Оказалось, что тема аутсорсинга – волнует многих. Вставлю и я свои пять копеек. Если лень читать много букв, то краткий вывод – у аутсорсинга информационной безопасности будущего в ближайшей перспективе нет. А теперь много букв.
Лирика для вхождения в тему
Как-то месяца два назад, наткнулся в ленте новостей на статью «почему западные методики бизнеса не приживаются в России» или как-то так. Главный посыл, потому что у нас другой менталитет. А, вот, вывод был не правильный – «давайте менять менталитет».
Вся стратегия аутсорсинга (слово-то какое буржуинское :)) строится на том, что мы доверяем компании аутсорсеру. А, если не доверяем, то сможем с нее взыскать убытки по договору через суд. Как вы понимаете, что бы не допустить второго, наше доверие должно быть избирательным. Помочь ему в этом может множество факторов, но главный – репутация. И это первая проблема.
Вчера я упоминал круглый стол у Алексей Лукацкого на Infosec2013 . Там Алексей впрямую заявил – «в России репутация стоит ноль». И я был шокирован, какое большое количество фанатов Алексея его поддержало. На BISA саммите в 2014 году, я решил уточнить у Алексей, изменилось ли его мнение (не дословное цитирование):
— Нет. У нас в куче банков происходят утечки и кража денег, но все остается как есть.
— Хорошо. Но начнем с малого, есть же личная репутация, и…
— А и ее нет. Про меня такое говорят, устал читать.
Т.е. в нашей сфере, известный блоггер, формирующий общественное мнение, не верит в репутацию и что она чего-то стоит. Вот, от этого и оттолкнемся.
Я затрону всего три грани, почему аутсорсинг это не про нас:
- со стороны заказчика;
- со стороны рынка;
- и со стороны продаж.
Почему аутсорсинг ИБ не нужен заказчику?
Аутсорсинг, вообще, в принципе выгодная вещь. Например, что бы не держать собственную логистическую структуру – проще нанять специальную компанию. Качество сервиса растет, прямые расходы известны, бери и радуйся. Но уже на этапе, когда мы переходим к аутсорсингу ИТ, а тем более ИБ – это мало работает.
Во-первых, это очень дорого. Посмотрите материалы Solar с SOC форума , в каждой презентации у них есть слайд, где затраты на внедрение собственного SOC и аутсорсинг, сходятся в районе 3 лет (парни, без контактов – вы еще не оплатили прошлый счет за product placement :) ).
Т.е. дальше, аутсорсинг будет только дороже. Вообще, нанять 1 специалиста на аутсорсинг на рынке стоит 3 ФОТ, от стоимости собственного специалиста.
Это не говоря уже о том, что если вы берете на аутсорсинг сложные системы (те же SOC), вы их банально не сможете амортизировать, а любой бухгалтер вам скажет, что амортизационные отчисления один из главных источников модернизации. Для сложных систем срок амортизации варьируется от 3 до 7 лет. Т.е. и здесь не выгодно.
Но вернемся к сути. Если вы увлекаетесь теорией литературы, то должны знать или хотя бы слышали, что есть с десяток классических сюжетов и остальное лишь вариация на тему. Один из этих классических сюжетов – разорившийся богач (Гобсек, например), от которого отворачиваются все, остается лишь пара верных слуг. В нынешних реалиях – обычно водитель, охранник и экономка. Можно долго рассуждать, почему и как, основное – потому, что эти люди наиболее тесно общались с хозяином и стали частью жизни друг друга.
Я не хочу сказать, что безопасники – слуги. Но это наиболее близкая к владельцу структура, призванная его защищать от всего чего сможет. Если он не доверяет собственным безопасникам, то кому ж доверять? Скажем прямо, безопасники – это наиболее преданная и лояльная к организации структура. Да, преданность и лояльность можно купить. Ведь всегда в условиях войны, можно было нанять наемников. Но надо быть уверенным, что вас не кинут в трудную минуту. И тут опять всплывает вопрос репутации.
