Η ανάθεση των υπηρεσιών ασφάλειας σε έναν εξωτερικό πάροχο μπορεί να μην αποτελεί πια θέμα-ταμπού για τις εταιρείες, ωστόσο εξαιτίας της σημασίας και της πολυπλοκότητας των ζητημάτων της ασφάλειας απαιτείται η διαρκής συμμετοχή της Διεύθυνσης Πληροφορικής και η στενή συνεργασία με τον πάροχο.
Το outsourcing των περισσότερων λειτουργιών του ΙΤ έχει ακολουθήσει ένα οικείο, παρόμοιο μοτίβο: όσο πιο ‘τακτικής’ σημασίας και προβλέψιμη είναι μια δραστηριότητα, τόσο περισσότερο λογικό είναι για τις εταιρείες να αποφασίσουν να προχωρήσουν σε outsourcing ή να συνεργαστούν με ένα πάροχο managed services. Χωρίς αμφιβολία, αυτή η προσέγγιση ακολουθείται και για το κομμάτι της ασφάλειας – για αρκετά χρόνια οι απλές και καθημερινές δραστηριότητες που αφορούσαν την ασφάλεια (όπως τα spam, antivirus, log management, intrusion detection/prevention) ανατίθεντο σε παρόχους Managed Security Services.
Οι λόγοι για αυτή την επιλογή ήταν απλοί: Χαμηλότερα συνολικά κόστη για τη διαχείριση αυτών των ενεργειών, προβλέψιμα κόστη και, το πιο σημαντικό ίσως, η ικανότητα να εστιάσει η εταιρεία τους εσωτερικούς της πόρους σε περισσότερο ‘στρατηγικές’ δραστηριότητες. Το αποτέλεσμα αυτού ήταν τα έσοδα των παρόχων διαχειριζόμενων υπηρεσιών ασφάλειας να παρουσιάζουν πολύ υψηλούς ρυθμούς ανάπτυξης χρόνο με το χρόνο, όπως φαίνεται και σε έρευνες της Gartner. Και τότε κάτι συνέβη: το ζήτημα της ασφάλειας έγινε πιο περίπλοκο και πιο ζωτικό για το core business των εταιρειών.
Και τότε, κάτι άλλο συνέβη: η οικονομική κρίση. Ο αριθμός των απασχολούμενων στο ΙΤ μειώθηκε- συμπαρασύροντας πολύτιμη εμπειρία και εξειδίκευση-, ενώ και οι δαπάνες για την Πληροφορική μειώθηκαν κατά πολύ. Αν σε όλα αυτά προσθέσουμε τον ενοχλητικό αλλά υποχρεωτικό κυκεώνα των κανονιστικών και ρυθμιστικών απαιτήσεων, είναι εύκολο να κατανοήσουμε γιατί οι εταιρείες ολοένα και περισσότερο στρέφονται σε παρόχους διαχειριζόμενων υπηρεσιών ασφάλειας και σε συνεργάτες outsourcing προκειμένου να αναλάβουν ένα μεγαλύτερο μερίδιο του βάρους της ασφάλειας.
«Οταν κάποιοι κοιτούν τα ζητήματα της ασφάλειας για τη συμμόρφωση, καθώς και για άλλες στρατηγικές λειτουργίες, ακόμα και όταν έχουν επαρκείς εσωτερικούς πόρους, δεν έχουν πάντα μία εφαρμοσμένη διαδικασία ώστε να μπορούν εύκολα να τεκμηριώσουν ελεγκτικούς σκοπούς», επισημαίνει ο Kevin Kavanagh, principal research analyst της Gartner. «Φυσικά, οι πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας εξακολουθούν να προτιμούνται για τα βασικά, αλλά καθώς οι τεχνολογίες ασφάλειας ωριμάζουν, γίνεται όλο και πιο λογικό μια εταιρεία να συνεργαστεί με έναν Managed Security Services πάροχο ακόμα και για στρατηγικές ενέργειες».
