Η ασφάλεια του ΙΤ είναι ίσως από τα κρισιμότερα ζητήματα που πρέπει να αντιμετωπίσουν οι εταιρείες. Και ενώ παραδοσιακά το ενδεχόμενο ανάθεσης σε εξωτερικό πάροχο των υπηρεσιών ασφάλειας αντιμετωπίζονταν με δυσπιστία, σήμερα φαίνεται ότι όλο και περισσότερες επιχειρήσεις αποφασίζουν να εμπιστευτούν το κρίσιμο ζήτημα της ασφάλειας σε κάποιον άλλο...

Η προστασία του δικτύου Πληροφορικής και των εφαρμογών απέναντι στις ψηφιακές γίνεται ολοένα και πιο περίπλοκη και δύσκολη. Οι μέρες όπου οι ανησυχίες του ΙΤ εστίαζαν στα antivirus, το spam και την άμυνα της περιμέτρου, έχουν περάσει προ πολλού και ανεπιστρεπτί. Τώρα, οι ανησυχίες σχετικά με την ασφάλεια επικεντρώνονται σε κρίσιμα ζητήματα που μπορούν να επηρεάσουν τα κέρδη μιας επιχείρησης, τη φήμη του ονόματός της και τη συνεχιζόμενη βιωσιμότητά της ως εταιρεία.

Η συμμόρφωση προς τα θεσμικά και κανονιστικά πλαίσια, η κλοπή ταυτότητας, η απώλεια ευαίσθητων πληροφοριών πελατών, η ικανότητα πρόσβασης σε ζωτικά εταιρικά αρχεία μέσω τηλεφώνου ή άλλων φορητών συσκευών είναι μερικοί μόνο από τους εξόφθαλμους κινδύνους που οι εταιρείες πρέπει να λάβουν υπόψη τους κατά το σχεδιασμό και το χτίσιμο μιας ισχυρής και αξιόπιστης υποδομής ασφάλειας.

Κατ’ επέκταση, οι δαπάνες για την ασφάλεια του ΙΤ συνεχίζουν να αγγίζουν επίπεδα ρεκόρ. Αυτές οι δαπάνες διατίθενται σε όλα τα επίπεδα της υποδομής hardware και λογισμικού, στο middleware και τις υπηρεσίες Web. Αλλά, ολοένα και πιο συχνά, κομμάτια του προϋπολογισμού για την ασφάλεια δαπανούνται σε outsourcing και managed services παρόχους που αποκτούν μεγαλύτερο μερίδιο της ευθύνης για την ασφάλεια των ψηφιακών περιουσιακών στοιχείων μιας εταιρείας.

Αυτό δεν προκαλεί έκπληξη. Στην πραγματικότητα πρόκειται για μία τάση που είχε προβλεφθεί χρόνια πριν. Σε έρευνα του 2004, η Yankee Group υποστήριζε ότι οι εταιρείες θα κάνουν outsource το 90% του security management μέχρι το 2010, κυρίως λόγω της εισροής νέων, εξελιγμένων απειλών και τη συνεχιζόμενη παρέλαση καινούργιων ρυθμιστικών πρωτοβουλιών.

Outsourcing security: από όπλο τακτικής, στρατηγικό πλεονέκτημα
Το outsourcing των περισσότερων λειτουργιών του ΙΤ έχει ακολουθήσει ένα οικείο, παρόμοιο μοτίβο: όσο πιο ‘τακτικής’ σημασίας και προβλέψιμη είναι μια δραστηριότητα, τόσο περισσότερο λογικό είναι για τις εταιρείες να αποφασίσουν να προχωρήσουν σε outsourcing ή να συνεργαστούν με ένα πάροχο managed services. Χωρίς αμφιβολία, αυτή η προσέγγιση ακολουθείται και για το κομμάτι της ασφάλειας – για αρκετά χρόνια οι απλές και καθημερινές δραστηριότητες που αφορούσαν την ασφάλεια (όπως τα spam, antivirus, log management, intrusion detection/prevention) ανατίθεντο σε παρόχους Managed Security Services.

