Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
17.11.08
Аутсорсинг ИБ в России - миф или реальность
Как и обещал выкладываю свою презентацию на сегодняшнем форуме директоров по информационной безопасности, посвященную вопросам аутсорсинга ИБ в России.
Это в части того, что качается перехода на полный аутсорсинг..но ведь часть этих минусов съедается, если говорить о частичной передаче функций аутсорсинга предположим интеграторам...у них и квалификационные специалисты и опыт проектов..
tendernes'у: Квалифицированный специалист не будет сидеть за консолью СЗИ. И скорее всего опять пригласят студента ;-( Или квалификация смотрящего будет ниже, чем у заказчика.
А насчет опыта... Что-то не слышал я про достаточное количество реальных проектов у одного интегратора в области аутсорсинга ИБ. Реальных - это подтвержденных доказательствами и пролонгированным договором хотя бы один раз, а лучше два или три.
Пока реальный аутсорсинг ИБ - это из области фантастики. На конференции многие представитеи заказчиков с этим согласились ;-)
Алексей, мы друг друга не совсем верно поняли(((( Я имела ввиду - возможность передачи сопровождения и обслуживания какой-то части процессов не критиных для организации, но на которые тем не менее тратятся деньги... Аутсорсинг, в том виде в котором его рассматриваете вы - действительно из области фантастики. Да и заставить человека с хорошей квалификацией сидеть смотрящим тоже проблема...развития ноль..получается, что развитие аутсорсинга тормозят 2 вещи: 1. Отсутствие возможности держать квалификационных специалистов на местах 2. Неготовность интеграторов проводить дальнейшее сопровождение систем, которые они защищали
tendernes': Развитие тормозит отсутствие доверия между аутсорсером и заказчиком. Первый хочет урвать побольше и сделать поменьше. Второй уверен, что его хотят надуть и урвать у него побольше ;-) В итоге мы не имеем ни одного контракта на аутсорсинг ИБ больше чем на год. В то время как на Западе такие контракты редко бывают меньше 5-7 лет.
Квалифицированный специалист стоит дорого и совсем неочевидно, что аутсорсер не будет "экономить" на своих работниках. Конечно должны быть точно описаны все параметры по которым можно будет провести оценку качества предоставляемых услуг. Всегда остается проблема, когда заказчик не может, как правило, ясно сформулировать измеримый перечень услуг, которые он хочет получить от аутсорсера.
Анонимный "экономить" на своих специалистах..причем квалифицированных - это как-то гнильцой попахивает..много было случаев в истории проучивания таких начальников...
анонимному: Если заказчик не может сформулировать измеримый перечень услуг, то он просто не готов к аутсорсингу. По сути, аутсорсинг - это вершина управления. Сначала вы это делали сами. Потом отдали кому-то, поняв, что так будет лучше для компании, но оставили за собой контроль. Отдача на аутсорсинг требует от вас понимания того, что вы отдаете, как это делается, как это контролируется и много чего еще.
Идеально, когда аутсорсер выступает еще и в качестве консультанта, подсказывая заказчику, что ему еще рановато думать об аутсорсинге, что у него еще ничего не выстроено в компании. Но это опять из области фантастики.
tendernes': А также много случаев, когда начальников это ничему не научило ;-) Экономить на сотрудниках было модно и остается модным в ряде компаний.
Не в обиду, как говорится, но ты сейчас всё по той же схеме, что и "Мифы" пишешь.
Берется утверждение (например, "сумма углов треугольника равна 180 градусов") и выбрасывается существенное условие (в выбранном примере - слово "треугольник"). Если это ходовая теорема, то фокус проходит незаметно, ибо она регулярно приводится в вариациях или каком-нибудь усеченном виде. Затем приводятся иллюстрации (трапеция, круг и т.п.), не укладывающиеся в модифицированное утверждение. После этого "знаменитая теорема о сумме углов" объявляется мифом. Часть аудитории восхищенно рукоплещет (те, кто ничего не знает, т.к. получается, что не зря прогуливали), часть просто отказывается верить.
