Kdy je outsourcing bezpečný?

Náš manažer bezpečnosti chce outsourcovat určité oblasti bezpečnostních řešení, ale u některých to určitě nepřipadá v úvahu.

Kdy je outsourcing bezpečný?


Byl jsem požádán o použití outsourcingu u více našich služeb zabezpečení. Vedlo mne to k hlubšímu zamyšlení nad rozdělením oblastí, tedy na tím, co považuji za dobré outsourcingem řešit, a naopak -- co bych nikdy do rukou vzdáleného poskytovatele nesvěřil.

Je těžké oponovat finančním argumentům pro offshoring. Indie je regionem s nejnižšími náklady, který má spolehlivou síťovou konektivitu a pracovní síly s dobrou schopností komunikovat anglicky. Tato oblast má navíc příznivé daně a stabilní vládu. Protože je Indie také bezpečná a dostupná, bývá vybírána jako vhodná lokalita pro offshoring. V Indii můžete najmout tři inženýry zabezpečení za cenu, kterou byste jinde zaplatili za jednoho.

Nyní používáme offshore pro správu oprav zabezpečení. Analytici v Indii neustále sledují aktualizace zabezpečení od společnosti Microsoft, weby dalších dodavatelů a fóra, kde jsou diskutovány zranitelnosti a doporučené opravy zabezpečení.

Analytici používají předdefinovaná kritéria pro rozhodování, zda je pro nás oprava konkrétního operačního systému či aplikace relevantní, a zjišťují rizika použití či naopak nepoužití opravy. Poté nám poskytnou opravy, které považují za nutné pro naše desktopy, servery a síť, takže je můžeme nainstalovat při naší údržbě systémů Windows. Jsou-li opravy kritické nebo pokud potřebují okamžitou reakci, jsou odpovídajícím způsobem eskalovány. Toto vše pracovalo docela dobře.

Je zde však několik oblastí, které bych jednoduše pro offshoring neschválil. Například vyšetřovací forenzní práce nebo cokoli, co by mohlo vyžadovat administrativní reakci vůči zaměstnanci či jiné firmě -- jsou to příliš citlivé záležitosti, než abychom je nechali dělat někoho jiného.

Také nepovažuji za správné použít offshoring pro správu naší infrastruktury ochrany před únikem dat (DLP), protože zařízení DLP obsahují nejdůležitější data naší firmy. Kontrolu nad takovými informacemi bych raději ponechal doma.

Ostatní oblasti však dávají smysl. Například detekce narušení. Systémy zjišťování narušení (IDS) nejsou typu plug-and-play. Vyžadují aktualizace, průběžné ladění, analýzu událostí a pečlivou reakci. Nemám dostatek personálu, který by zvládl desítky senzorů IDS, a přivítal bych další pomoc při provádění většiny nutné práce, která podmiňuje úspěšné používání.

Dokonce bych zvažoval nasazení plně spravované služby, kde si poskytovatel nainstaluje své vlastní senzory. Tímto způsobem bychom mohli zvýšit naše pokrytí na 100 % -- nyní jsme jen na 70 % naší sítě.

Dalším příkladem je správa zranitelností. Vyhodnocujeme službu Qualys pro kontrolu zařízení, která používáme ke skenování našeho vnitřního prostoru adres. Protože služba Qualys komunikuje s internetem, nebyl by problém poskytnout přístup nezávislé firmě z Indie, která by prováděla skenování a pravidelně zpracovávala výsledky.

Samozřejmě, pokud bych předal všechnu tuto práci třetím stranám, byl bych stále zodpovědný já a musel bych se zodpovídat našemu vedení za vše, kde by vznikl problém. Z tohoto důvodu budu stále provádět pravidelné audity našich poskytovatelů služeb, aby bylo zajištěno, že dodržují smlouvy o úrovni poskytovaných služeb (SLA) a odvádějí deklarovanou práci.

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.

Úvodní foto: Fotolia.com










Komentáře