Na redakční otázky odpovídá Tato emailová adresa je chráněna před spamboty, abyste ji viděli, povolte JavaScript , oblastní ředitel, COMGUARD a.s.

1) Co všechno se dá v oblasti ICT bezpečnosti outsourcovat?

Rozhodnutí, zda si nechat outsourcovat síťovou bezpečnost, se zdá být na první pohled velice obtížné a zavádějící. Obzvláště pokud si myslíme, že se jedná o zásadní rozhodnutí mající vliv na celý další vývoj IT oddělení ve firmě, včetně strategie..... Často se pak, při hlubším neseznámení se odpovědných pracovníků s touto problematikou, rozhodnutí, zda outsourcovat bezpečnost či nikoli, zbytečně zavrhuje či v lepším případě odkládá na neurčito. Základními dvěma faktory, na pomyslných jazýčcích vah, v prvopočátku rozhodovacího procesu jsou následující klady a zápory:

- Atraktivní BENEFITY, plynoucí z outsourcované bezpečnosti, které jednak slibují významné zvýšení síťové bezpečnosti a navíc bez nutnosti zaměstnat další vlastní specialisty. Dále např. vyvarování se špatně nasazených (nedoimplementovaných nebo ne 100% využitých) bezpečnostních řešení, kdy ne vždy zcela levná investice ztrácí svou hodnotu.

- Potenciální RIZIKO, kdy zkušenost některých společností s outsourcingem (i z jiných oblastí než jen z bezpečnosti IT) ukazuje, že špatný výběr poskytovatele outsourcingu, nebo nejednoznačné nastavení procesů a zodpovědnosti, může být v lepším případě draze zaplacenou chybou.

Pokud je pro nás rozhodnutí outsourcovat bezpečnost obtížné, pak rozhodnutí, co přesně outsourcovat a kým, se zdá být nemožné. V několika posledních letech jste jistě zaregistrovali, že mnoho společností, mimo prodeje svých řešení a služeb, a to nejen z oblasti security IT, nově nabízí i outsourcing bezpečnosti IT a to v různém pojetí, závislém na jejich kvalifikaci, možnostech (ať již ekonomických či personálních), lokalitě, ale i dle typického zákazníka, na něhož se tyto společnosti zaměřují. 

Dalším, již zmíněným úskalím v rámci rozhodování o outsourcingu bezpečnosti může být otázka „Co outsourcovat?“ Správná odpověď je pro nás rovněž klíčová, jelikož ne všechny systémy nebo služby se dají plnohodnotně/dobře outsourcovat.

Hlavním argumentem pro outsourcing jsou finanční úspory, kdy firma může v rámci outsourcingu dostat bezpečnostní řešení, které potřebuje, včetně souvisejících služeb, mnohem levněji, než nákupem vlastního řešení s následným zaškolením vlastních specialistů (včetně nutného pravidelného placeného školení) a drahým, zdlouhavým implementačním procesem, který však často zůstává nedotažen na původně plánovanou funkčnost.

Služba outsourcing bezpečnosti IT může zahrnovat následující činnosti:
 audit současných procesů, infrastruktury, aplikací IT/IS
 převzetí technického vybavení
 konzultační služby pro vývoj IS/IT
 výběr a dodávka nových technologií
 testování nových technologií před implementací
 školení uživatelů
 opravy technického vybavení (hardware)
 správa programového vybavení (software)
 HelpDesk
 správa sítě a síťových prvků

Příklad: Pro konkrétní příklad se dále zaměříme na vybranou oblast outsourcingu bezpečnosti IT např. na perimetru společnosti a s tím souvisejícím bezpečnostní řešení. Naše společnost nabízí ve spolupráci s certifikovanými partnery zákazníkům možnost, pronajmout si firewall v libovolné konfiguraci volitelných add-on modulů včetně OUTSOURCINGU veškerých služeb správy, kdy zařízení a software jsou ve vlastnictví poskytovatele. Rovněž správa, konfigurace, aktualizace a další služby jsou prováděny v komplexním outsourcingu certifikovanými specialisty s dlouholetými zkušenostmi.