Я, наверно, скоро тоже дыбр открою, чтобы пародии писать: "иногда в кассе работает более спортивный дядька, чем в инкассаторской группе, поэтому инкассация в России пока невозможна". Как тебе?
ригелю: Твой коммент ко мне относился? Ты хочешь сказать, что аутсорсинг в России работает? Можешь привести несколько примеров? Случаи, когда бывшая ИТ-служба выделяется в отдельную компанию и затем обслуживает своего же бывшего работодателя не рассматриваем ;-)
Берем более распространнную ситуацию, когда какая-нибудь компания, имеющая офисы в Москве, Питере, Нижнем и Самаре, хочет отдать ИБ на аутсорсинг. К кому им идти? Кто им расскажет, что им все равно нужны люди, чтобы заниматься реагированием? Кто им даст гарантии? И кто будет отвечать за взлом?
ЗЫ. Это в твоем случае все более менее решается. Но к вам же со стороны нельзя придти.
Это именно то ;-) Если нет предложений, то аутсорсинга нет. Я на мероприятии сказал, что мы только в начале пути, на котором есть куча препятствий - каналы связи, отсутствие гарантий, ответственности... Преодолеем, все будет хорошо ;-)
Алексей, сейчас на рынке РФ достаточно компаний, успешно работающих в области аутсорсинга и имеющих филиалы по всей стране. Например, Интеркомп - 20 лет как на рынке.
Это в части того, что качается перехода на полный аутсорсинг..но ведь часть этих минусов съедается, если говорить о частичной передаче функций аутсорсинга предположим интеграторам...у них и квалификационные специалисты и опыт проектов..
Это в части того, что качается перехода на полный аутсорсинг..но ведь часть этих минусов съедается, если говорить о частичной передаче функций аутсорсинга предположим интеграторам...у них и квалификационные специалисты и опыт проектов..
ОтветитьУдалитьtendernes'у: Квалифицированный специалист не будет сидеть за консолью СЗИ. И скорее всего опять пригласят студента ;-( Или квалификация смотрящего будет ниже, чем у заказчика.
ОтветитьУдалитьА насчет опыта... Что-то не слышал я про достаточное количество реальных проектов у одного интегратора в области аутсорсинга ИБ. Реальных - это подтвержденных доказательствами и пролонгированным договором хотя бы один раз, а лучше два или три.
Пока реальный аутсорсинг ИБ - это из области фантастики. На конференции многие представитеи заказчиков с этим согласились ;-)
Алексей, мы друг друга не совсем верно поняли((((
ОтветитьУдалитьЯ имела ввиду - возможность передачи сопровождения и обслуживания какой-то части процессов не критиных для организации, но на которые тем не менее тратятся деньги...
Аутсорсинг, в том виде в котором его рассматриваете вы - действительно из области фантастики. Да и заставить человека с хорошей квалификацией сидеть смотрящим тоже проблема...развития ноль..получается, что развитие аутсорсинга тормозят 2 вещи:
1. Отсутствие возможности держать квалификационных специалистов на местах
2. Неготовность интеграторов проводить дальнейшее сопровождение систем, которые они защищали
tendernes': Развитие тормозит отсутствие доверия между аутсорсером и заказчиком. Первый хочет урвать побольше и сделать поменьше. Второй уверен, что его хотят надуть и урвать у него побольше ;-) В итоге мы не имеем ни одного контракта на аутсорсинг ИБ больше чем на год. В то время как на Западе такие контракты редко бывают меньше 5-7 лет.
ОтветитьУдалитьКультуры у нас нет ;-(
Квалифицированный специалист стоит дорого и совсем неочевидно, что аутсорсер не будет "экономить" на своих работниках.
ОтветитьУдалитьКонечно должны быть точно описаны все параметры по которым можно будет провести оценку качества предоставляемых услуг.
Всегда остается проблема, когда заказчик не может, как правило, ясно сформулировать измеримый перечень услуг, которые он хочет получить от аутсорсера.
Этот комментарий был удален автором.
