Агентство "Форт-Росс" провело 23 и 24 марта вторую конференцию Russian CSO Summit 2009, в которой принимали участие специалисты по информационной безопасности. Если на прошедшей год назад конференции говорили в основном об оценке эффективности средств защиты (см. "Измерима ли безопасность?", Computerworld Россия, № 13, 2008), то в нынешнем году речь шла о изменения оценки влияния безопасности на бизнес компании. Сейчас сотрудникам служб информационной безопасности приходится участвовать в процессах оптимизации издержек и создания новых, более удобных для клиентов услуг. И в том и в другом случае служба должна обеспечивать сохранность критичной для бизнеса информации и инфраструктуры, а также способствовать их развитию. Кроме того, и перед самими сотрудниками департамента информационной безопасности руководство ставит задачи по оптимизации расходов. Это при том, что список обязанностей департамента постоянно расширяется.
Есть разные способы оптимизировать операционные расходы компании, в том числе и такие, как увольнение сотрудников, перенос их работы на дом, сокращение складских запасов с помощью системы заказов. Обеспечение этих мер встает перед отделами информационной безопасности, причем решать задачи нужно быстро и с минимальными затратами.
В таких условиях может пригодиться аутсорсинг -- использовать его целесообразно для быстрой реализации функций защиты, внедрять которые самостоятельно было бы слишком дорого и долго. Можно, в частности, передать защиту персональных данных на аутсорсинг компаниям, имеющим соответствующие лицензии ФСТЭК и ФСБ. Рекомендуется отдать сторонним подрядчикам защиту электронной почты от вирусов и спама, сайта - от DDoS-атак, администрирование периметра защиты, расследование инцидентов, аудит средств защиты и некоторые другие функции. Это позволит отделу ИБ сфокусировать внимание на тех аспектах защиты, которые настолько тесно связаны с бизнесом, что невозможно передать их сторонней компании. "Основной проблемой аутсорсинга является доверие клиентов, - замечает Алексей Лукацкий, бизнес-консультант по безопасности компании Cisco. - В России же на рынке услуг в области информационной безопасности сейчас доверия к его участникам не много".
Впрочем, компаниям в кризис стоит не только заботиться о сохранении того, что есть, но и предлагать новые, более удобные сервисы, например такие, как дистанционное обслуживание клиентов через Internet. Однако зачастую удобство клиентов может повредить безопасности компании. В разработке подобных рискованных, но потенциально выгодных услуг должен участвовать и отдел информационной безопасности.
"Кризис — звездный час для отдела информационной безопасности," - заявил в своем докладе Вадим Исаев, менеджер отдела по управлению эффективностью бизнеса PricewaterhouseCoopers. На конференции даже говорилось о том, что именно отдел информационной безопасности должен выступать инициатором подобных услуг, однако такое решение, скорее всего, следует приниматься по результатам диалога между отделами ИТ, информационной безопасности и бизнеса.