Οι λόγοι για αυτή την επιλογή ήταν απλοί: Χαμηλότερα συνολικά κόστη για τη διαχείριση αυτών των ενεργειών, προβλέψιμα κόστη και, το πιο σημαντικό ίσως, η ικανότητα να εστιάσει η εταιρεία τους εσωτερικούς της πόρους σε περισσότερο ‘στρατηγικές’ δραστηριότητες. Το αποτέλεσμα αυτού ήταν τα έσοδα των παρόχων διαχειριζόμενων υπηρεσιών ασφάλειας να παρουσιάζουν πολύ υψηλούς ρυθμούς ανάπτυξης χρόνο με το χρόνο, όπως φαίνεται και σε έρευνες της Gartner.
Και τότε κάτι συνέβη: το ζήτημα της ασφάλειας έγινε πιο περίπλοκο και πιο ζωτικό για το core business των εταιρειών.

Και τότε, κάτι άλλο συνέβη: η οικονομική κρίση. Ο αριθμός των απασχολούμενων στο ΙΤ μειώθηκε- συμπαρασύροντας πολύτιμη εμπειρία και εξειδίκευση-, ενώ και οι δαπάνες για την Πληροφορική μειώθηκαν κατά πολύ μέσα στο 2009. Αν σε όλα αυτά προσθέσουμε τον ενοχλητικό αλλά υποχρεωτικό κυκεώνα των κανονιστικών και ρυθμιστικών απαιτήσεων, είναι εύκολο να κατανοήσουμε γιατί οι εταιρείες ολοένα και περισσότερο στρέφονται σε παρόχους διαχειριζόμενων υπηρεσιών ασφάλειας και σε συνεργάτες outsourcing προκειμένου να αναλάβουν ένα μεγαλύτερο μερίδιο του βάρους της ασφάλειας.

«Οταν κάποιοι κοιτούν τα ζητήματα της ασφάλειας για τη συμμόρφωση, καθώς και για άλλες στρατηγικές λειτουργίες, ακόμα και όταν έχουν επαρκείς εσωτερικούς πόρους, δεν έχουν πάντα μία εφαρμοσμένη διαδικασία ώστε να μπορούν εύκολα να τεκμηριώσουν ελεγκτικούς σκοπούς», επισημαίνει ο Kevin Kavanagh, principal research analyst της Gartner. «Φυσικά, οι πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας εξακολουθούν να προτιμούνται για τα βασικά, αλλά καθώς οι τεχνολογίες ασφάλειας ωριμάζουν, γίνεται όλο και πιο λογικό μια εταιρεία να συνεργαστεί με έναν Managed Security Services πάροχο ακόμα και για στρατηγικές ενέργειες».

Το συμπέρασμα είναι ότι οι εταιρείες όλο και περισσότερο αφήνουν πίσω τους τούς δισταγμούς για το outsourcing των υπηρεσιών ασφάλειας. «Το έχουμε ξαναδεί αυτό το έργο», υποστηρίζει ο Frank Casale, CEO και ιδρυτής του Outsourcing Institute, συμβουλευτική και εταιρεία αναλύσεων για το outsourcing με έδρα τη Νέα Υόρκη. «Το είδαμε με το data center. Μπορεί κάποιοι να πουν ότι ‘αυτό είναι η κορωνίδα μας, δεν μπορούμε να το κάνουμε outsourcing’. Στην πραγματικότητα όμως οι εταιρείες δεν έχουν, εδώ και χρόνια, πρόβλημα να κάνουν outsourcing διάφορες πτυχές της ασφάλειας, και πλέον είναι πιο άνετες με άλλες πτυχές».


Money makes the world go round
Ας ξεκινήσουμε με τα καλά νέα. Μετά τη δραματική περικοπή των δαπανών Πληροφορικής που ξεκίνησε τον Σεπτέμβρη του 2008, και συνεχίστηκε ολόκληρο το 2009, το 2010 φαίνεται αυτή η τάση να αλλάζει.

Παρόλο που δεν υπάρχουν αυτή τη στιγμή έρευνες πραγματικών στοιχείων για την αύξηση ή όχι των δαπανών σε τεχνολογία τη χρονιά που διανύουμε, σε έρευνα που διεξήχθη στις αρχές του 2010 από το SearchSecurity.com, με τη συμμετοχή περισσότερων από 150 επαγγελματιών της Πληροφορικής, το 44% δήλωνε ότι ανέμενε ο προϋπολογισμός τους να αυξηθεί σε σχέση με το 2009, ενώ ένα 38% ότι θα παραμείνει στα ίδια επίπεδα. Η έρευνα, αν και μόνο τις προθέσεις καταγράφει, είναι ωστόσο ενδεικτική της αυξητικής τάσης. Για το κομμάτι της ασφάλειας, τα πράγματα δείχνουν ακόμα πιο αισιόδοξα: περισσότεροι από 4 στους 10 συμμετέχοντες δήλωσαν ότι οι δαπάνες για ασφάλεια θα αυξηθούν αυτή τη χρονιά σε σχέση με την περυσινή.

