Эксперты об аутсорсинге ИТ-безопасности
Аутсорсинг бизнес-процессов и потребностей в сфере информационных технологий набирает все большую популярность как в мире, так и в России. Естественно, эта тенденция не могла не отразиться на проблеме обеспечения ИТ-безопасности, которая обычно решается силами собственного персонала и при помощи приобретенных средств защиты. Чтобы разобраться в том, что собой представляет аутсорсинг ИТ-безопасности и в каких случаях им следует пользоваться, мы обратились к Андрею Никишину, директору направления сервисных решений «Лаборатории Касперского».
КомпьютерПресс: Андрей, Как вы определяете аутсорсинг ИТ-безопасности? Какие задачи он позволяет решить и как осуществляется?
Андрей Никишин: Аутсорсинг вообще — это передача стороннему подрядчику некоторых бизнес-функций или части бизнес-процесса компании. Делается это с целью концентрации собственных усилий на традиционных работах, выполняемых персоналом компании и ее собственными ресурсами. Передавать на аутсорсинг можно все бизнес-процессы, которые не являются основными (core competence) для компании, начиная от приемной и бухгалтерии и заканчивая обслуживанием компьютерной техники и программного обеспечения. Такая практика позволяет компании сосредоточиться на ключевых для нее бизнес-процессах. Например, для больницы это будет все, что связано с приемом и лечением пациентов, для магазина — обслуживание покупателей и т.д. Остальное, включая ведение системы ИТ-безопасности, можно и нужно отдать в руки специалистов. Однако, говоря об аутсорсинге систем информационной безопасности, я хотел бы уточнить, что на Западе используется еще термин Managed Security Service (управляемый сервис безопасности) и многие провайдеры таких услуг предпочитают называть себя не аутсорсерами, а MSS-провайдерами.
Андрей Никишин, директор направления сервисных решений «Лаборатории Касперского»
КП: В каких случаях и почему компаниям выгоднее осуществлять ее аутсорсинг ИТ-безопасности? Можете ли вы привести какие-нибудь экономические расчеты?
А.Н.: Я начну с аналогии. Подавляющее большинство мужчин бреется. Часть из нас предпочитает электрические бритвы, а часть — безопасные. Оставим вопрос о качестве бритья, поговорим о стоимости того или иного решения. Хорошая электробритва стоит не в пример дороже станка, но для бритья станком необходимо купить крем для бритья, а также постоянно докупать новые лезвия. То есть начальные вложения в станок ниже, но если подсчитать, во сколько обойдется бритье станком на протяжении года или двух (подсчитать общую стоимость владения), то получится, что электробритва является более экономичным вариантом. Этот пример показывает, что важно учитывать общую стоимость владения (Total Cost of Ownership, TCO), то есть любое решение и приобретение, включая систему ИТ-безопасности, необходимо рассматривать еще и с точки зрения стоимости владения.
КП: Другими словами, вы не согласны с утверждением, что аутсорсинг ИТ-безопасности — это дорогое удовольствие?
АН: Нет. Если бы аутсорсинг не был выгоден, им бы не пользовались. Давайте рассмотрим пример. Есть торговая компания (розничный магазин или гипермаркет — не важно) со своими ИТ-специалистами. Какова их самая главная задача? Не пропустить спам в почтовый ящик генерального директора, настроить новый ноутбук для коммерческого директора или сделать так, чтобы кассовый терминал не давал сбои и не зависала информационная система в 7 вечера, когда основной наплыв покупателей? Когда все делается своими силами, можно не успеть выполнить работу в срок или с приемлемым уровнем качества — квалифицированных рук и времени всегда не хватает. Почему бы не передать часть функций аутсорсеру, а самим сосредоточиться на самом важном для бизнеса. При этом никто не будет говорить, что ИТ-специалисты ничего не делают — они делают как раз самую важную для бизнеса часть работы. В итоге выиграет бизнес компании, причем выигрыш от передачи второстепенных функций аутсорсеру будет весьма существенным.
Если говорить об ИТ-безопасности, то существует еще один важный фактор — кадры. На рынке довольно сложно найти высококвалифицированного специалиста по информационной безопасности, и стоят его услуги очень дорого. А нужен ли такой специалист каждой небольшой, средней или даже крупной компании? Не факт.
КП: Можно ли утверждать, что аутсорсить ИТ-безопасность выгодно преимущественно малому и среднему бизнесу, но не крупному? Почему?
