MSS přichází outsourcing nové generace

V případě MSS získává zadavatel nejen očekávanou jistotu zabezpečení, ale zároveň i možnost sledovat informace o s...


V případě MSS získává zadavatel nejen očekávanou jistotu zabezpečení,
ale zároveň i možnost sledovat informace o stavu bezpečnosti ve své síti.

Tématu outsourcingu informační bezpečnosti jsme se věnovali už v jednom z
předcházejících dílů našeho bezpečnostního seriálu (viz CW 25/2005). Dnes si
představíme něco, co bychom mohli bez větší nadsázky nazvat "outsourcingem
druhé generace" Managed Security Services (MSS).
Díky stále narůstající četnosti, agresivitě a rozmanitosti kybernetických útoků
je v poslední době trendem přenášet zodpovědnost za řešení bezpečnostních
otázek na specializované dodavatelské firmy, jež se problematice mohou věnovat
do hloubky a které disponují týmem zkušených profesionálů. Ve většině případů
jde o běžný outsourcing. Ovšem v případě MSS se nejedná o čistý outsourcing,
protože služba není nasazena metodou "nainstaluj, vyfakturuj a zapomeň".
Zadavatel totiž v jejím případě získává nejen očekávanou jistotu zabezpečení,
ale zároveň i možnost sledovat informace o stavu bezpečnosti v rámci lokální
sítě a informace o jejím aktuálním stavu. Dodavatel pak zajišťuje nejen provoz
bezpečnostních prvků, ale i jejich udržování v aktuálním stavu. (Ale pozor, MSS
neřeší kompletní bezpečnost, do jeho úkolů patří monitoring a správa
bezpečnostních zařízení v reálném čase a také reakce na případné incidenty.)
Pouze udržovat nějaký systém v chodu je v dnešní době málo, je nutné sbírat a
analyzovat data generovaná bezpečnostními zařízeními a rozpoznávat známky
škodlivé aktivity v reálném čase. Takový proaktivní a preventivní přístup je
mnohem efektivnější než klasické reaktivní metody. Naprosté většině
eventuálních incidentů je tak zabráněno dříve, než se vůbec stanou. Reagovat na
bezpečnostní chybu instalací záplaty je u kritických systémů málo protože v
době vydání záplaty je chyba už často zneužita. Stejně tak nestačí, aby správce
jednou za týden prošel logy a pokoušel se v nich odhalit pokus o útok (pokud
byl útok úspěšný, tak už je dávno po něm) apod.
Cílem služby MSS je převzít každodenní rutinní starosti o zajištění bezpečného
provozu sítě, dále pak nárazové aktivity v době zvýšených nároků (epidemie
internetových červů, velké DoS útoky či další podobná rizika) a především
trvalé monitorování stavu bezpečnosti a jeho řízení. Služba má za cíl provádět
dohled nad bezpečnostními prvky, jako jsou firewally, antivirové programy, VPN,
systémy detekce průniku uživatelské či síťové apod.
Dalo by se rovněž říci, že služba MSS přenáší v oblasti bezpečnosti monitoring,
řízení a odpovídající reakce (tedy zodpovědnosti) na externí tým profesionálů s
tím, že ponechává interním pracovníkům dostatečný prostor a navíc jim dává
potřebnou detailní informovanost.
Služby MSS zpravidla obsahují několik klíčových komponent:
lOchrana vstupních bodů sítě
(firewally, IDS, VPN apod.)
lMonitorování stavu bezpečnosti (může být zahrnuto v předchozím bodě)
lŘízení bezpečnostních incidentů (včetně odpovídající reakce a následné analýzy)
lOhodnocování jednotlivých zranitelných míst
lDostupnost a obnova dat
lKonzultace, forenzní analýza aj.
MSS má přitom hned několik výhod. Především umožňuje vyvarovat se nejčastějších
chyb s monitorování a správou bezpečnostních zařízení. Patří sem zejména špatná
analýza problému na počátku hrozby, nemožnost mobilizovat dostatečné zdroje při
počínajícím incidentu, nedostatek zkušeností, pouze interní pohled namísto
externího nadhledu apod.
Kvalita na úrovni dodavatele je přitom zpravidla vyšší než při řešení problému
vlastními silami. To se projevuje mimo jiné při definování zodpovědnosti. Velmi
nepravděpodobně postihnete za bezpečnostní incident vlastního zaměstnance ve
stejné výši, do jaké můžete s dodavatelem MSS služeb stanovit pokuty a
penalizace za nedodržení kvality či termínů.
Navíc do nákladů nemůžete počítat pouze práci, kterou interní profesionálové
věnují řešení otázek informační bezpečnosti, ale také náklady na jejich
proškolení a soustavné vzdělávání. Takto sečtená čísla pak vypadají úplně jinak
než pouhé porovnávání přímých nákladů.

