• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Аутсорсинг услуг в области ИКТ и информационной безопасности

Created: 27 March 2019

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №3 (141) за 2019 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Ниже приводится авторская редакция статьи.

Передача части функций сторонним исполнителям практикуется давно. Чаще всего «на сторону» передаётся уборка помещений, организация питания сотрудников, а в последние годы всё чаще на эту модель переходит ещё и бухгалтерский учёт и, конечно же, услуги в области информационных технологий и безопасности. В рамках данной статьи попытаемся рассмотреть некоторые аспекты передачи на аутсорсинг услуг в области информационно-коммуникационных технологий (ИКТ) и информационной безопасности (ИБ). Статья в большей степени касается долгосрочных сервисных договоров, а не разовых услуг.

Если организация занимается выпечкой хлеба, то зачем ей заниматься несвойственными функциями - транспортировкой, маркетингом, информационными технологиями?
Минусы традиционной схемы, когда всей работой занимаются штатные специалисты:
1. Значительная часть сотрудников будет заниматься непрофильной для организации работой. Кадровой службе нужно искать сотрудников и иметь резерв по десяткам позиций - от бухгалтера до электрика.
2. Часть функций, при их выполнении своими сотрудниками, потребует получения лицензий, разрешений - допуски для работ с электроустановками, допуск к высотным работам, медицинская деятельность и т.д.
3. Резкое изменение штатной численности очень дорого обходится - нужно заранее оповещать людей о сокращении штатов, выплачивать им компенсации. Теряется гибкость.

