КЛУБ МАРКЕТОЛОГОВ: ТЕМЫ

МЫ, ИРКУТЯНЕ

  • Для тех, кто «всегда будет против»

    Артем Рондарев, музыкальный журналист, будучи виртуальным участником книжного фестиваля «Книгомарт» (закончился позавчера) дал интервью иркутскому журналисту Вадиму Мельникову, в котором очень просто и очень точно высказал далеко не самой первой свежести мысль: «Искусство, по большому счету, и существует только до тех пор, пока его интерпретируют. Само по себе оно мало сообщает. Тебя интерпретируют, ты открыл рот – уже герой».

МНЕНИЯ И СОМНЕНИЯ

  • Что ждет рубль в случае войны?

    Для новых санкций против России будет важен факт начала боевых действий, а не выяснение, кто прав, а кто виноват, говорит экономист Игорь Николаев.

БЛОГИ

  • Только хорошие новости: памятник Чехову, роспись переходов и лучшие книги иркутян

    Находиться в предвкушении чего-то долгожданного и радостного – явно одно из самых лучший ощущений в жизни. Ждать дня, который вот-вот наступит, и можно будет, например, собирать чемодан в отпуск – лучше, чем лететь в самолете. Примерять потрясающее платье для свидания – лучше, чем идти на само свидание. И даже ощущать тонкий аромат вкуснейшей выпечки из духовки куда, опять же таки лучше, чем разрезать пирог и делить его между домочадцами. Или, скажем, выбирать аперитив для обеда куда интереснее, чем откупоривать бутылку. А еще ждать «облако» снятых фотографий, возвращения родных, которые вот-вот покажутся в двери, свободного выходного – у каждого список будет свой. И это все, конечно, касается наших отношений со временем. Оно стремительно летит, и многие долгожданные события так стремительно проскальзывают через наши руки, что порой просто не успеваешь успеть прочувствовать себя в моменте. Как с этим бороться, когда записная книжка с планами расписана на недели вперед? У меня ответа на этот вопрос нет, а у вас? Пока думаете, расскажем вам свежие хорошие новости из родного края.

Киберзащита из облака: стоит ли опасаться аутсорсинга информационной безопасности
По инф. Телеинформа   
02.12.2020

Долгое время для защиты от хакерских атак компаниям достаточно было штатных специалистов по информационной безопасности (ИБ). Однако последние годы количество кибератак увеличивается, а их технический уровень растет. Противостоять этим угрозам самостоятельно становится все сложнее. Выделить дополнительный бюджет на расширение штата или закупку более сложного оборудования иногда просто невозможно. В этом случае есть альтернатива – отдать вопросы комплексного обеспечения информационной безопасности на аутсорсинг поставщику сервисов ИБ, который может предоставить и профессиональную экспертизу, и необходимую техническую базу для защиты от хакеров.

Но как доверить свою ИБ-защиту сторонней организации? Как контролировать сервис-провайдера, и на ком лежит ответственность за возможные потери в случае успешной атаки? Эти и множество других вопросов не дают некоторым компаниям решиться на сервисный подход в ИБ. Насколько они обоснованы – разбираемся вместе со специалистами «Ростелеком-Солар».

Для начала определимся, почему вообще возникла потребность в сервисной модели киберзащиты. Итак, если вы реализуете ИБ-проект своими силами, то должны закупить оборудование, установить его на свою инфраструктуру и обслуживать. Последнее ложится на плечи внутренней ИТ- или ИБ-службы, а значит, требуется либо расширять штат сотрудников, либо нагружать уже имеющихся специалистов дополнительными и очень сложными обязанностями.