Charakteristika poskytnutého zabezpečení:

 zabezpečení vnitřní sítě až na aplikační úrovni kontrol komunikace (7. vrstva OSI modelu)
 umožnění bezpečného přístupu mobilních uživatelů z cest nebo z domova do vnitřní sítě (VPN pro mobilní klienty, SSL VPN)
 ochrana interního mailserveru a DNS díky funkcím secure split server přímo na firewallu
 detekce provozních anomálií, IPS/IDS, vyřazení DoS aj.
 antiVirová & antiSpyware ochrana pro webový a e-mailový provoz
 url filterace (řízení přístupu uživatelů do internetu), ochrany před cílenými hrozbami web 2.0
 ochrany pro šifrovanou komunikaci (https, ssh apod)
 web proxy, web cache
 antispamová ochrana, ochrana email komunikace
 autentizace, jednorázová hesla
 24x7 monitoring, správa a okamžité reakce na události
 pravidelný AUDIT celého řešení

2) Na co si dát při outsourcování ICT bezpečnosti / celkové ICT pozor?

S outsourcingem jsou samozřejmě spojená i rizika a tudíž pro zabránění pozdějším problémům či rozčarování nad způsobem a rozsahem plnění ze strany objednatele, je nutné předem specifikovat, ze strany zadavatele, vlastní představu o očekávaných přínosech outsourcingu, funkčnosti zvoleného bezpečnostního řešení a v neposlední řadě i způsob komunikace mezi stranami v průběhu poskytování outsourcingu. V ideálním případě jsou procesy, zodpovědnosti obou stran písemně stanovené, včetně práv a povinností (případně nutné součinnosti ze strany zadavatele pro bezproblémový průběh outsourcingu, jako přístup do budovy, fyzická bezpečnost apod.). Samozřejmostí by měla být i klauzule o ochraně důvěrných informací, či o ztrátě dat zadavatele (jeli to relevantní vůči předmětu outsourcingu) podpořená hrozící sankcí za únik informací externím firmám.

3) Nevzniká při outsourcingu ICT bezpečnosti / celkové ICT riziko závislosti na dodavateli?

V oblasti bezpečnosti IT, řeší společnosti outsourcingem nejčastěji dodávky úzce specializovaných produktů, aplikací, služeb nebo komplexních řešení na danou oblast bezpečnosti IT, která vyžadují odborně proškolené specialisty, jejichž plný pracovní poměr by byl však z hlediska finanční stránky neefektivní, jelikož na dnešním trhu práce jsou tito odborníci velice dobře placeni. V této oblasti, pokud je oblast služeb dobře vymezena, je poměrně snadné po uplynutí smluvního vztahu v případě problémů navázat zcela nový smluvní vztah s jiným dodavatelem. Nezávislé audity, například penetrační testy, nebo požadavky na zasílání pravidelných reportingů jsou samozřejmě vhodné.

4) Jak rozlišíme dobrého a špatného dodavatele v oblasti outsourcingu?

Dle mého názoru nelze najít jednoznačný klíč, podle kterého tyto poskytovatele outsourcingu rozdělit, jelikož ne všichni jsou specialisté na bezpečnost IT (nejedná se o expertní společnosti) a navíc nenabízí vždy komplexní portfolio outsourcingu z dané oblasti (firewally, proxy, autentizací řešení, prevence narušení (IPS), vulnerability management, SEIM a risk management, monitorování sítě, aj.).

Jak si tedy vybrat správného poskytovatele outsourcingu? Důležitým ukazatelem při výběru mohou být bezpochyby reference a to jak potencionálního poskytovatele, tak například zkušenosti a případně reference od našich obchodních partnerů v dané problematice, kterým důvěřujeme. Dalším důležitým ukazatelem je i kvalifikace potenciálního poskytovatele a to nejen jeho certifikace dle ISO (ISO 9001, ISO 27001 aj.), ale i certifikace a zejména počet technických specialistů, mající relevantní vztah k předmětu outsourcingu. V každém případě je ještě před zahájením poskytování služeb potřeba oboustranné shody na podobě náplně outsourcingu, komunikace v rámci jeho průběhu a vzájemných finančních závazcích, tak aby po uzavření smlouvy nastala maximální důvěra obou zainteresovaných stran.

Bezpečnostní management | Legislativa | Outsourcing