Преимущества и недостатки аутсорсинга обсуждаются очень широко, сегодня это модная тема. Пожалуй, наиболее открыто и нелицеприятно специалисты высказывают свое мнение на разнообразных деловых и ИТ- форумах. Кто-то утверждает, что за аутсорсингом будущее, необходимо в самое ближайшее время отдать аутсорсерам практически все бизнес-процессы и, таким образом, совсем избавиться от ИТ-специалистов (причем подобные примеры на рынке уже известны). По мнению других, отдавать на аутсорсинг какие-либо ИТ-функции смерти подобно (и такие случаи тоже существуют в практике). Например, недавно на одном из форумов, посвященных обсуждению использования аутсорсинга для обеспечения ИТ-безопасности, было высказано такое (кстати сказать, довольно часто встречающееся) мнение: «Дешевле и безопасней дополнительно нанять одного человека, который бы непосредственно занимался почтой, чем пускать весь трафик через левую контору и платить за это минимум втрое больше. Ну а если ИТ-отдел не в состоянии самостоятельно организовать антивирусную защиту предприятия, то в первую очередь нужно ставить вопрос об его эффективности». Так все-таки, кто же прав? Действительно ли аутсорсинг в области ИТ-безопасности вещь ненужная и опасная?
ИТ-безопасность и аутсорсинг.
Что можно отдать на сторону
Один из постулатов, продвигаемых поставщиками услуг аутсорсинга ИТ- безопасности, состоит в том, что проще и логичнее всего отдавать на аутсорсинг системы защиты периметра, то есть средства защиты почтового трафика, шлюзов, средства организации VPN и системы обнаружения вторжений. Проще говоря, именно те системы, которые, с одной стороны, контактируют с внешним миром и настроить доступ к которым «снаружи» проще всего, а с другой стороны, которые требуют если не круглосуточного, то регулярного и постоянного мониторинга. Наиболее понятны, распространены и доступны для большинства компаний услуги по аутсорсингу защиты почтового трафика.
Если рассматривать систему аутсорсинга проверки почтового трафика с точки зрения инженера, то все работает довольно просто — достаточно изменить MX-запись в DNS-сервере, и вся ваша почта будет проходить через серверы третьей стороны (аутсорсера), где и будет осуществляться вся антивирусная, противоспамная и другая фильтрация.
Достаточно указать системе, что вы не хотите получать (спам, вредоносные программы, порнографию или музыкальные файлы) и что делать с теми письмами, которые не будут вам доставлены. И все работает как хорошие швейцарские часы. Клиенту не надо знать, какие технологии используются у аутсорсера, сколько у него серверов и сколько человек следят за этими серверами. Разумеется, что современные провайдеры услуг не ограничиваются только предоставлением этих функций. Все современные сервисы гарантируют высочайшую безотказность.
Другой интересной возможностью для аутсорсинга является услуга по резервному копированию всех почтовых сообщений. Причем именно эта услуга хорошо востребована так называемыми «публичными компаниями». Деятельность подобных компаний, информация о бизнесе которых может быть и должна быть достоянием общественности, ограничена рядом законодательных актов, регулирующих информационные потоки в компании (например таких, как Basel II, Sarbanes-Oxley Act (SOX), HIPPA). Для того чтобы соответствовать этим и другим законодательным актам, в том числе, необходимо обеспечивать копирование всех почтовых сообщений и хранение их в течение длительного срока. Такой сервис могут обеспечить и обеспечивают аутсорсеры.
Аналогичная ситуация происходит и с веб-трафиком — аутсорсер предоставляет клиенту прокси-серверы, через которые идет веб-трафик. Причем, разумеется, уже очищенный от нежелательного содержания. В свое время английские бизнесмены очень жаловались на снижение производительности труда во время чемпионата мира по футболу — большое количество сотрудников, не имея возможности уйти с работы для просмотра футбольного матча, смотрели или читали про матчи в Интернете. Для такого и многих других случаев есть системы контроля содержания, мониторинга посещения сайтов с возможностью регламентирования доступа.