А.Н.: К аутсорсингу прибегают обычно по двум причинам. Первая — не хватает своих ресурсов для решения какой-либо задачи, вторая — ресурсы есть, но при этом хочется использовать их с большей эффективностью и снять с них часть вспомогательных (для основного бизнеса предприятия) задач. Действительно, для малого и среднего бизнеса характерна нехватка ресурсов, в том числе и в ИТ-отделе (зачастую все функции ИТ-отдела выполняет приходящий системный администратор). Для таких компаний характерен бурный рост, и все ресурсы обычно бывают брошены на получение прибыли. В общем, им не до информационных технологий. В больших же компаниях ситуация обратная — есть целые отделы ИТ, в которых работают профессионалы, и ресурсов обычно хватает для решения практически любых задач. То есть ситуация с нехваткой ресурсов характерна скорее для малых и средних компаний, и с этой точки зрения аутсорсинг выгоден именно для них. Более того, некоторые ИТ-специалисты из крупных организаций относятся к аутсорсингу негативно — они полагают, что таким образом у них отнимают хлеб. Но при внимательном изучении деятельности специалистов ИТ-департаментов компаний выясняется, что у них много времени уходит на решение задач, не связанных с основным бизнес-процессом, а важные с точки зрения прибыли задачи остаются нерешенными. В этом случае можно прибегнуть к аутсорсингу для оптимизации деятельности ИТ-отдела и отдать партнеру неключевые функции, например хостинг веб- и почтовых серверов, программирование, обслуживание вычислительной техники, антивирусную или антиспамовую защиту почты и т.д. Тогда у ИТ-специалистов появится больше времени для решения самых важных задач. В результате их работа принесет больше прибыли предприятию. Получается, что, затратив средства на аутсорсинг, предприятие получит дополнительную выгоду. Я уж не говорю о том, что та часть работы, которую отдают аутсорсеру, зачастую выполняется более качественно, чем своими силами. Получается, что услугами аутсорсеров могут пользоваться компании любого размера, только причины, побудившие их к этому, обычно разные.
КП: Можно ли утверждать, что сегодня в России аутсорсинг ИТ-безопасности полностью отсутствует? Чем объясняется такое отставание от Запада?
А.Н.: Не сказал бы, что рынок отсутствует полностью. При желании сейчас можно найти провайдера услуг, который возьмет на себя защиту периметра компании — будет поддерживать межсетевой экран и систему противодействия вторжениям (IDS/IPS), не сложно найти поставщика услуг по поддержке VPN-каналов. Есть и другие предложения. Так что рынок аутсорсинга ИТ-безопасности в России имеется, хотя, конечно, не такой большой и не с таким количеством игроков, как в Европе или США. На мой взгляд, пока не хватает осознания клиентами того факта, что можно заработать, потратив деньги, — просто нет информации. Поэтому для начала необходимо сформировать рынок.
КП: Как бы вы оценили рынок аутсорсинга ИТ-безопасности в России? Каковы его перспективы и темпы роста?
А.Н.: Сложно сказать. Исследований на эту тему, сделанных аналитическими компаниями, я не видел, поэтому могу судить лишь по публикациям в прессе и по разговорам с клиентами и партнерами. По моим оценкам, в прошлом году рынок аутсорсинга ИТ-безопасности был на уровне 10-15 млн. долл. Полагаю, что он будет расти очень высокими темпами — более 50% в год. Столь стремительный рост обусловлен повышенным вниманием к этой услуге со стороны как клиентов (мы получаем все больше вопросов на эту тему), так и провайдеров услуг (за последний год появились новые провайдеры).
КП: Какие игроки уже есть на российском рынке аутсорсинга ИТ-безопасности? Возможно, кто-то пока только готовится к выходу на этот рынок?
А.Н.: Среди крупных игроков я могу назвать такие компании, как Equant, Data Fort, ISG, РТКомм и IBM Global Services. На рынке также присутствует ряд менее крупных игроков. Возможно, на российском рынке аутсорсинга ИТ-безопасности появятся и новые имена.
КП: Планирует ли «Лаборатория Касперского» выходить на рынок аутсорсинга ИТ-безопасности? Как компания собирается дифференцировать свои услуги на этом рынке?
А.Н.: Я бы сказал, что мы уже вышли. Мы довольно осторожно подходили к выходу на рынок управляемых сервисов — взвешивали, разбирались в рынке. Для нас это абсолютно новое бизнес-направление, и вопросов поначалу было очень много. Но в итоге было принято решение о начале работ над проектом, и могу сказать, что сейчас мы уже готовы предоставлять услуги по аутсорсингу проверки почтового трафика для клиента практически любого масштаба — для этого есть и инфраструктура, и программная часть, и партнеры. Наш новый сервис по защите электронной почты называется Kaspersky Hosted Security mailDefend.
КП: Расскажите, пожалуйста, об услугах, которые вы собираетесь предлагать клиентам.
А.Н.: Как работает система водоснабжения в домах? Мы поворачиваем кран, и льется вода. Когда мы задумываемся о том, почему из крана течет чистая вода? Только когда воды нет. В остальное время мы просто пользуемся услугой, и все. Создавая решение, мы исходили из того же принципа: пользователь не должен задумываться, как оно устроено — к нему просто приходит чистая почта, освобожденная от вирусов, спама и нежелательных писем. На себя мы берем всю головную боль, связанную с фильтрацией спама, обнаружением вредоносных и потенциально опасных программ. Причем нам не важно — известный это вирус или только что написанный. В нашем арсенале имеется мощная система проактивной защиты, и мы настолько уверены в качестве ее работы, что можем гарантировать определенный уровень обнаружения вирусов в «Соглашении об уровне обслуживания», которое мы заключаем с клиентами. В общем, мы готовы взять на себя заботу о чистоте почтового потока клиента.