Το συμπέρασμα είναι ότι οι εταιρείες όλο και περισσότερο αφήνουν πίσω τους τούς δισταγμούς για το outsourcing των υπηρεσιών ασφάλειας. «Το έχουμε ξαναδεί αυτό το έργο», υποστηρίζει ο Frank Casale, CEO και ιδρυτής του Outsourcing Institute, συμβουλευτική και εταιρεία αναλύσεων για το outsourcing με έδρα τη Νέα Υόρκη. «Το είδαμε με το data center. Μπορεί κάποιοι να πουν ότι ‘αυτό είναι η κορωνίδα μας, δεν μπορούμε να το κάνουμε outsourcing’.
Στην πραγματικότητα όμως οι εταιρείες δεν έχουν, εδώ και χρόνια, πρόβλημα να κάνουν outsourcing διάφορες πτυχές της ασφάλειας, και πλέον είναι πιο άνετες με άλλες πτυχές».
Εξοικονόμηση κόστους και άλλα
Πάνω και πέρα από την ευκαιρία για εξοικονόμηση χρημάτων, ποια ακριβώς είναι τα αναμενόμενα οφέλη από τη συνεργασία με πάροχο διαχειριζόμενων υπηρεσιών για την ασφάλεια;
Παρόλο που η πιθανή μείωση του κόστους αναφέρεται ως το σημαντικότερο όφελος του outsourcing της ασφάλειας, οι συμμετέχοντες στην έρευνα δηλώνουν ότι αναζητούν, επίσης, πρόσβαση σε εξειδικευμένη γνώση, καθώς και τη δυνατότητα να προβλέψουν το κόστος με ακρίβεια. Εκτός λοιπόν από τη μείωση του κόστους, είναι επίσης πολύ σημαντικό το γεγονός ότι η αξιοποίηση ενός εξωτερικού παρόχου, επιτρέπει στις εταιρείες να αναπτύξουν και να εκπαιδεύσουν τις εσωτερικές ομάδες ασφάλειας σε καινούργιες, προηγμένες τεχνολογίες.
Αλλο ένα πλεονέκτημα που αναζητούν οι εταιρείες επιλέγοντας εξωτερικό πάροχο είναι οι εξειδίκευση του παρόχου για τον κλάδο στον οποίο δραστηριοποιείται, τόσο όσον αφορά στις καθημερινές, επιχειρηματικές λειτουργίες, όσο και για τον αυξανόμενο αριθμό κανονιστικών απαιτήσεων. Η εξειδίκευση του παρόχου σε μια συγκεκριμένη αγορά, δεν αποτελεί μόνο αποφασιστική παράμετρο για την επιλογή του από έναν πελάτη, αλλά και κρίσιμο παράγοντα που θα κρίνει την τελική απόφαση για την ανάθεση ή όχι των υπηρεσιών ασφάλειας σε εξωτερικό πάροχο.
Στενή συνεργασία με τον πάροχο
Για ένα αποτελεσματικό, όμως, και… ασφαλές outsourcing της ασφάλειας, απαιτείται τακτική επικοινωνία της εταιρείας με τον πάροχο της υπηρεσίας. Πολλοί Διευθυντές Πληροφορικής και επικεφαλής ασφάλειας που απευθύνονται στην Gartner, αναζητώντας συμβουλές σχετικά με την αξιοποίηση ενός παρόχου διαχειριζόμενων υπηρεσιών ασφάλειας (Managed Security Services Provider) για την παρακολούθηση ή τη διαχείριση της ασφάλειας της τεχνολογίας δεν έχουν τους εσωτερικούς πόρους για την εκτέλεση αυτών των λειτουργιών.