Рассмотрим разные ситуации взаимоотношений. Например, я. Любой человек, работающий со мной знает, что я человек слова, у меня есть несколько пунктиков на счет сроков и другие заморочки. Но если я с кем-то договорился, то слово назад не вертаю. Это отношения человек–человек.
В ситуации отношений человек-организация, все примерно так же. Правда возрастает неопределенность в отношении организации.
А, вот, в ситуации организация-организация все катится в кромешный ад. По сути, эти отношения переворачиваются в организация (аутсорсер)-человек (заказчик). Т.к. в Заказчике за привлечение аусорсера отвечает 1 человек, он принимает решение, контролирует и получает результат. Сами понимаете, что в данном случае заказчик будет в положении Алисы в стране чудес. Аутсорсер для него совсем не прозрачен (кто сомневается, можете как физическое лицо повзаимодействовать с любой государственной или коммерческой структурой по нетривиальному вопросу).
Кто эти люди? Кому они расскажу мои тайны? Уйдут ли через месяц работать к конкурентам? И еще тысяча вопросов. И, увы, все эти SLA, NDA, KPI и прочее не дают ответа. Закачаешься, какая информация внутри тусовки циркулирует.
Собственного сотрудника, хотя бы обматерить можно. А, Оператора Антона, иди еще найди, кто это.
Почему рынку не нужен аутсорсинг ИБ?
Тут уже не буду растекаться мыслью по древу. Что бы аутсорсинг работал, должно быть множество компаний, с определенной репутацией. Это на рынке телефонов могут быть пионеры, которые загребают все деньги. На рынке услуг все совсем иначе. Если нет альтернативы, не понятно – чего ожидать. Сейчас, вот Solar продвигает аусорсинг SOCов. Молодцы. Но мне не с чем сравнить. Я не понимаю ни ценообразования, ни своих затрат, не могу оценить качество сервиса. Да, и банально могу не доверять другим организациям в таком тонком деле, как управление инцидентами. Потому что глядя в окно, я вижу совсем иную картину. Почему Solar Security считает себя особенной? «Где ваши доказательства?» (с)
Поэтому понятно, почему Игорь Ляпунов (директор Solar) говорит : «Ответственность за информационную безопасность на заказчике, нельзя ее переложить на аутсорсера».
Главный посыл – как только на рынке, все будут играть по одним правилам с единой этикой поведения, тогда поговорим. Говоря проще, как Solar начнет отчитываться о пропущенных инцидентах и штрафах, что они заплатили, тогда имеет смысл присмотреться.
Почему аутсорсинг ИБ не продается?
Я обещал рассказать историю. Выполняю.
Жила была компания, оказывающая услуги по аутсорсингу. Взялись за дело они шибко, и скоро стали отличными специалистами в узкой области. Но, потом уперлись головой в потолок (или дно, как посмотреть). Текущие их заказчики уже не покрывали их расходов, т.к. аутсорсинг услуг масштабируется линейно. Надо было искать новых. Решила наша компания развивать партнерскую сеть, стали они везде ездить и всех агитировать «продавайте нас!». Но не получилось, никто их продавать не захотел. История еще не закончилась, посмотрим, что будет.
К чем это я? Все просто, в цепочке аутсорсер-заказчик, нет места партнеру (интегратору). Получается, что партнер может заработать только на скидке, которую даст аусорсер, т.к. интеграторских работ нет. Плюс, зачем заказчику работать с партнером, если можно напрямую с аутсорсером – мб и дешевле выйдет. К тому же, я не уверен, что аутсорсер банально не уведет моего клиента. Вот, и люди из истории – ходят по рынку, и пробуют что-то сделать.
В этом случае аутсорсер рассчитывает в основном на свои продажные силы, а их всегда недостаточно. Ирония, аутсорсеру, что бы продавать аутсорсинг, нужны продавцы на аутсорсинге в партнерах. :)
Куда не кинь, всюду клин. Аутсорсинг дорого, стремно и ненадежно. Печаль.
