В рамках рубрики Клуб экспертов мы продолжаем публикацию книги А.В.Лукацкого Мифы и заблуждения информационной безопасности
Алексей Лукацкий — менеджер по развитию бизнеса Cisco Systems
Сейчас аутсорсинг (или Managed Security Services, или Security-as-a-Service, или Cloud security) находится в фокусе внимания многих компаний. Все-таки кризис заставляет многих руководителей искать возможности для экономии и снижения издержек. И аутсорсинг является одной из таких возможностей.
Разумеется, все отдавать на аутсорсинг не совсем правильно, как и заниматься всем самому тоже – во всем нужен здоровый компромисс. И когда речь идет о переходе к аутсорсинговой модели, надо проводить конкретные расчеты.
Возьмем, к примеру, приобретение межсетевого экрана (МСЭ) для защиты Интернет-банкинга стоимостью 10000 долларов. Этим защитным средством должен управлять администратор, мониторить его состояние, отслеживать сигналы тревоги, которые он генерит, реагировать на несанкционированные действия.
Допустим, для межсетевого экрана стоимость зарплаты такого администратора в месяц составит 1500 долларов. Такой администратор может работать максимум 8 часов в сутки; больше не позволяет Трудовой Кодекс.
Но можно ли обеспечивать безопасность круглосуточно работающего сервиса только в течении восьми часов? Конечно нет. Чтобы соблюсти закон и обеспечить круглосуточный мониторинг нам потребуется 3 человека (минимум).
На самом деле контроль МСЭ в режиме 24х7 требует не в 3, а в 4.2 раза больше людей. Это связано с необходимостью работы в выходные (и не стоит забывать про оплату сверхурочных в выходные согласно Трудовому Кодексу).
Иными словами наши затраты составят минимум 4500 долларов в месяц. Дальше умножаем эту цифру на 12 месяцев: 4500 на 12 – у нас получается 54000 долларов.
Добавляем к этой сумме 10 тысяч за сам межсетевой экран и мы получаем сумму в 64000 долларов в год.
Для простоты я не буду учитывать многие другие аспекты, связанные с эксплуатацией межсетевого экрана:
- стоимость оборудования под него (если он представлен был в виде программного обеспечения),
- стоимость поддержки оборудования под него,
- стоимость поддержки самого межсетевого экрана,
- стоимость обновления,
- стоимость внедрения этой системы
- и т.д.
Если учитывать эти аспекты, входящие в понятие «совокупная стоимость владения», введенное компанией Gartner, то цена межсетевого экрана возрастет в разы (по мнению Gartner прайсовая стоимость ИТ-решения составляет всего 15-20% от всей совокупной стоимости владения).
NK | НАСТЯ КАМЕНСКИХ — ДAЙ МНЕ (ПРЕМЬЕРА КЛИПА 2018)
А теперь посмотрим, сколько будет стоить управление этой системы защиты во внешней, аутсорсинговой компании? Если посмотреть стандартные расценки, существующие на этом рынке, управление межсетевым экраном стоит примерно 2-3 тыс. долларов в месяц.
Умножаем на 12 и получаем 24-36 тысяч долларов в год (в среднем 30 тысяч долларов). Эта сумма включает в себя круглосуточное управление со стороны высококвалифицированных специалистов с реагированием на все проблемы и т.д. Мы видим, что цены на аутсорсинг вдвое ниже.
Эта усредненная цифра на управление межсетевым экраном. Мы не учитываем стоимость самого устройства. Если оно находится на балансе заказчика, то мы должны приплюсовать к 30 тысячам еще и прайсовую (а лучше совокупную стоимость владения) стоимость МСЭ.
Но даже в этом случае аутсорсинговые услуги будут стоить дешевле. А если потребитель не будет приобретать межсетевой экран, а воспользуется услугами лизинга, то капитальные затраты (CapEx) перейдут в операционные (OpEx) и совокупная стоимость владения будет существенно ниже.
Мы рассмотрели только экономическую сторону вопроса, которую часто называют основной причиной отказа от аутсорсинга. На самом деле причина в другом. Это вопрос доверия и нежелания выпускать контроль из своих рук.
С экономической точки зрения услуги аутсорсинга при прочих равных условиях обходятся дешевле, чем занятие безопасностью собственными силами. Конечно, речь идет не о полном отказе от службы информационной безопасности, а о выносе только тех направлений деятельности, которые сложно или невозможно обеспечить собственными силами на качественном уровне.
И, разумеется, важно помнить, что экономика играет в пользу аутсорсинга только при равных условиях. В России, например, не принято, чтобы служба ИБ работала круглосуточно.
В ней же трудятся обычные люди, которые хотят спать ночами и отдыхать на выходные. Поэтому, говоря о цене круглосуточного мониторинга МСЭ, я говорю об идеальной ситуации, которая встречается нечасто.
А это только один из нюансов, которые должны быть оценены перед принятием решения о переходе к аутсорсингу. На деле их гораздо больше.
Особенно в России, которая отличается от многих европейских стран и США, где аутсорсинг информационной безопасности давно и прочно занял свое место в бизнес-практике многих предприятий.
В заключении надо заметить, что аутсорсинг выгоден, но только при выполнении ряда условий:
- У вас большой штат дорогостоящих специалистов по ИБ. Поэтому их высвобождение и обращение к услугам менее дорогих экспертов даст ощутимую экономию.
- У вас было достаточно персонала в области ИБ и после передачи части их обязанностей на аутсорсинг вы сократили их, что позволило сэкономить еще больше.
- Вы отказываетесь от традиционного приобретения средств защиты в пользу лизинга.
- Вы заключаете долговременный контракт на аутсорсинг (не менее 2-3-х лет).
- Вы отслеживаете экономику аутсорсинга.