Οι περισσότερες εταιρείες μπορεί να καλούνται από εσωτερικές ή εξωτερικές απαιτήσεις να παρέχουν 24/7 κάλυψη, ωστόσο δεν έχουν τους πόρους. Και εδώ έρχεται η επιλογή του εξωτερικού παρόχου.
Για να έχει η εταιρεία τα μέγιστα οφέλη από τη συνεργασία με έναν εξωτερικό πάροχο στον τομέα της ασφάλειας, η Gartner υπογραμμίζει την ανάγκη η εταιρεία, μέσω του security director, να… διαχειρίζεται τον πάροχο.
Οι πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας συνήθως προσφέρουν υπηρεσίες διαχείρισης, καθώς και υπηρεσίες παρακολούθησης και ειδοποίησης (alerting) για firewalls, συστήματα ανίχνευσης εισβολών (intrusion detection system) και συστήματα αποτροπής εισβολών (intrusion detection system), με κάθε ενέργεια να υπόκειται σε διαφορετικά επίπεδα υπηρεσιών. Η Gartner τονίζει ότι ανεξαρτήτως του είδος των υπηρεσιών ασφάλειας, οι security directors των εταιρειών θα πρέπει να εμπλέκονται σε τακτικές συσκέψεις με τον πάροχο των διαχειριζόμενων υπηρεσιών ασφάλειας για την επισκόπηση και αναθεώρηση των υπηρεσιών.
Αυτές οι επισκοπήσεις, πάντα σύμφωνα με την Gartner, θα πρέπει να συμπεριλαμβάνουν, μεταξύ άλλων:
• Επιθεώρηση της τήρησης των καθιερωμένων διαδικασιών change management ανάμεσα στην εταιρεία και τον πάροχο των διαχειριζόμενων υπηρεσιών ασφάλειας
• Επιθεώρηση της επικαιρότητας και της ακρίβειας των ενεργειών διαχείρισης συσκευών (device management)
• Επιθεώρηση της συνολικής απόδοσης του παρόχου των διαχειριζόμενων υπηρεσιών ασφάλειας σε σχέση με τα SLAs
• Συζήτηση για επερχόμενα γεγονότα ή καταστάσεις που μπορεί να επηρεάσουν τη συμμόρφωση με τα SLA
• Συζήτηση για επερχόμενες αναβαθμίσεις, νέες ικανότητες, αναφορές, χαρακτηριστικά portals και την πιθανότητα να απαιτείται εκπαίδευση ή περαιτέρω υποστήριξη της εταιρείας
• Επιθεώρηση σημαντικών περιστατικών που ο πάροχος ή η εταιρεία-πελάτης αναφέρουν ή έχουν αντιμετωπίσει
• Συζήτηση πρόσφατων και σχεδιαζόμενων αλλαγών στο περιβάλλον Πληροφορικής της εταιρείας, και αποτίμηση της επίδρασης τους στη διαχείριση συσκευών, την παρακολούθηση, την ειδοποίηση και την κλιμάκωση των διαδικασιών
• Επιθεώρηση των πολιτικών φιλτραρίσματος και ειδοποιήσεων (filtering & alerting) για IPS και Web application firewall
• Συζήτηση για το τρέχον περιβάλλον απειλών.
Πιο αναλυτικά…
Η τακτική επιθεώρηση της απόδοσης του παρόχου διαχειριζόμενων υπηρεσιών ασφάλειας σε σχέση με τα SLAs μπορεί εγκαίρως να αποκαλύψει πιθανά σημάδια απόκλισης στην παράδοση των υπηρεσιών, ενώ δίνει στον πάροχο την ευκαιρία να προβεί σε διορθωτικές κινήσεις πριν αυτή η απόκλιση προκαλέσει βλάβη στα επίπεδα ασφάλειας της εταιρείας αλλά και στη σχέση της με τον πάροχο.