С чего же начать проработку вопроса по переходу на аутсорсинг?
1. Разработать форму соглашения о неразглашении или о сохранении конфиденциальности (англ. non-disclosure agreement, NDA). Ещё лучше согласовать её с юридической службой, ведь в случае нарушений NDA, заниматься разбирательствами в суде и взысканием убытков придётся именно юристам. Кстати, с самими юристами тоже нужно подписывать NDA, ведь они часто знают о предприятии больше руководства и учредителей. Подписывать утверждённую форму NDA со всеми потенциальными поставщиками ещё на этапе переговоров, до начала работ. Тогда на все переданные им данные будут распространяться обязательства по неразглашения. Из практики: эскалация конфликта с применением NDA случается редко. Это во многом вспомогательная мера «на всякий случай». Но она, как минимум, показывает исполнителю, что заказчик задумывается о безопасности. Если заказчик не требует от исполнителя услуг подписания NDA - это явный знак, что процесс взаимодействия с поставщиками не регламентирован, имеет бессистемный характер. Без подписанного NDA остаётся надеяться только на порядочность поставщика. Текст NDA должен быть понятным и разумным по размеру. В нашей практике случае был случай, когда текст NDA был составлен на множестве страниц с указанием всевозможных случаев, исключений, а бывали случаи, когда прямо в тексте указывались суммы компенсаций - это уже явный перебор. Необходим разумный компромисс.
2. Сформулировать, что именно планируется передать на аутсорсинг. Нужно, что называется, «договориться на берегу», что входит в перечень услуг, а что нет. Очевидная, кажется, вещь, но после подписания договора может выясниться, что исполнитель под обслуживанием компьютерной техники понимает только сопровождение системного программного обеспечения, а чистку корпусов от пыли или замену деталей не делает. Или делает, но только за отдельную плату.
3. Определить, кто будет основным контрагентом поставщиков на предприятии. Проще говоря - кто будет принимать их работы и подписывать акты? Доверяет ли руководство этому сотруднику? Из практики: часто таким ответственным лицом назначается завхоз, который может быть совершенно некомпетентным в вопросах ИКТ и ИБ. Что ему дали, то и подписывает. Да и существует риск коррупционной составляющей.
4. Соглашение об уровне предоставления услуги (англ. Service Level Agreement, SLA). Или в договоре или в каком-то приложении к нему прописать в какое время оказывается услуга. Если услуги предоставляются по требованию - специалиста вызывают по телефону, то необходимо явно определить механизмы такого взаимодействия, альтернативные каналы связи (вдруг основной телефон не будет работать) и скорость реакции на заявку. Например, выезд на место в течение суток после звонка, решение проблемы в течение двух суток и т.д. Важно понимать, чем выше скорость реакции и быстрее выполняются заявки, тем дороже будет услуга. Заказчика должно насторожить, если исполнитель соглашается на все условия и круглосуточную поддержку без выходных. Ведь элементарный подсчёт показывает, что для круглосуточной работы нужно минимум три смены специалистов, да ещё резерв на случай отпусков и т.д. Если не закрепить эти моменты письменно, то исполнитель может на словах пообещать что угодно, лишь бы заполучить контракт. Критически оцените необходимость немедленной реакции и очного присутствия специалистов исполнителя - так ли она важна для вас на самом деле? Если по каким-то вопросам достаточно будет удалённой консультации или прибытия специалиста без спешки, то и исполнитель, скорее всего, пойдёт навстречу в плане цен.
5. Постарайтесь добиться от исполнителя на регулярной основе подробных отчётов о проделанной работе. Необязательно вписывать всё в акт выполненных работ или бухгалтерские документы. Удобнее вести отчётность в электронном виде. Необходимо фиксировать: когда обращались к специалисту, по какому вопросу, как быстро последовала реакция, что именно было сделано. Лучше вести эту отчётность на стороне заказчика, но если предприятие совсем маленькое, то можно поручить и эту работу исполнителю. Со временем анализ этой информации позволит понять - выполняются ли в целом условия договора, появится такая ценная статистическая информация о типовых проблемах, для решения которых привлекался внешний исполнитель. Или наоборот - будет видно, что из месяца в месяц внешний исполнитель практически не задействовался, или привлекался только по специфическим вопросам вроде заправки картриджей для принтера. В результате - через год можно будет пересмотреть договор, в зависимости от потребностей изменить уровень предоставления услуги (тот самый SLA). Для самого предприятия появится ясность - что именно нужно и в какие сроки. Это именно то, чего так не хватает всем в начале работы с аутсорсингом.
6. Проверять работу поставщика услуг. Особенно если поставляемые им услуги связаны с взаимодействием с клиентами заказчика. Пример - очень часто крупные организации, банки, интернет-провайдеры передают на аутсорсинг функции колл-центра. Получается, что «лицом» компании становятся совершенно чужие люди. Ведь потребитель услуг не знает, где работает само предприятие, а где подрядчики. Все огрехи аутсорсинга ложатся пятном на репутации основного бизнеса. Регулярно проверяйте, как работают такие службы, совершайте «контрольную закупку». Ещё важнее - не потерять обратную связь от клиентов. Чтобы не получалось, что все жалобы попадают в руки тех, на кого жалуются.
7. Обеспечить независимость от поставщика услуг. Нужно с самого начала последовательно требовать от поставщика услуг стандартизированного подхода. Проще всего понять этот момент на примерах. Предположим, ваша организация планирует автоматизировать бухгалтерский учёт. Что выберите - новое, специально для вас созданное решение или известную систему 1C? Риски понятны - программа, созданная для вас, может быть удобнее и дешевле. Система 1C более громоздкая, дороже, но зато множество компаний в разных странах её поддерживают, накоплен большой опыт эксплуатации. Это решение стало стандартом де-факто, с ней работают все - от программистов до аудиторов. А главное - вы всегда сможете сменить поддерживающую организацию.
Иногда предприятие вынуждено разрабатывать свои информационные системы, а не пользоваться готовыми решениями. Бывает, что на рынке просто нет готовых решений. Это различные инновационные сервисы или специализированные системы. Задача заказчика - отслеживать, чтобы разрабатываемая система имела хорошее описание, полный комплект документации - инструкции пользователей, администраторов. А в техническом плане использовались стандартизированные решения - популярные базы данных и распространённый язык программирования. Только в этом случае можно будет со временем или поручить поддержку информационной системы своим собственным специалистам (отказаться от аутсорсинга) или сменить исполнителя. Из практики: нам известны случаи, когда поставщик услуг на весьма выгодных для заказчика условиях разрабатывал сложную информационную систему, а затем, когда весь бизнес был построен вокруг неё, стал буквально «выкручивать руки» заказчику постоянно повышая стоимость своих услуг. Отказаться от разработанной системы и сменить её на другую - колоссальные затраты. Сменить исполнителя работ тоже невозможно, никто не возьмётся за поддержку чужих поделок и разработок, если они разрабатывались бессистемно, не документировались. Даже в такой упорядоченной науке как бухгалтерия, новый бухгалтер может долго разбираться в бумагах предшественника, поминая его недобрым словом. А кто и как сможет разобраться в сотнях тысяч строк исходного кода программ? Допустив такую ошибку, может сложиться парадоксальная ситуация, когда желая сэкономить и «не кормить» своих специалистов, попадаем в зависимость и «кормим» уже чужих.
8. Включить поставщика услуг в свою систему обеспечения безопасности. Если на предприятии разработана политика информационная безопасность - с ней должен быть ознакомлен исполнитель работ и дать обязательства по соблюдению установленных правил. На государственных предприятиях и в банках очень сложная система проверки благонадёжности сотрудников, пропускной режим. А сотрудники аутсорсинговой компании никак и никем не проверяются, но получают доступ к самым важным и ценным ресурсам - информационным системам, базам клиентов. Как минимум нужно затребовать у исполнителя списки его сотрудников, привлечённых к проекту и выполнить для них те же проверочные мероприятия, что и для штатных специалистов.
9. Очень действенной мерой по контролю за эффективностью аутсорсинга и защите интересов заказчика является проведение независимой экспертизы информационной инфраструктуры и информационной безопасности. Эксперт изучит все указанные выше аспекты и подскажет, как быть конкретно в вашей ситуации.

    Реальность такова, что собственные службы информационных технологий и безопасности могут позволить себе только очень крупные организации. В случае Узбекистана яркими примерами являются Главный центр информатизации при центральном банке, информационно-вычислительный центр министерства финансов, центр новых технологий при ГНК. Нам раньше сложно было представить, как можно платить за питьевую негазированную воду, платить за просмотр телевизионных передач, даже ремонт квартиры и машины многие делали своими силами. Сейчас все эти сферы уже давно являются сервисом, даже такая любимая многими детьми забава как стирка ковров.
    Аутсорсинг придёт ко всем, нужно быть к нему готовым. И уж точно, единственным критерием выбора поставщика не должна быть цена.

Copyright © 2011 © IT-TEAM SERVICE 2025 All rights reserved. Custom Design by Youjoomla.com
Новости