При сервисной модели нужно просто оплатить подписку – дальнейшие контроль и управление всеми ИБ-процессами выполняют сотрудники сервис-провайдера. Закупка сложного и дорогостоящего оборудования, как в первом варианте, при этом не требуется, ведь все услуги предоставляются из облака. А площадки заказчика обмениваются данными с дата-центром провайдера, где эти данные обрабатываются и фильтруются в соответствии с выбранным сервисом. По такому принципу, в частности, работают сервисы Solar MSS компании «Ростелеком-Солар». Сегодня крупные сервис-провайдеры закрывают практически весь стек ИТ, предлагая сервисы защиты от сетевых угроз (UTM) и DDoS-атак (anti-DDoS), защиту почты (SEG) и веб-приложений (WAF), шифрование каналов связи (ГОСТ VPN) и решения для защищенной удаленной работы, услуги по управлению навыками ИБ (SA) и контролю уязвимостей действующей инфраструктуры (VM).

Как правило, основным аргументом «за» сервисную модель становится возможность сэкономить: покупка сервиса обходится на 40-60% дешевле, чем реализация собственного проекта обеспечения тех же самых услуг. Экономия здесь достигается за счет того, что заказчику не нужно тратиться на создание собственной ИБ-инфраструктуры. Из-за этого же нет и колоссальных капитальных затрат – они превращаются в операционные (в виде ежемесячной подписки).

Если для создания собственной защиты требуется четыре-шесть месяцев, то аутсорсинг сокращает этот срок до нескольких недель, а подключение или отключение новых площадок (по мере необходимости) занимает пару дней. Сервисный подход также решает кадровый вопрос. Не секрет, что на рынке наблюдается дефицит высококвалифицированных ИБ-специалистов. Это приводит к сложностям при подборе сотрудников, а также к их высокой «стоимости» на рынке труда. Когда речь идет о сервисной модели, заказчик фактически пользуется обширными наработанными компетенциями специалистов крупной ИБ-компании, которые ежедневно отражают сложнейшие кибератаки.

Но, несмотря на все аргументы «за», для многих перевод каких-то задач в части ИБ вовне – настоящий стресс. Поэтому здесь, как в поговорке: «И хочется, и колется». Разобрав плюсы, давайте поговорим про страхи, которые не дают решиться на сервисную модель.

Страх 1. Сервис – это кабала, а траты невозможно предсказать

В советские годы многие предприятия содержали собственные котельные, детские сады, магазины. Эти объекты принадлежали предприятию и была уверенность, что с ними ничего не случится и их можно как-то контролировать. Такой же подход сохранился и в ИБ: вы купили оборудование, оно установлено на инфраструктуре, его видно, оно работает и, кажется, что все под контролем.

Однако если оборудование выходит из строя или случается сбой, то восстановление работоспособности систем становится непредсказуемым процессом, особенно если требуется замена комплектующих, а их запас не был предусмотрен первоначальной закупкой. И что делать, если починить оперативно не получается?

Траты на сервис, напротив, прогнозируемы и не могут превышать по стоимости ежемесячную подписку. А так как сервис быстро масштабируется, клиент может практически в любой момент отключить какие-то точки или вовсе отказаться от услуг провайдера.  Согласитесь, поменять оборудование, в которое уже вложил несколько миллионов, намного сложнее.

Страх 2. Тяжело отказаться от привычной модели затрат

Как правило, бизнес считает свои расходы категорией CAPEX (капитальные затраты), то есть сразу выделяет на реализацию проекта весь необходимый бюджет. Сервисная модель, в свою очередь, предполагает перевод капитальных затрат в операционные – в виде подписки на сервис.

Если вы привыкли в декабре сводить «дебет с кредитом», а все проекты оплачивать сразу, то подписка вашей модели затрат не подойдет. Поэтому сервис-провайдер может предложить сертификат на услугу. Фактически это предоплата за сервис на год вперед. Возможно, такой вариант больше устроит вашу бухгалтерию, и им не потребуется менять привычные процессы.

Страх 3. Сервис-провайдера невозможно проконтролировать

Деятельность своих сотрудников можно отследить, прописать им должностные обязанности, требовать регулярные отчеты, заходить к ним в кабинет и проверять, чем они занимаются.  Так же и с оборудованием – директор по ИБ знает, какое «железо» стоит в инфраструктуре его компании и уверен, что знает, сколько времени займет исправление какой-то ошибки.