Η Gartner υπογραμμίζει ότι οι περισσότεροι πάρχοι διαχειριζόμενων υπηρεσιών ασφάλειας προβλέπουν μέσα στις διαδικασίες τους για την υποστήριξη των πελατών τους τακτικές συναντήσεις με τους πελάτες τους. Οι πλέον αποτελεσματικοί πάροχοι δε, επιδιώκουν την ανατροφοδότηση από τους πελάτες τους σχετικά με την ποιότητα των υπηρεσιών τους καθώς και για χαρακτηριστικά αυτά που θα ενισχύσουν την υπηρεσία.
Η συζήτηση για τις σχεδιαζόμενες αλλαγές στις ικανότητες του παρόχου και στο περιβάλλον της εταιρείας, είναι σημαντική καθώς ενημερώνει και τις δυο πλευρές για την πιθανότητα αλλαγών που μπορεί να οδηγήσουν σε περισσότερο αποτελεσματική παράδοση υπηρεσιών, να απαιτούν επιπλέον πόρους από τη μία πλευρά ή την άλλη, ή ακόμα και να επεκτείνουν το πεδίο εφαρμογής της δέσμευσης του παρόχου.
Αλλαγές στην υποδομή Πληροφορικής της εταιρείας μπορεί να έχουν επίδραση στα είδη των ειδοποιήσεων, στους κανόνες παρακολούθησης που απαιτούνται και αλλού και κατά συνέπεια μπορεί να χρειαστούν οι αντίστοιχες προσαρμογές στις υπηρεσίες.
Ενας αποτελεσματικός πάροχος διαχειριζόμενων υπηρεσιών ασφάλειας πρέπει να είναι σε θέση να ενσωματώνει τη γνώση για το περιβάλλον του πελάτη στις υπηρεσίες υποστήριξης που παρέχει, αλλά αυτή τη γνώση πρέπει οι εταιρείες να την παρέχουν στον πάροχο.
Οι δραστηριότητες παρακολούθησης πρέπει επίσης να επιθεωρούνται και να αναθεωρούνται σε συνεργασία με τον πάροχο. Αυτό περιλαμβάνει το κατά πόσο οι ειδοποιήσεις που προωθούνται από τον πάροχο στους υπεύθυνους ασφάλειας της εταιρείας αντιπροσωπεύουν πραγματικά περιστατικά ή false positives. Είναι αναμενόμενο, τους πρώτους μήνες που η παρακολούθηση έχει πια ανατεθεί στον πάροχο να λαμβάνονται false-positive alerts, η συχνότητα των οποίων θα πρέπει να μειώνεται στη διάρκεια του χρόνου, καθώς ο πάραχος παίρνει feedback από τον πελάτη.
Επιπλέον, και η υποστήριξη που παρέχεται από τον πάροχο των υπηρεσιών ασφάλειας με τη μορφή επιπρόσθετου context και πληροφοριών σχετικά με alerts, θα πρέπει να επιθεωρείται για να διασφαλιστεί ότι ανταποκρίνεται στις απαιτήσεις της εταιρείας για την υποστήριξη της λήψης αποφάσεων και των λειτουργικών δραστηριοτήτων. Αυτό θα πρέπει να περιλαμβάνει πληροφορίες από το συνολικό περιβάλλον ασφάλειας, όπως εξωτερικές απειλές ή επιθέσεις σε συγκεκριμένα τρωτά σημεία.
Είναι ιδιαίτερα σημαντικό να συζητείται η ανάγκη για πολιτικές blocking στα IPS ή WAF και να ακολουθείται μία συμφωνημένη διαδικασία για τον έλεγχο και την επικύρωσή τους. Το review εδώ θα πρέπει να περιλαμβάνει να περιλαμβάνει μία αποτίμηση του κατά πόσο κάποιες πολιτικές filtering ή alerting μπορούν να αφαιρεθούν. Για παράδειγμα, αν ένας συγκεκριμένος WAF κανόνας διαμορφώθηκε για να μπλοκάρει επιθέσεις έναντι συγκεκριμένου τρωτού σημείου μια εφαρμογής, προκειμένου να δοθεί στην εταιρεία χρόνος να λύσει το πρόβλημα.