КП: Интересен ли, по вашему мнению, российский рынок аутсорсинга ИТ-безопасности для западных игроков? Когда стоит ждать их появления на нашем рынке?
А.Н.: Полагаю, что крупные игроки зарубежного рынка MSS посматривают в сторону России, но пока осторожничают, так как считают, что наш рынок еще не созрел для аутсорсинга систем информационной безопасности. 10-12 млн. — не та цифра, ради которой сюда пойдут такие западные «монстры», как MessageLabs, Postini, Black Spider и Microsoft. Даже компания Symantec, которая тоже предлагает своим клиентам управляемые сервисы безопасности, пока никак не продвигает подобные решения в России. И это хорошо, потому что мы получили фору и время на завоевание и формирование рынка. Думаю, что год-полтора у нас есть, не больше.
КП: Андрей, вы говорили, что аутсорсинг эффективен. Не могли бы привести хотя бы примерные цифры, доказывающие это? Например, во сколько может обойтись аутсорсинг компании с сотней компьютеризованных рабочих мест?
А.Н.: Я бы не хотел говорить «за всю Одессу». Позвольте мне привести пример из нашей практики. Выше я уже упоминал о совокупной стоимости владения. Так вот, для одного из наших клиентов мы подсчитали TCO для сервиса и определили эффективность его внедрения. Получилось, что экономия составила более 260 рабочих часов за 3 года эксплуатации, то есть 32 рабочих дня. Таким образом, ИТ-специалист компании-клиента высвободил целых полтора месяца рабочего времени. Вот такая экономия получается.
КП: Можно ли утверждать, что перспективный рынок услуг аутсорсинга ИТ-безопасности должен интересовать в первую очередь системных интеграторов?
А.Н.: Это зависит от того, с какой точки зрения смотреть. С точки зрения клиента или с точки зрения возможности заработать? Если исходить из партнерских отношений, то системные интеграторы имеют преимущества благодаря своей специализации — они могут решить проблему клиента в комплексе: поставить ПО и аппаратную часть, обучить персонал, оказать поддержку. Некоторые интеграторы предлагают клиентам услуги аутсорсинга, и наше решение может дополнить их сервисный портфель и помочь в предложении комплексного решения. Но и любым другим компаниям найдется место среди наших партнеров — было бы желание продвигать сервисы и зарабатывать на этом (можно получать неплохую прибыль), а гибкость нашей партнерской программы позволяет работать с нами всем: и крупным интеграторам, и начинающим реселлерам.
Применять же аутсорсинг может любая компания независимо от размера и отрасли, было бы желание. Например, при разработке данного решения мы тоже использовали аутсорсинг, и это помогло нам разработать его с опережением на несколько недель.
КП: Что бы вы посоветовали компаниям, заинтересованным в том, чтобы аутсорсить свою ИТ-безопасность?
А.Н.: Если в компании приняли решение работать с провайдерами услуг ИТ-аутсорсинга, то вся предварительная работа уже проведена. Значит, руководство компании понимает выгоды от аутсорсинга и уже определило, какую часть ИТ-безопасности или ИТ-инфраструктуры доверить сторонним профессионалам. Дело за малым — выбрать поставщика услуги. Работа с аутсорсинговой компанией отличается от покупки программного обеспечения. Во-первых, при покупке ПО строятся отношения типа «продавец — клиент», а при аутсорсинге — партнерские. Именно с такой точки зрения и стоит подходить к выбору компании — провайдера услуг. Во-вторых, так же как и при выборе традиционных средств информационной безопасности, надо обязательно протестировать решение, но в случае аутсорсинга это обычно требует меньших усилий и результат более очевиден. В общем, получается, что выбор провайдера в чем-то сродни вступлению в брак.
КП: Что бы вы хотели сказать нашим читателям напоследок?
А.Н.: По данным Gartner, к 2011 году до 70% ИТ-подразделений существенно изменятся. Изменения в первую очередь коснутся фокуса работы служащих ИТ-департаментов. Если сейчас основная задача — обслуживание и поддержание работоспособности техники, то уже в ближайшем будущем ИТ-подразделения сфокусируются на бизнес-информации, бизнес-процессах и бизнес-отношениях. То есть из вспомогательного подразделения ИТ-департамент превратится в движущую силу бизнеса. Не последнюю роль в этих изменениях сыграют и провайдеры услуг аутсорсинга. Однако такие прогнозы не распространяются на Россию. Не верят аналитики, что у нас изменения могут быть такими быстрыми. Я тоже не верю — я считаю, что изменения должны произойти до 2011 года, но мы приложим все усилия, чтобы это случилось как можно раньше, ведь от этого выиграют все.
КП: Большое спасибо за беседу. Удачи и всего доброго!
Беседу провел Алексей Доля
 |
|