Но как контролировать сервис-провайдера, чьих сотрудников и чье оборудование вы практически не видите? Где гарантия, что все системы провайдера настроены корректно и он сможет оперативно среагировать на угрозу? Откровенно говоря, любой подрядчик, аутсорсер, сервис-провайдер – это «кот в мешке».

Преодолеть этот страх можно через совместные пилотные проекты, по итогам которых будет ясно, подходит ли вам этот подрядчик, манера его работы и сервисная модель в целом. Конечно, даже при идеальных «пилотах» дальше могут возникнуть сложности. Поэтому, помимо прочего, крайне важно при выборе подрядчика оценить его репутацию, наличие у него достаточной базы клиентов, которые ему доверяют, референсных проектов. По согласованию с существующими заказчиками аутсорсер может организовать референс-визит к ним, чтобы потенциальный клиент мог напрямую задать интересующие вопросы и убедиться в надежности поставщика услуги.

Тут важно понимать, что качество предоставляемых сервисов описывается конкретными четко измеряемыми параметрами уровня услуг (SLA): предельное время от момента сбоя до момента восстановления работоспособности инфраструктуры и время доступности сервиса в течение квартала. Также взаимодействие с сервис-провайдером предполагает, что клиент будет получать регулярные отчеты о состоянии инфраструктуры и о проделанной работе.

Страх 4. Если все сломается, провайдер не понесет никакой ответственности

Этот тезис особенно волнует компании, которые являются владельцами критической информационной инфраструктуры (КИИ) и несут административную и уголовную ответственность за сбои, возникшие из-за уязвимостей ИБ. Остальным остановка бизнес-процессов из-за атаки хакеров грозит репутационными и финансовыми потерями, что тоже совсем нерадостно.

Отметим сразу, что в госсекторе для подрядчиков действуют штрафы за простой инфраструктуры. Если же речь идет о частном бизнесе, то любой сбой по вине сервис-провайдера может серьезно ударить по репутации последнего. А так как подключение и отключение сервиса занимает считанные дни, ничто не мешает вам отказаться от услуг этого подрядчика.

Также в договоре с сервис-провайдером можно прописать штрафы за нарушение SLA.

Страх 5. Сервис-провайдер заберет часть компетенций у штатных ИБ-специалистов, и они останутся без работы.

Действительно, во многих сферах штатные сотрудники воспринимают аутсорсеров как конкурентов. Проблема обеспечения информационной безопасности заключается в том, что крайне редко компании могут выделить достаточный бюджет на формирование ИБ-службы (как мы указывали выше, компетентные специалисты достаточно «дороги»). Но даже при необходимом бюджете найти персонал на фоне кадрового дефицита сложно. В итоге штатных ИБ-специалистов приходится нагружать рутинными задачами, и у них не остается времени на более высокоуровневые, стратегические вопросы.

Если сервис-провайдер освободит их от рутины (например, от составления отчетов по событиям ИБ), то штатные «ибэшники» смогут заняться построением эффективных бизнес-процессов, осуществлять их мониторинг, разбираться в тонкостях KPI для качественной и количественной оценки работы сервис-провайдеров.

Поставщик ИБ-сервисов берется защищать клиентов от вполне конкретных рисков, определенных векторов и сценариев атак. И, соответственно, отвечает не за весь комплекс безопасности, а только за те функции, выполнение которых на себя взял. Но последнее слово и ключевая роль все равно остается за штатными ИБ-специалистами.  Их сила — это четкое понимание бизнеса, структуры компании, финансовых вопросов, которое позволяет ему говорить с другими менеджерами на одном языке, выстраивая цепочку от бизнес-рисков до рисков ИБ.

Страх 6. Вдруг у сервис-провайдера нет нужных лицензий и сертификатов

Мы привыкли, что информационная безопасность – это сфера, где требуется множество сертификатов и лицензий от ФСТЭК, ФCБ и других регуляторов. А если сервис-провайдер не соблюдает compliance, придется ли за это отвечать его клиенту? Желание подстраховаться и проверить у поставщика услуги наличие всех возможных документов понятно. Но чаще всего это требование избыточно.