Οταν αυτό συμβεί, η ανάγκη να εξακολουθεί να υπάρχει ο συγκεκριμένος κανόνας πρέπει να επανεξεταστεί. Μέσω αυτής της διαδικασίας, ο security director μπορεί να αναγνωρίσει και να ‘κουρέψει’ μη απαραίτητες πολιτικές που η διατήρησή τους αυξάνει τις απαιτήσεις για πόρους τόσο σε τεχνολογία όσο και σε ανθρώπους.
Ο security director θα πρέπει να διασφαλίσει ότι ο πάροχος διαχειριζόμενων υπηρεσιών ασφάλειας προσθέτει αξία με την εξειδίκευσή του και την ικανότητά του να βλέπει επιθέσεις σε ένα μεγάλο αριθμό εταιρειών-πελατών του. Ο πάροχος θα πρέπει να προσφέρει πληροφορίες και γνώση για τις τρέχουσες τρωτότητες και επιθέσεις καθώς και για τις αναδυόμενες απειλές, για το πώς η εταιρεία θα μειώσει τους κινδύνους της αλλά και τι θα κάνει ο ίδιος ο πάροχος για να προστατέψει τον πελάτη του.
Security as a Service: Εναλλακτική με περιορισμούς
Το Security as a Service, το Managed Security και το Security in the Cloud είναι τρεις διαφορετικοί μηχανισμοί για την εξ’ αποστάσεως παροχή υπηρεσιών security. Μια από τις ομοιότητες των τριών μηχανισμών είναι ότι μειώνουν (Managed Security) ή και μηδενίζουν (SaaS και Security in the Cloud) τις επενδύσεις παγίων μεταφέροντας το βάρος από το CAPEX στο OPEX.
Οι διαφορές, ωστόσο, είναι πολύ περισσότερες. Ο μηχανισμός SaaS δεν είναι εφαρμόσιμος σε λειτουργίες που βασίζονται σε Intrusion/Detection Systems, Firewalls, Network Antispyware/Antivirus και γενικά σε λειτουργίες που απαιτούν πρόσβαση στη ροή δεδομένων του εταιρικού δικτύου. Επίσης, δεν είναι φαρμόσιμος σε λειτουργίες που απαιτούν μεταφορά μεγάλου όγκου δεδομένων και συσχετισμούς σε σχεδόν πραγματικό χρόνο, όπως για παράδειγμα συμβαίνει με το Security Event Management.
Τέλος, οι λειτουργίες Network Behavioral Analysis, Network Access Control, Content Monitoring & Filtering, οι οποίες απαιτούν πολλαπλές πολιτικές ασφάλειας μέσα στην ίδια εταιρεία και επαρκή πρόσβαση σε δεδομένα, ώστε να λειτουργήσουν σωστά, θα δημιουργούσαν περισσότερα προβλήματα ασφάλειας από όσα θα έλυναν, μέσω ενός μηχανισμού SaaS.
Σύμφωνα με την Gartner, υπηρεσίες που μπορούν να είναι διαθέσιμες μέσω του μηχανισμού SaaS και αναμένεται να γνωρίσουν σημαντική ανάπτυξη τα ερχόμενα χρόνια είναι οι Message Security, Remote Vulnerability Assessment, Security Information/Log Management, Security Intelligence, Authentication, Endpoint Security, Host Vulnerability Assessment και Distributed Denial of Service.
Εξ αυτών περισσότερο ευνοημένες αναμένεται να είναι οι υπηρεσίες Message Security και Security Intelligence, οι οποίες, σύμφωνα με τις προβλέψεις της Gartner, θα γνωρίσουν ανάπτυξη 70% και 80% αντίστοιχα μέχρι και το 2013.