Pengalihdayaan keamanan informasi, keamanan internal. Ke mana harus pergi ke pelanggan

Hari ini kami memutuskan untuk berbicara tentang apakah perusahaan siap untuk melakukan outsourcing keamanan internal. Selama bertahun-tahun itu diyakini tidak. Tapi situasinya berubah. Dalam posting ini kita tidak akan berbicara tentang pro dan kontra dari outsourcing, tetapi kami akan membuat tinjauan umum tentang apa yang dapat diandalkan pelanggan jika dia sudah memiliki kebutuhan untuk menyelesaikan masalah kebocoran informasi.



Mari membuat reservasi segera, kami mengumpulkan informasi tentang layanan-layanan yang:



A) kontraktor sendiri memanggil outsourcing;

B) mereka tidak disebut outsourcing, tetapi sebenarnya mereka memecahkan beberapa masalah yang dapat diselesaikan oleh seorang spesialis di negara bagian (jika ada).



Pergilah.







Di beberapa dunia ideal, tugas keamanan informasi, dan khususnya perlindungan terhadap risiko orang dalam, diselesaikan dalam perusahaan dengan upaya spesialis penuh waktu. Mereka menyusun sendiri proses bisnis, meresepkan kebijakan keamanan, memperkenalkan rezim rahasia dagang, melakukan penjelasan dan kursus pelatihan bagi karyawan, mengidentifikasi dan menyelidiki insiden.



Dalam kehidupan nyata, ada alasan mengapa perusahaan harus mengatasi penghinaan dan perlawanan dan mengangkat masalah outsourcing beberapa tanggung jawab keamanan internal mereka.

Inilah yang utama

1. Tidak ada spesialis pada staf, atau dia, tetapi terlalu banyak bekerja, tidak berspesialisasi dalam perlindungan dari risiko orang dalam.
2. Kurangnya personil - perusahaan tidak dapat menemukan spesialis keamanan informasi dari kualifikasi yang diperlukan.
3. Tidak ada perangkat lunak khusus untuk pemantauan otomatis.
4. Secara umum, tidak jelas berapa banyak biaya keamanan informasi, apakah biaya mengatur semua pekerjaan ini dibenarkan.

Jika kita beralih ke praktik asing, dari mana kita, seperti yang umumnya diyakini, adalah 5-10 tahun di belakang, tidak ada yang tidak biasa dalam outsourcing outsourcing dari risiko orang dalam. Menurut data terbaru dari Deloitte, 14% dari anggaran outsourcing perusahaan pada tahun 2019 dihabiskan untuk perlindungan dari risiko internal. 15% lainnya - untuk melatih personel keamanan siber.

Apa yang harus dipilih

Jika kami mempertimbangkan layanan yang disatukan oleh istilah "outsourcing keamanan informasi internal", berikut ini disajikan di Rusia:

1. Audit dan analisis keadaan infrastruktur TI.
2. Pengembangan dokumen peraturan.
3. Forensik (investigasi insiden).
4. SOC (organisasi dan pemeliharaan pusat pemantauan).
5. Pelatihan personil / pelatihan.
6. Pemeliharaan sistem informasi (sistem otentikasi dan otorisasi, DLP, SIEM, IDS / IPS).

Jika kita entah bagaimana mensistematisasikan, kita melihat bahwa ada proposal untuk menutup beberapa kebutuhan satu kali (untuk berkonsultasi atau menyelesaikan masalah poin) dan untuk menggantikan fungsi spesialis keamanan informasi untuk waktu yang lama.

Bantuan sementara

Karena yang kami maksud adalah pelanggan yang baru saja menghadapi masalah perlindungan terhadap kebocoran data, permintaan kepada pakar eksternal di sini biasanya adalah sebagai berikut: lihat pengaturan peralatan jaringan, perkirakan lalu lintas masuk / keluar, perkirakan jumlah koneksi eksternal ke server; membangun sistem akses; memutuskan perangkat lunak mana yang akan diuji dan yang tidak membuang waktu, mengevaluasi hasil tes.



Itu pada umumnya - "tanyakan saja."



Penawaran di pasar untuk konsultasi semacam itu beragam. Anda selalu dapat menemukan freelancer untuk "konsultasi". Tetapi tulang punggung pasar adalah pusat pelatihan dan perusahaan yang berspesialisasi dalam keamanan informasi CIBIT, "Akademi Keamanan Informasi", ACRIBIA, USSB, AZONE IT dan lainnya. (Mari kita ambil dari kurung "penasihat besar" dengan auditor "empat" di kepala - mereka berbagi bagian terbesar dari omset dunia dari konsultasi keamanan informasi, tetapi layanan mereka hanya tersedia untuk pelanggan besar).