ОтветитьУдалитьАнонимный
ОтветитьУдалить"экономить" на своих специалистах..причем квалифицированных - это как-то гнильцой попахивает..много было случаев в истории проучивания таких начальников...
анонимному: Если заказчик не может сформулировать измеримый перечень услуг, то он просто не готов к аутсорсингу. По сути, аутсорсинг - это вершина управления. Сначала вы это делали сами. Потом отдали кому-то, поняв, что так будет лучше для компании, но оставили за собой контроль. Отдача на аутсорсинг требует от вас понимания того, что вы отдаете, как это делается, как это контролируется и много чего еще.
ОтветитьУдалитьИдеально, когда аутсорсер выступает еще и в качестве консультанта, подсказывая заказчику, что ему еще рановато думать об аутсорсинге, что у него еще ничего не выстроено в компании. Но это опять из области фантастики.
tendernes': А также много случаев, когда начальников это ничему не научило ;-) Экономить на сотрудниках было модно и остается модным в ряде компаний.
tendernes: "много было случаев в истории проучивания таких начальников" -- это как понимать?
ОтветитьУдалитьКвалифицированные специалисты бывает не просят денег.
Не в обиду, как говорится, но ты сейчас всё по той же схеме, что и "Мифы" пишешь.
ОтветитьУдалитьБерется утверждение (например, "сумма углов треугольника равна 180 градусов") и выбрасывается существенное условие (в выбранном примере - слово "треугольник"). Если это ходовая теорема, то фокус проходит незаметно, ибо она регулярно приводится в вариациях или каком-нибудь усеченном виде. Затем приводятся иллюстрации (трапеция, круг и т.п.), не укладывающиеся в модифицированное утверждение. После этого "знаменитая теорема о сумме углов" объявляется мифом. Часть аудитории восхищенно рукоплещет (те, кто ничего не знает, т.к. получается, что не зря прогуливали), часть просто отказывается верить.
Я, наверно, скоро тоже дыбр открою, чтобы пародии писать:
"иногда в кассе работает более спортивный дядька, чем в инкассаторской группе, поэтому инкассация в России пока невозможна". Как тебе?
ригелю: Твой коммент ко мне относился? Ты хочешь сказать, что аутсорсинг в России работает? Можешь привести несколько примеров? Случаи, когда бывшая ИТ-служба выделяется в отдельную компанию и затем обслуживает своего же бывшего работодателя не рассматриваем ;-)
ОтветитьУдалитьБерем более распространнную ситуацию, когда какая-нибудь компания, имеющая офисы в Москве, Питере, Нижнем и Самаре, хочет отдать ИБ на аутсорсинг. К кому им идти? Кто им расскажет, что им все равно нужны люди, чтобы заниматься реагированием? Кто им даст гарантии? И кто будет отвечать за взлом?
ЗЫ. Это в твоем случае все более менее решается. Но к вам же со стороны нельзя придти.
Я отнюдь не сужу всех по себе, но все равно не вижу внушительных препятствий к тому, чтобы аутсосинг ИБ в России нормально работал.
ОтветитьУдалитьМало хороших предложений - это да. Но это другое.
Это именно то ;-) Если нет предложений, то аутсорсинга нет. Я на мероприятии сказал, что мы только в начале пути, на котором есть куча препятствий - каналы связи, отсутствие гарантий, ответственности... Преодолеем, все будет хорошо ;-)
ОтветитьУдалитьАлексей, сейчас на рынке РФ достаточно компаний, успешно работающих в области аутсорсинга и имеющих филиалы по всей стране. Например, Интеркомп - 20 лет как на рынке.
ОтветитьУдалитьТолько вот они все закрывают глаза на выполнение требований по безопасности
ОтветитьУдалитьНе скажите. Интеркомп бы не продержался 20 лет лидером сегмента, если бы у них были дыры в ИБ.
ОтветитьУдалитьЭто в части того, что качается перехода на полный аутсорсинг..но ведь часть этих минусов съедается, если говорить о частичной передаче функций аутсорсинга предположим интеграторам...у них и квалификационные специалисты и опыт проектов..
ОтветитьУдалить