Οσο αναφορά τη χρήση managed services ή outsourcing παρόχων φαίνεται από τα στοιχεία της έρευνας ότι παρουσιάζει αυξητικές τάσεις, ενώ και στελέχη εκτός ΙΤ αρχίζουν ολοένα και περισσότερο να αγκαλιάζουν ανάλογες προσεγγίσεις.

Υπάρχουν πολλοί λόγοι για τους οποίους συμβαίνει αυτό, αλλά όλοι έχουν ως επίκεντρο τη συνεχώς αυξανόμενη πολυπλοκότητα της ασφάλειας του ΙΤ και τη σύνδεσή της με βασικές επιχειρηματικές επιταγές, όπως είναι η ιδιωτικότητα, η προστασία ταυτότητας, η συμμόρφωση και η βελτιωμένη αξιοποίηση του προσωπικού.

Κατ’ επέκταση, οι υπηρεσίες ασφάλειας είναι πλέον από τα βασικά συστατικά του χαρτοφυλακίου υπηρεσιών των παρόχων managed services. Για του λόγου το αληθές, το MSPmentor.com, το οποίο παρακολουθεί την κοινότητα των παρόχων διαχειριζόμενων υπηρεσιών, αναφέρει ότι το 80% των MSP (Managed Services Providers) παρέχουν υπηρεσίες ασφάλειας, με την ασφάλεια να αποτελεί τη νούμερο 2 υπηρεσία τους, μετά το storage.

Μία ακόμα σημαντική τάση που αναδεικνύεται από την έρευνα του SearchSecurity.com είναι το γεγονός ότι η ανάθεση της διαχείρισης της ασφάλειας σε έναν εξωτερικό συνεργάτη φαίνεται να κερδίζει έδαφος και ανάμεσα στα μη-ΙΤ στελέχη, καθώς οι συμμετέχοντες δηλώνουν ότι σχεδόν το 60% τόσο των στελεχών ΙΤ όσο και των υπόλοιπων ανώτερων στελεχών πιστεύουν ότι το outsourcing είναι τουλάχιστον επωφελές ως στρατηγική για την ασφάλεια του ΙΤ – κάτι που θα ήταν δύσκολο ακόμα και να το φανταστούμε μέχρι πριν από μερικά χρόνια.

«Εχει αλλάξει ο τρόπος που τα υπόλοιπα στελέχη, εκτός ΙΤ, μιας εταιρείας αντιμετωπίζουν την αξία των διαχειριζόμενων υπηρεσιών ασφάλειας», επισημαίνει ο Kavanagh. «Για αυτούς, το outsourcing φαίνεται ένας καλός τρόπος για να μειώσουν τα κόστη του ΙΤ – οτιδήποτε παρέχει λειτουργικότητα χωρίς να αυξάνει τον αριθμό των απασχολούμενων θεωρείται σήμερα καλό. Και οι κανονιστικές απαιτήσεις καθιστούν ακόμα δυσκολότερη υπόθεση για τα τμήματα ΙΤ να αναλάβουν τα πάντα μόνοι – οι εταιρείες συχνά δεν έχουν άλλη επιλογή από το να στραφούν έξω για τις απαιτούμενες γνώσεις και ικανότητες».

Ο Mike Rothman, πρόεδρος της Securosis, εταιρεία ερευνών και αναλύσεων που ειδικεύεται στην ασφάλεια, λέει ότι το κλειδί για το οικονομικό όφελος που μπορούν να προσφέρουν οι πάροχοι managed security services είναι η αξιοποίηση οικονομιών κλίμακας. «Πολλές εταιρείες θα ήθελαν να τρέξουν εσωτερικά κάποιες δραστηριότητες που σχετίζονται με την ασφάλεια, αλλά η πραγματικότητα είναι ότι πολλές από αυτές δεν διαθέτουν ούτε τους πόρους ούτε τη γνώση για να κλιμακώσουν αποδοτικά τις λειτουργίες τους, και για αυτό συχνά είναι πιο λογικό επιχειρηματικά να χρησιμοποιήσουν έναν πάροχο υπηρεσιών», επισημαίνει.