Например, при подключении сервиса защиты веб-приложений (WAF), заказчик просит у сервис-провайдера «аттестатат на систему по требованиям безопасности информации», чтобы удостовериться в защите персональных данных, которые могут присутствовать в анализируемом трафике. Но это требование чрезмерно по нескольким причинам. Во-первых, аттестация информационной системы по требованиям защиты информации в обязательном порядке проводится только для государственных информационных систем. Во-вторых, требования по защите персональных данных могут предъявляться только к информационным системам персональных данных, к которым тот же WAF не относится.

Страх 7. Пустить «чужака» в свою инфраструктуру

Сложно спорить с тем, что информационная безопасность – это важная составляющая внутренних бизнес-процессов компании. Например, финансовые организации хранят информацию о клиентах, включая их персональные данные, и отвечают за ее сохранность.

Но если сервис-провайдер обеспечивает безопасность ИТ-инфраструктуры, он получает доступ к  информации заказчика, в том числе конфиденциальной? Скорее всего – ведь иначе он не сможет оказать услугу. Но между контрагентами должны быть подписаны NDA, SLA, которые вводят значительные штрафы за разглашение этой информации. Конечно, недобросовестные партнеры могут нарушить все соглашения. Поэтому выбирайте сервис-провайдера с хорошей репутацией, опытом и большим количеством клиентов, для которого «слив информации» станет тяжелым ударом по репутации и бизнесу. Многие компании открыто рассказывают о том, как проходит подбор кадров и повышение квалификации специалистов. «Ростелеком-Солар», например, работает с вузами и активно приглашает к сотрудничеству талантливых студентов, но при этом особенно ответственные позиции доверяются только опытным и проверенным работникам.

Впрочем, не забывайте, что риск нарушения политики ИБ собственными работниками ничуть не меньше: как показывает практика последних лет, именно они, а не хакеры, становятся основными виновниками утечек конфиденциальной информации.

Заключение

С одной стороны, у сервисной модели есть явные преимущества: скорость предоставления услуги, решение кадрового вопроса и профессиональная экспертиза, экономия средств. Для некоторых компаний это оптимальный вариант решения всех ИБ-задач. С другой – страхи заказчика также объяснимы и часто обоснованы, ведь и на этом рынке встречаются недобросовестные игроки.

Понимая это, ответственные сервис-провайдеры стараются повышать безопасность и качество своих услуг, а также глубже погружаться во внутренние процессы клиентов, максимально адаптируя свое предложение под нужды конкретного заказчика.

Мы не знаем, сколько времени пройдет, прежде чем «кибербезопасность из облака» станет стандартной практикой, не вызывающей вопросов. Но уже сейчас есть компании, где большая часть процессов отдана на аутсорсинг и ИБ-штат представлен только руководителем службы кибербезопасности.  Это, прежде всего, предприятия и организации с географически разнесенными филиалами, а также с удаленными от крупных населённых пунктов площадками. Например, сельское хозяйство и медицина.  К ИБ-аутсорсингу сейчас активно прибегают банки, даже несмотря на то, что у многих из них есть собственные специалисты и целые ИБ-департаменты. В ближайшее время мы скорее всего увидим и массовый переход на сервисную модель в сферах, на которые киберпреступники обращают все больше внимания: образование и ритейл.

По инф. Телеинформа

полезные советы маркетологу

МНОГИХ ЗАИНТЕРЕСОВАЛО:


«Ростелеком-Солар» запустил сервис Sandbox («песочница») – для защиты от сложных и ранее неизвестных угроз, реализуемых через почтовый и веб-трафик. Sandbox дополнил линейку управляемых сервисов кибербезопасности Solar MSS. Решение на базе Check Point Sandblast обеспечивает безопасность работы пользователей на уровне 98,4%  и в отличие от аналогов не замедляет бизнес-процессы. При этом на горизонте семь лет сервис оказывается для компаний в среднем на 30% дешевле собственного решения.
wink-
Сразу пять эксклюзивных кинопремьер ждут зрителей видеосервиса Wink в апреле: уникальный документальный фильм о киберспортсменах «NAVI. Рожденные побеждать», новая серия «Девяностых» — «Реклама», картина о судьбе лыжницы Елены Вяльбе «Белый снег», романтическая драма взросления юной мечтательницы в богемном мегаполисе 90-х «Мой год в Нью-Йорке» и сентиментальная отечественная драмеди «Рашн юг». Об этом сообщает пресс-службы «Ростелекома».
2021-03-31-04-08-20
«Ростелеком» в Иркутской области увеличил число подключений услуг в день подачи заявки до 20 процентов. Наиболее популярными услугами, которые клиенты хотят получить в день обращения, стали интернет, цифровой видеосервис Wink домашнее видеонаблюдение. Об этом сообщает пресс-служба компании.
wink-
Видеосервис Wink приобрел эксклюзивные права на большую библиотеку культовых фильмов. В новом каталоге собраны шедевры известных мировых режиссеров и главные кинохиты основных международных фестивалей – более 70 лент французского, испанского, американского, британского, австрийского, польского, греческого, сербского и японского кинематографов.

 

ВПЕРЕДСМОТРЯЩИЙ


«Ростелеком-Солар» запустил сервис Sandbox («песочница») – для защиты от сложных и ранее неизвестных угроз, реализуемых через почтовый и веб-трафик. Sandbox дополнил линейку управляемых сервисов кибербезопасности Solar MSS. Решение на базе Check Point Sandblast обеспечивает безопасность работы пользователей на уровне 98,4%  и в отличие от аналогов не замедляет бизнес-процессы. При этом на горизонте семь лет сервис оказывается для компаний в среднем на 30% дешевле собственного решения.
wink-
Сразу пять эксклюзивных кинопремьер ждут зрителей видеосервиса Wink в апреле: уникальный документальный фильм о киберспортсменах «NAVI. Рожденные побеждать», новая серия «Девяностых» — «Реклама», картина о судьбе лыжницы Елены Вяльбе «Белый снег», романтическая драма взросления юной мечтательницы в богемном мегаполисе 90-х «Мой год в Нью-Йорке» и сентиментальная отечественная драмеди «Рашн юг». Об этом сообщает пресс-службы «Ростелекома».
2021-03-31-04-08-20
«Ростелеком» в Иркутской области увеличил число подключений услуг в день подачи заявки до 20 процентов. Наиболее популярными услугами, которые клиенты хотят получить в день обращения, стали интернет, цифровой видеосервис Wink домашнее видеонаблюдение. Об этом сообщает пресс-служба компании.
wink-
Видеосервис Wink приобрел эксклюзивные права на большую библиотеку культовых фильмов. В новом каталоге собраны шедевры известных мировых режиссеров и главные кинохиты основных международных фестивалей – более 70 лент французского, испанского, американского, британского, австрийского, польского, греческого, сербского и японского кинематографов.
wink-
Сразу шесть эксклюзивных кинопремьер ждут зрителей видеосервиса Wink в марте.
-2020-
В 2020 году жители Иркутской области проговорили по универсальным таксофонам рекордное количество времени – 2 миллиона 80 тысяч минут. По сравнению с 2019 годом – 820 тысяч минут – общий трафик увеличился в 2,5 раза, сообщает пресс-служба «Ростелекома».
2021-03-02-03-53-53
Свыше 1 200 работ поступило на конкурс региональных журналистов и блогеров «Вместе в цифровое будущее», который проводит «Ростелеком». Самые активные участники – представители массмедиа из Поволжского, Уральского и Центрального федеральных округов. Об этом сообщает пресс-служба «Ростелекома».
2021-02-26-19-07-29
«Ростелеком» представляет новую версию тарифа «Трансформер», который научился автоматически подстраиваться под интересы клиента. Обновленный тариф-конструктор сохранил все свои преимущества и пополнился возможностями для новых подписчиков интерактивного телевидения и видеосервиса Wink, сообщает пресс-служба компании.
БайкалИНФОРМ - Объявления в Иркутске