Para pemain yang terdaftar juga dapat menutup tugas satu kali ketika perlu untuk melakukan beberapa jenis pekerjaan yang belum disarankan untuk mempekerjakan seseorang pada staf: melatih staf, menyesuaikan kebijakan keamanan, membuat dokumen pesanan untuk kepatuhan dengan persyaratan peraturan. Dan tentu saja, untuk menyelidiki suatu pelanggaran atau kejahatan korporasi, jika tiba-tiba terjadi keadaan darurat di perusahaan.



Pada saat yang sama, tidak hanya metode cyber yang digunakan untuk menyelidiki insiden keamanan informasi (di sini pemain yang paling terkenal adalah Grup IB). Alat "Analog" juga dapat ditambahkan: analisis dokumen, survei karyawan, dll. Oleh karena itu, secara tegas, detektif, pemeriksa poligraf, profiler juga peserta dalam outsourcing keamanan informasi dalam tugas-tugas sempit mereka.



Ada proposal di pasar untuk menyempurnakan kebijakan keamanan dalam sistem DLP. Saat implementasi berlangsung, pengguna mungkin memiliki pertanyaan terkait: apa yang harus dilakukan dengan perangkat keras, cara mengatur toleransi, dokumen apa yang harus ditandatangani dengan karyawan. Perusahaan independen menyediakan layanan seperti itu, tetapi sebenarnya itu adalah pekerjaan departemen implementasi yang baik, insinyur dan dukungan teknis dari vendor itu sendiri.



Pasar masih beraneka ragam hanya karena usianya yang masih muda. Tetapi telah membentuk penawaran berlimpah untuk sebagian besar permintaan pelanggan dalam bantuan satu kali dari spesialis keamanan informasi.

Pemantauan rutin

Jika perusahaan perlu menyelesaikan bukan hanya tugas satu kali, tetapi untuk melindungi informasi secara permanen, diperlukan sistem DLP. Kalau tidak, mencegah, mendeteksi dan menangani insiden keamanan internal adalah sulit. Tanpa seseorang yang akan menganalisis informasi darinya, perangkat lunak tidak akan terlalu efektif. Tetapi sebagian besar perusahaan dengan tim yang terdiri dari 100 orang sering kali tidak dapat menjawab pertanyaan "apakah kita membutuhkannya?"



Oleh karena itu, tingkat outsourcing berikutnya muncul - untuk mengalihdayakan manajemen sistem dan analisis kejadian dari DLP. Sejauh ini, hanya sedikit yang berfungsi di pasar ini (pada kenyataannya , SearchInform , Softline, Jet Infosystems). Layanan ini diimplementasikan dalam beberapa format, tergantung pada tingkat akses yang pelanggan siap berikan kepada agen outsourcing, yaitu, berdasarkan kepercayaan pada dirinya.

Apa yang bisa dilakukan oleh agen outsourcing?

1. - .
2. , ; .
3. , .

Hubungan dapat berkembang saat Anda bekerja. Secara konvensional, pada awalnya pelanggan siap untuk mentransfer ke agen outsourcing hanya konfigurasi DLP dan pembongkaran seluruh "lembar" laporan dari itu. Melihat efek dan manfaatnya, mungkin harus diserahkan dan diurai konten insiden.



Karena kenyataan bahwa pasar masih berkembang, tidak selalu mudah bagi pelanggan untuk merumuskan permintaan, memilih format untuk bekerja dengan agen outsourcing, dan memprioritaskan kontrol. Karenanya, menandatangani SLA dari awal tidak selalu memungkinkan.



Namun demikian, format interaksi yang efektif sudah mulai terbentuk. Berikut adalah pendekatan di mana agen outsourcing asing (MSSP, Managed Security Services Provider) bekerja:

1. Seorang analis keamanan informasi pribadi menyesuaikan sistem sesuai dengan tugas-tugas yang ditetapkan oleh pelanggan.
2. . « » (, - , ..)
3. , - ( – ).
4. ( //).
5. - .

Kemungkinan besar, outsourcing keamanan informasi akan terus berkembang dalam kerangka kerja seperti itu, karena format ini berkontribusi pada penciptaan hubungan saling percaya antara para peserta dalam proses tersebut. Tetapi pasar belum sepenuhnya terbentuk, suatu hari nanti akan muncul asuransi risiko, yang akan sangat memajukan hubungan klien / agen outsourcing ke depan. Tapi prosesnya sudah berlangsung - kita bisa melihatnya dari reaksi pelanggan. Oleh karena itu, dalam perjalanan ke "Anda tidak dapat hidup tanpanya" kita berada di suatu tempat pada titik "ada sesuatu di sini".