Εκτός από το προφανές οικονομικό όφελος, ένας ακόμα παράγοντας που κάνει τις διοικήσεις των εταιρειών πιο θετικά διακείμενες στην προοπτική αξιοποίησης ενός παρόχου MSS είναι η ολοένα και μεγαλύτερη αναγνώριση της στρατηγικής φύσης της Πληροφορικής. Σχεδόν οι μισοί από τους συμμετέχοντες στην έρευνα δηλώνουν ότι η διοίκηση της εταιρείας τους έχει πλέον τοποθετήσει το ΙΤ πιο ψηλά στις προτεραιότητές της.

Πέρα από τα χρήματα…
Πάνω και πέρα από την ευκαιρία για εξοικονόμηση χρημάτων, ποια ακριβώς είναι τα αναμενόμενα οφέλη από τη συνεργασία με πάροχο διαχειριζόμενων υπηρεσιών για την ασφάλεια; Παρόλο που η πιθανή μείωση του κόστους αναφέρεται ως το σημαντικότερο όφελος του outsourcing της ασφάλειας, οι συμμετέχοντες στην έρευνα δηλώνουν ότι αναζητούν, επίσης, πρόσβαση σε εξειδικευμένη γνώση, καθώς και τη δυνατότητα να προβλέψουν το κόστος με ακρίβεια.

Εκτός λοιπόν από τη μείωση του κόστους, είναι επίσης πολύ σημαντικό το γεγονός ότι η αξιοποίηση ενός εξωτερικού παρόχου, επιτρέπει στις εταιρείες να αναπτύξουν και να εκπαιδεύσουν τις εσωτερικές ομάδες ασφάλειας σε καινούργιες, προηγμένες τεχνολογίες. Αλλο ένα πλεονέκτημα που αναζητούν οι εταιρείες επιλέγοντας εξωτερικό πάροχο είναι οι εξειδίκευση του παρόχου για τον κλάδο στον οποίο δραστηριοποιείται, τόσο όσον αφορά στις καθημερινές, επιχειρηματικές λειτουργίες, όσο και για τον αυξανόμενο αριθμό κανονιστικών απαιτήσεων.

Η εξειδίκευση του παρόχου σε μια συγκεκριμένη αγορά, δεν αποτελεί μόνο αποφασιστική παράμετρο για την επιλογή του από έναν πελάτη, αλλά και κρίσιμο παράγοντα που θα κρίνει την τελική απόφαση για την ανάθεση ή όχι των υπηρεσιών ασφάλειας σε εξωτερικό πάροχο.


4 συνήθη ερωτήματα σχετικά με τα managed security services
Η Yankee Group επισημαίνει τα πιο συνηθισμένα ερωτήματα γύρω από τα managed security services, και υπογραμμίζει τα συστατικά μιας επιτυχημένης συμφωνίας.

1. Πρέπει να επιλέξω τον ίδιο πάροχο υπηρεσιών για τη διαχείριση αμφότερων των υπηρεσιών ΙΤ και των υπηρεσιών ασφαλείας;
Η Yankee Group συστήνει διαφορετικό πάροχο για τις υπηρεσίες ασφάλειας για την αποφυγή σύγκρουσης συμφερόντων ανάμεσα στην ασφάλεια και στην εξυπηρέτηση των πελατών. Οι διαχειριστές που προσπαθούν να εξυπηρετήσουν τους πελάτες μπορεί να αντιμετωπίσουν τις διαδικασίες ασφάλειας ως τροχοπέδη στην ικανότητά τους να παραδώσουν την υπηρεσία μέσα στο συμφωνημένο χρονοδιάγραμμα.

Για να διασφαλίσετε ότι οι πολιτικές ασφάλειας του οργανισμού σας επιβάλλονται, θα πρέπει να διαχωρίσετε τα καθήκοντα για την ασφάλεια και να εκμισθώσετε αφιερωμένο σε αυτά προσωπικό.

2. Ποιες διαδικασίες πρέπει να ακολουθήσω κατά την ανάπτυξη μιας managed security υπηρεσίας;
Το καλύτερο σημείο εκκίνησης είναι οι εταιρικές πολιτικές ασφάλειας. Οι ρόλοι και οι αρμοδιότητες που ορίζονται σε αυτές τις πολιτικές μπορούν να μοιραστούν ανάμεσα στο outsourced και το in-house προσωπικό για την ασφάλεια. Αναγνωρίστε αυτά τα assets στον σκοπό της υπηρεσίας και διαπραγματευτείτε μια service-level agreement για αν διαχειριστείτε αυτά τα assets. Αυτή η βασική δουλειά διαμορφώνει τα θεμέλια του managed services συμβολαίου σας και διασφαλίζει ότι και οι δυο πλευρές έχουν ξεκάθαρες προσδοκίες.

