удвоиться. Вместе с тем, степень ответственности внутренних и внешних структур не всегда возможно определить с большой точностью.

Несмотря на это, передача каких-либо функций или же всей ИТ структуры сторонним поставщикам ИТ услуг становится все более и более распространенной. Однако для немалого числа потенциальных заказчиков аутсорсеров одним из главных препятствий на пути к широкому использованию услуг ИТ аутсорсинга по-прежнему остается проблема поддержания информационной безопасности. В большинстве случаев она возникает из-за пристрастного отношения технического руководства, поскольку невысокий уровень доверия к внешней бизнес-среде все же наблюдается еще у многих топ-менеджеров и владельцев компаний. В связи с этим ИТ аутсорсинг и воспринимается как увеличение риска кражи ценной информации.

В то же время задачу обеспечения ИБ можно поручить внешней фирме, специализирующейся на этих услугах. Это поможет привлечь к проектированию, реализации и в последующем поддержке систем безопасности данных специалистов с самой высокой квалификацией, чье содержание в штате обошлось бы заказчику намного дороже, чем услуги аутсорсера.

Как показывают исследования данного вопроса, привлечение внешнего поставщика ИТ услуг приводит к повышению эффективности функционирования системы безопасности и понижению суммарных затрат. К тому же клиентское предприятие получает недоступную прежде возможность быстрой оптимизации и при необходимости масштабирования своей системы ИБ. Конечно, проблемы с соблюдением конфиденциальности, сохранением доступа и целостности важных данных полностью исключать нельзя. Услуги аутсорсера в сфере поддержания секретности коммерческой информации будут наиболее безопасными, если в этой организации нет текучести кадров. Именно так обстоит дело у ALP Group, поэтому не нужно сомневаться в том, что нам можно доверить информационную защиту вашего предприятия, и мы полностью оправдаем это доверие.

Как контролировать аутсорсера?

Понятно, что заказчику будет очень трудно проконтролировать ситуацию с персоналом у аутсорсера. Если она высока, информационная безопасность клиентской организации может быть под угрозой. По этой причине необходимо уделить повышенное внимание разработке пунктов, касающихся возможного нарушения конфиденциальности в SLA – Соглашении об уровне сервиса, которое обязательно составляется при заключении договора между аутсорсинговой фирмой и ее заказчиком.

В нем должны быть предусмотрены способы контроля над деятельностью провайдера услуг со стороны ее клиента, а также размеры компенсации, если утечка информации все же произошла. В то же время не стоит забывать о том, что угрозы внутри компании могут быть намного опаснее, чем даже внешние. Иногда конфликтующий с руководством сотрудник способен причинить вред родному предприятию специально. Вот и еще одно преимущество ИТ аутсорсинга: при нем такое невозможно, так как специалисты не имеют прямых трудовых отношений с организацией-заказчиком, состоя в штате специализированной фирмы.

Плюс грамотно составленное SLA поможет регламентировать взаимные обязательства обеих сторон при, например, временной недоступности ИТ сервисов. При этом степень ответственности провайдера услуг может многократно превышать степень ответственности системного администратора, работающего в штате заказчика. А это заставляет аутсорсера стремиться выполнять свои обязательства как можно лучше.

Полный контроль над системой

Аутсорсинговые организации, специализирующиеся в сфере ИБ, во многих случаях отвечают и за работу системы защиты периметра информационных сетей. Сюда входит и контроль интернет-трафика, и поддержание безопасности шлюзов и серверов, и формирование и управление VPN сетей. Самой востребованной услугой в настоящий момент является защита корпоративной почты, что вполне объяснимо.

Аутсорсерам поручается и задача выявления внешних сетевых угроз. С помощью новейших программно-аппаратных средств многие функции можно выполнять максимально эффективно даже в удаленном режиме.

Для того, чтобы держать под контролем интернет-трафик, широко используются прокси-серверы, находящиеся на территории аутсорсера, что помогает ускорить реакцию ИТ специалистов при возникновении каких-либо сбоев.

К тому же наиболее часто встречающимся критерием оценки вероятных рисков по-прежнему остается доступность сервисов, переданных на ИТ аутсорсинг.

Влияние передачи серверов на обслуживание в ЦОД на уровень ИБ

Как показывает практика, передача серверов компании на обслуживание в ЦОД аутсорсера способна в значительной степени повысить их устойчивость к различного рода угрозам. Каждый дата-центр должен быть снабжен системой обеспечения требуемого для бесперебойной работы устройств микроклимата и эффективной системой пожаротушения, не использующей жидкость для ликвидации очага возгорания, а значит, и не способной повредить оборудование ЦОД. Плюс центры обработки данных принято оснащать новейшими системами видеонаблюдения для постоянного контроля доступа к действующей аппаратуре.

Пожалуй, даже неспециалистам хорошо известно, что в последнее время одним из самых распространенных способов вывода из строя серверного оборудования стало применение DDoS-атак. Даже крупнейшие мировые корпорации не раз подвергались нападениям злоумышленников и несли существенные убытки. Наличие же резервных каналов от различных интернет-провайдеров в ЦОД аутсорсера может помешать любой попытке вызвать отказ при обслуживании информационной системы. К тому же далеко не каждая организация может позволить себе иметь собственное серверное помещение, оснащенное по последнему слову техники. Это еще одна важная причина, делающая ИТ аутсорсинг еще более выгодным для заказчика. Исключением в этом случае может стать только критически важная информация, для хранения которой приходится предпринимать особые меры безопасности.

Если руководство компании больше всего заинтересовано в сохранении своих коммерческих тайн, ему придется досконально выяснить, является ли поддержание информационной безопасности одной из ключевых специализаций аутсорсера и насколько хорошо он справляется с этой задачей. От этого напрямую должен зависеть окончательный выбор аутсорсинговой компании, у которой, как говорится, «по умолчанию» должна быть и соответствующая реализуемым проектам техническая база, и высококвалифицированный персонал, и хорошие отзывы клиентов.

Все это присутствует у ALP Group. Мы всегда готовы предложить вам свои услуги в сфере обслуживания ИТ инфраструктуры – обращайтесь в нашу компанию, и мы вместе подберем наиболее подходящее для осуществления ваших бизнес-задач и достижения важных целей решение.