Сомнения и страхи
Однако на предложения отдать часть функций ИТ-безопасности на аутсорсинг многие отвечают, что это, по сути, означает «дать возможность неконтролируемого доступа во внутреннюю сеть для неавторизованного персонала. С информационной безопасностью все то же самое. Конфигурирование граничных маршрутизаторов силами аутсорсеров — дыра в безопасности». Можно привести еще один пример довольно распространенного замечания по поводу безопасности передачи функции проверки почты третьей стороне: «Особой выгоды в аутсорсинге не вижу: если компания действительно заботится о своей ИТ-безопасности — через ее почтовый сервер проходят очень важные сведения. И в таком случае, думаю, вопрос об отдаче системы защиты периметра, почтового трафика, шлюза на обслуживание сторонней организации в принципе стоять не должен. Причины здесь очевидны».
Как ни странно, в крупных компаниях подобные сомнения терзают, как правило, именно инженеров. Специалисты по безопасности прекрасно знают, что пересылка электронной почты сродни пересылке почтовой открытки обычной почтой — и в том и в другом случае содержимое сообщения может быть с легкостью прочитано, и конфиденциальность переписки не гарантируется. В случае использования аутсорсинговых услуг одним из обязательных пунктов договора является соглашение о неразглашении любой информации клиента. Очевидно, что его соблюдение является критическим для репутации и бизнеса аутсорсера. Но необходимо понимать, что аутсорсер ответственен за ограниченную часть маршрута почтового сообщения, поэтому, если существует потребность в пересылке конфиденциальной информации средствами электронной почты (то есть по незащищенному каналу), необходимо воспользоваться средствами криптографической защиты.
Руководителей компании, и в первую очередь финансистов и директоров, интересует прежде всего цена. Наиболее распространенные сомнения по поводу использования аутсорсинга в области ИТ-безопасности эти специалисты выражают следующим образом: «Все, конечно, красиво нарисовано! Но почему-то вспоминается: „…Гладко было на бумаге, но забыли про овраги, а по ним ходить…“ И почему бы, прежде всего, не привести расчет стоимости обоих вариантов (с использованием аутсорсинга и в том случае, когда все придется делать своими силами)? А ведь цена вопроса в данном случае — один из основных факторов. Это если не говорить о существующем дефиците кадров по безопасности: как раз специализированные компании больше страдают текучестью этих кадров». Таким образом, главных управленцев компании по сути больше всего волнуют два вопроса: выгоден ли аутсорсинг экономически и существует ли дефицит кадров аутсорсеров. Попробуем с этим разобраться.
Выгоден или нет?
Вариантов решения задачи по обеспечению ИТ-безопасности обычно три. Первое — сделать все своими силами с использованием свободного ПО. Второй — своими силами, но с использованием коммерческих решений. И, наконец, третий вариант состоит в том, чтобы целиком отдать решение задачи аутсорсеру. Попробуем рассмотреть все имеющиеся варианты.
Давайте возьмем простой, но в то же время показательный пример. Перед компанией стоит задача избавить почтовые ящики сотрудников от спама. На конференции «Проблемы спама и ее решения — 2006» выступал системный администратор одной крупной компании (более 3 000 сотрудников), который самостоятельно, используя только свободное ПО, избавил свою компанию от спама (качество решения пока не рассматриваем). По его словам, на решение задачи и создание системы защиты от спама ему потребовалось около двух лет. Уверен, что это высокооплачиваемый сотрудник, и затраты лишь на одну его зарплату составляли десятки тысяч долларов в год. И кроме того, времени ушло довольно много. Третий, пожалуй, самый важный фактор для CIO и CEO этой компании состоит в том, что же случится, когда этот сотрудник уволится? Сможет ли кто-нибудь разобраться в разработанной им системе и поддерживать ее так же эффективно?
Второй вариант решения — купить коммерческое программное обеспечение. Время, затраченное на решение задачи, будет гораздо меньше, прямые затраты тоже меньше, следовательно, эффективность подобного решения выше. Но при этом остаются еще проблемы приема спама (хотя бы сеансов SMTP), перегрузок от спам-атак, установка новых версий, обновлений, мониторинг. Я уже не говорю о затратах на инсталляцию и деинсталляцию программ.