Είναι επίσης κρίσιμο να διασφαλίσετε επαρκές προσωπικό πριν, κατά τη διάρκεια και μετά τη μετάβαση σε μία διαχειριζόμενη υπηρεσία. Η δυσκολία στην απόδειξη της απόδοσης της επένδυσης για την ασφάλεια αλλά και η έλλειψη ικανού προσωπικού έχουν οδηγήσει στο χρόνιο πρόβλημα τη υπο-στελέχωσης της εσωτερικής ομάδας ασφάλειας. Μην υποθέτετε ότι ο πάροχος των διαχειριζόμενων υπηρεσιών έχει το προσωπικό να εκπληρώσει το συμβόλαιο. Ζητήστε έγκριση για στελέχωση και παίξτε ενεργό ρόλο στη διασφάλιση ότι η στελέχωση είναι επαρκής.

3. Πώς τα managed security services επηρεάζουν τους εταιρικούς κινδύνους ασφάλειας;
Αν έχετε μετακινηθεί σε ένα μοντέλο διαχειριζόμενων υπηρεσιών, έχετε μειώσει τους κινδύνους στο πεδίο της managed service συμφωνίας σας, Ωστόσο, εσείς, και όχι ο πάροχος, είστε υπεύθυνοι για τις συνέπειες μιας παραβίασης της ασφάλειας, μιας διακοπής της λειτουργίας, μιας κλοπής πληροφοριών ή μιας απάτης.

Εμπιστευτείτε τον πάροχό σας για την ενίσχυση των εταιρικών σας πολιτικών, αλλά περιοδικά επαληθεύστε ότι το κάνουν αυτό αποτελεσματικά. Η τακτική επαναξιολόγηση των συνολικών εταιρικών κινδύνων και ελέγχου είναι ζωτικής σημασίας, και θα σας βοηθήσει να καταλάβετε πώς θα αποκομίσετε τα μέγιστα από τις υπηρεσίες που έχετε επιλέξει. Οι διαχειριζόμενες υπηρεσίες ασφάλειας αυξάνουν κάποιους κινδύνους.

Για παράδειγμα, ένας πάροχος υπηρεσιών θα ζητήσει προνομιούχα απομακρυσμένη πρόσβαση. Αν η ανάλυση του ρίσκου δείξει ότι εξακολουθείτε να έχετε σημαντικούς κινδύνους, η Yankee συστήνει επιπλέον controls για να ελέγξετε την αποτελεσματικότητα της διαχειριζόμενης υπηρεσίας.

4. Ποιες είναι οι παγίδες των managed security services;
Δώστε ιδιαίτερη προσοχή στις χρεώσεις για τις υπηρεσίες που δεν καλύπτονται στο συμβόλαιό σας και σκεφτείτε το ενδεχόμενο να τις ενσωματώσετε στον προϋπολογισμό του ΙΤ. Η τακτικότητα και η συχνότητα των out-of-service χρεώσεων είναι μια ένδειξη ότι χρειάζεται να επαναδιαπραγματευθείτε το συμβόλαιό σας.

Να είστε προετοιμασμένοι για βραδύτερες διαδικασίες αγοράς καινούργιου hardware και λογισμικού.

Διασφαλίστε ότι ο πάροχος θέτει τις σωστές προτεραιότητες για το project σας.

Επιτρέψτε επαρκή χρόνο για να εξασφαλίσετε πόρους από διαφορετικούς οργανισμούς και τμήματα. Η επικοινωνία ανάμεσα σε εσάς και τον πάροχο θα πρέπει να αντιμετωπίζεται ως επαφή με πελάτη και να ελέγχεται προσεκτικά ώστε να αποφευχθεί η πιθανότητα υπερβολικής δέσμευσης.

Οι καθυστερήσεις δημιουργούν σε κάποιους managers τον πειρασμό να αγοράσουν δικό τους hardware και λογισμικό. Το αποτέλεσμα αυτού είναι κρυφά κόστη Πληροφορικής και assets πληροφοριών που δεν είναι φυσικά προστατευμένα ή στο ίδιο επίπεδο με άλλους servers του δικτύου.