Pro koho MMS jsou
Služeb MSS přitom nevyužívají jen velké společnosti, ale také malé firmy,
instituce nebo organizace, které potřebují řešit otázku informační bezpečnosti,
ale které si nemohou dovolit vlastní oddělení nebo pracovníka informační
bezpečnosti.
Podle výše popsaných vlastností je MSS univerzálním prostředkem na všechny
bezpečnostní neduhy dnešního světa. Teoreticky by to mohla být pravda, ale
realita bývá poněkud jiná. Před nasazením MSS si je třeba uvědomit, že rozsah
nabízených (a především poskytovaných) služeb musí plně pokrývat bezpečnostní
požadavky organizace v oblasti dostupnosti, utajení či integrity dat. Před
výběrem dodavatele je proto velmi nutné striktně specifikovat tyto a další
prvky klíčové pro fungování organizace a ty pak nekompromisně vyžadovat.
Dodavatel musí prokázat nejen svoji schopnost dostát těmto požadavkům při
získávání zakázky, ale i při běžném provozu. Navíc je pochopitelné, že
dodavatel se snaží zajistit si zákazníka dlouhodobě takže občas bývají problémy
s jeho změnou, neboť smlouva je postavena na dlouhodobé bázi a špatně se z ní
"uhýbá".
Projekty MSS ztroskotávají kvůli mnoha druhům problémů, kterých se ovšem lze
relativně snadno vyvarovat. Těmi nejčastějšími jsou:
lDůvěra: Vytvořit fungující spolupráci mezi zadavatelem a dodavatelem znamená
vytvořit také prostředí naprosté důvěry. Dodavatel totiž získává přístup k
zadavatelovým záznamům, čímž je informován o jeho aktivitách a zároveň má
přehled o jeho slabinách. Riziko snižuje dobře postavená smlouva o mlčenlivosti
a souvisejících aspektech spolupráce.
lZávislost: Není dobré, když se organizace stane závislá na dodavateli MSS.
Kromě jiného nemá možnost ovlivňovat, co by ovlivňovat chtěla (a nezřídka i
potřebovala), ale především její stabilita stojí a padá s dodavatelem a dále se
nechtěně úzce provazuje s dalšími dodavatelovými zakázkami či klienty. Řešením
je buď využití několika MSS dodavatelů (což ale zvyšuje finanční nákladnost
projektu a nároky na řízení), anebo pečlivý výběr dodavatele.
lZodpovědnost: Zadavatel stále zůstává vlastníkem a subjektem zodpovědným za
bezpečnost i v případě, že část pravomocí v dané oblasti deleguje na
dodavatele. Nelze se proto poddat pocitu "sejde z očí, sejde z mysli", ale je
nutné průběžně kontrolovat, aby byl zadavatel schopen v jakémkoliv okamžiku
tuto zodpovědnost garantovat. Kromě jiného je nutné stanovit přesné komunikační
kanály mezi zodpovědnými osobami na obou stranách včetně nezbytné
zastupitelnosti.
lSdílené prostředí: Operační prostředí sdílené několika klienty poskytovatele
MSS sice snižuje náklady a umožňuje lépe využívat disponibilní zdroje, ale
teoreticky může vést i k mnoha nepříjemným problémům (jeden zadavatel se
dostane k datům druhého apod.). Je třeba si zjistit, jak je na tom příslušný
MSS poskytovatel.
lNasazení: Rozjezd využívání služeb MSS představuje pohyb v lidských zdrojích,
postupech, hardwaru, softwaru, jejich nastavení apod. Při všech těchto pohybech
může dojít ke vzniku nečekaných nebo nepředpokládaných problémů. Tuto situaci
lze ošetřit kvalitní a podrobnou přípravou (musí obsahovat i přesný časový
plán).
lSelhání partnerství: Největší riziko pro nasazení MSS představuje neadekvátní
nebo nekompletní plánování či neodpovídající komunikace mezi oběma stranami.
Partnerství se kvůli těmto víceméně banalitám může v kterékoliv fázi projektu
zhroutit jako pověstný domeček z karet. I MSS stejně jako jakékoliv jiné
obchodní spojení vyžaduje pozornost, péči a odpovídající zdroje.
lSkryté náklady a dopady: Některé náklady jsou při plánování přehlédnuty nebo
ignorovány. Buď si partneři neuvědomí jejich prostou existenci, nebo je obtížné
je kvantifikovat. Jedná se například o cenu za to, že se organizace vzdá
kontroly nad částí bezpečnosti ve prospěch poskytovatele MSS (nezískávání
zkušeností, nižší znalosti apod.). Nebo odhad situace, jaká bude na konci
sjednaného kontraktu.
lPrávní otázky: Před implementací MSS je potřeba důkladně probrat a zvážit
všechny legislativní záležitosti. Je potřeba zodpovědět celou řadu otázek, mimo
jiné zodpovědnost za případné problémy. Někdy je také problémem v oblasti MSS
práce s utajovanými skutečnostmi nebo ochrana osobních údajů pak je zapotřebí
velmi přesně vytyčit mantinely, v nichž se oba partneři mohou pohybovat.
Služby MSS jsou podle Gartneru jedním z nejrychleji rostoucích segmentů trhu v
oblasti informační bezpečnosti. Okolo 60 % organizací na světě prý využívá
outsourcing alespoň u jedné z bezpečnostních technologií s tím, že na MSS
postupně (z výše uvedených důvodů) přecházejí. Nejčastěji je přitom takto
využívána oblast firewallů a VPN, za ní následují sledování (bezpečnostních)
nedostatků a IDS.



Některé výhody využívání služeb MSS
lVyužití profesionálních služeb výrazně snižuje bezpečnostní rizika, protože
klesá hrozba opomenutí, přehlédnutí či jednostranného pohledu.
lOdpadají problémy spojené s každodenním rutinním chodem informační bezpečnosti.
lO bezpečnost je postaráno v režimu
7 x 24, což se při zajišťování interními silami podaří jen obtížně.
lZadavatel nemusí řešit problémy v oblasti, která není jeho hlavním oborem a
může se soustředit na své vlastní úkoly.
lInformační bezpečnost není omezována "lidským faktorem" (neschopenky,
dovolené, odchody, zastupitelnost...). lInformační bezpečnost je díky MSS
ošetřená a garantovaná smluvně, což v případě interních zaměstnanců není vždy
snadné.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.