Третий вариант — аутсорсинг. Да, стоимость обслуживания будет выше, чем покупка коммерческого программного обеспечения, но не в разы. При этом никаких затрат на обслуживание. А это, кроме всего прочего, экономия времени загруженных ИТ-специалистов компании. Далее, поскольку серверы компании избавлены от необходимости принимать «мусор», происходит экономия на трафике, дисковом пространстве и на сервере. Кроме этого, функционал сервисов в данном случае больше, чем функционал покупного или даже разработанного собственного программного обеспечения. Таким образом, используя аутсорсинг, компания, несомненно, платит больше, однако больше и получает. И при этом еще и экономит.
Человеческий фактор
В начале статьи была приведена цитата, касающаяся эффективности ИТ- отдела. У компании-аутсорсера данный показатель выше по определению, поскольку аутсорсер выполняет узкоспециализированные функции и фокусируется на них. В отличие от собственного специалиста компании, который во многих случаях «и швец, и жнец, и на дуде игрец».
Кроме того, стоит понимать, что у «правильных» аутсорсеров работают профессионалы. Аутсорсер холит и лелеет этих людей, так как знает, что именно они являются залогом успешности его бизнеса. Именно поэтому в компаниях, основным бизнесом которых является предоставление аутсорсинговых услуг, как правило, довольно небольшая текучесть кадров.
А у своего специалиста могут быть свои, личные проблемы. Хотелось бы привести высказывания сторонников аутсорсинга, также взятых с ИТ-форумов, посвященных обсуждению этой проблемы. «Администратор может заболеть. У администратора может быть отпуск. У администратора рожает жена. Наконец, он занят, потому что сейчас записывает игру на компакт-диск. А вот с компанией-подрядчиком надо подписывать SLA. Или, на худой конец, есть просто договорные отношения». И это действительно так.
Взаимоотношения с аутсорсером строятся на договорной основе, и заказчик получает не только гарантии по уровню качества, но и возможность применить санкции в случае нарушения гарантий. Много ли «внутренних» специалистов компании готовы подписать такое соглашение и его выполнять?
Страхи системных администраторов
«Я сам администратор, и мне тоже не то чтобы страшно за место, но неприятно как-то, когда в мою родную сеть, моему шефу вдруг приходит спам от таких вот „аутсорсеров-профессионалов“. Кто его знает, чего от них можно ждать?
Конечно, правы те, кто утверждает, что аутсорсер выше классом, чем „просто администратор“. Да, концентрация умов у аутсорсера выше, но какой же нормальный бизнес будет вдаваться во все подробности вашей фирмы? Только один — высокооплачиваемый. Ибо у бизнеса цель — рентабельность, а у администратора, даже если их и не одна штука, цель — работоспособность системы».
Во всех этих высказываниях, несомненно, есть рациональное зерно. Однако взгляните на проблему несколько с другой стороны. Представьте себе крупную торговую компанию (розничный магазин или гипермаркет). Основные задачи ИТ-специалистов такой компании выглядят следующим образом: не пропустить спам в почтовый ящик генерального директора, настроить новый ноутбук для коммерческого директора или сделать так, чтобы кассовый терминал работал без перебоев, а в семь часов вечера, когда происходит основной наплыв покупателей, не зависала информационная система. В случае, когда все делается своими силами, возможна ситуация, когда что-то не будет сделано в срок или качественно — квалифицированных рук и времени всегда не хватает.
В такой ситуации можно прибегнуть к аутсорсингу просто для оптимизации деятельности ИТ-отдела. И тогда у ИТ-специалистов появится больше времени заняться самыми важными задачами, их работа принесет больше прибыли предприятию (и, кстати сказать, больше премий самим ИТ-специалистам). Получается, что, вложив определенные средства в аутсорсинг, предприятие получит не только удобство, но и дополнительную выгоду. Кроме того, та часть работы, которую отдадут аутсорсеру, зачастую выполняется качественнее, чем в случае выполнения этой работы внутренними силами.
* * *
Использование аутсорсинга в области ИТ-безопасности пока новое направление, и у многих российских компаний оно вызывает много опасений. Надеюсь, что данная статья поможет по-новому взглянуть на существующие вокруг этой темы страхи и сомнения и даже развеет какие-то из них.
http://www.cio-world.ru
