Wysokie koszty zapewnienia bezpieczeństwa powodują, że wiele firm szuka sposobów na ich obniżenie. Jednym z rozwiązań jest outsourcing, ale w przypadku ochrony systemów IT decyzję o podążaniu tą drogą należy podjąć ze szczególną rozwagą.

W badaniu przeprowadzonym przez ESG w 2015 r. aż 57% z 340 ankietowanych kierowników i ekspertów IT odpowiedziało, że korzysta z zarządzanych usług bezpieczeństwa do ochrony urządzeń końcowych. Usługi te zataczają coraz szersze kręgi, a użytkownicy mogą korzystać z oferty usług takich, jak: zarządzanie urządzeniami w warstwie trzeciej, skanowanie podatności, monitorowanie podatności aplikacji webowych, systemów SIEM, powiadamiania o zdarzeniach, backupu oraz odtwarzania danych, itd. Lista zabezpieczeń oferowanych w formie usługi jest długa. Ale trzeba pamiętać, że mają one zarówno zalety, jak i wady.

Wewnętrzne ograniczenia związane z wdrożeniem rozwiązań do bezpieczeństwa

Na wewnątrzfirmowe projekty mające zapewnić bezpieczeństwo często brakuje wystarczającego finansowania. Powszechnym problemem jest też brak odpowiednio wykwalifikowanych pracowników i narzędzi, aby wdrażać potrzebne zabezpieczenia. To pokazuje, że outsourcing może przynieść istotne korzyści dla wielu przedsiębiorstw. Wydatki kapitałowe zostają ograniczone do minimum. Można też ograniczyć koszty wynikające z wynagrodzeń osób zajmujących się bezpieczeństwem. W przypadku outsourcingu płaci się tylko za usługę, za utrzymanie której odpowiada jej dostawca. W ten sposób klient pozbywa się obowiązków związanych z zarządzaniem bezpieczeństwem i może przenieść swoje zasoby do strategicznych projektów.

Opłacając tylko abonament – najczęściej miesięczny – otrzymuje się dostęp do najnowszych technologii. Ponieważ dostawcy usług bezpieczeństwa zarabiają na ich świadczeniu, dokładają starań, aby dysponować najlepszym sprzętem i oprogramowaniem oraz doświadczonym personelem. Dla organizacji, które nie specjalizują się w bezpieczeństwie IT, zakup takich rozwiązań – czy zatrudnianie odpowiednich specjalistów, których w dodatku brakuje na rynku – byłoby nieopłacalne.

Łatwość wdrożenia, niższe koszty i większa dostępność w outsourcingu

Jedną z największych korzyści Security-as-a-Service jest łatwość wdrożenia. W wielu przypadkach użytkownik nie musi robić nic lub naprawdę niewiele. Wystarczy aktywować usługę. Przykładem szybkiej do wdrożenia usługi bezpieczeństwa jest filtrowanie wiadomości e-mail. Trzeba jednak pamiętać, że są też zabezpieczenia, w przypadku których przejście na outsourcing wymaga większego wysiłku. Dotyczy to, np. zarządzania dostępem do firmowych zasobów.

Po wdrożeniu usługi Security-as-a-Service, zadania związane z bieżącym utrzymaniem przejmuje dostawca usługi. W ten sposób wydatki kapitałowe na rozwiązania bezpieczeństwa – których wysokość bywa trudna do przewidzenia jedynie na podstawie początkowych kosztów – przechodzą na operatora usługi. Natomiast opłaty abonamentowe klient wlicza do kosztów operacyjnych. Poza tym znacznie obniża się (do poziomu abonamentu) bariera kosztowa dostępu do najnowszych technologii. Klient otrzymuje również dostęp do profesjonalnego wsparcia technicznego świadczonego 24 godziny na dobę przez cały czas trwania kontraktu. W ten sposób czas potrzebny na rozwiązywanie problemów z bezpieczeństwem skraca się do minimum.

Przy dużej liczbie klientów operator może rozłożyć między nich swoje koszty. W ten sposób możliwe jest oferowanie zabezpieczeń klasy korporacyjnej po cenach w zasięgu nawet małych i średnich firm. Przykładowo, w modelu Security-as-a-Service mniejsze organizacje stać na korzystanie z takich technologii, jak Malware Protection, które – ze względu na wysokie koszty – stosowane są przede wszystkim w dużych firmach. Dodatkowo abonamentowy model kosztów sprawia, że wydatki stają się bardziej przewidywalne.

Aspekty prawne i zakresu odpowiedzialności

Outsourcing nie jest idealny i ma swoje ograniczenia. Typowym problem są kwestie prawne i fakt, że odpowiedzialność prawna za ewentualne straty spoczywa na kliencie. Powierzenie zabezpieczenia własnych, często poufnych i wartościowych zasobów oznacza, że trzeba zaufać zewnętrznemu podmiotowi. To dla niektórych firm może być trudne. Z drugiej strony dostawcy usług bezpieczeństwa cieszą się dobrą reputacją. Na wszelki wypadek przed podpisaniem kontraktu warto zrobić rozeznanie, jaką historię ma dany dostawca. Dodatkowo strony podpisują umowę SLA oraz umowę o poufności. Przykładowo oznacza to, że operator usług nie ma prawa sprzedać danych klienta jego konkurentom. Ponadto operatorzy mają w zwyczaju ubezpieczać swoich klientów na wypadek utraty danych.

Decydując się na korzystanie z zarządzanych usług bezpieczeństwa, klient akceptuje warunki współpracy, m.in. rezygnuje częściowo z kontroli nad środowiskiem IT. Przykładowo, to po stronie dostawcy leży wybór sprzętu i oprogramowania wykorzystywanego do świadczenia usług. Dla klientów oznacza to większe znaczenie nabiera dokładne zapoznanie się z proponowanymi warunkami SLA przed podpisaniem umowy .

Podejście do wdrożenia Security-as-a-Service

Dostawcy i klienci sugerują, żeby usługi bezpieczeństwa wdrażać etapami. Najlepiej zacząć od usług, których uruchomienie jest najłatwiejsze. Początkowe wdrożenie powinno być przeprowadzone w taki sposób, aby ograniczyć wpływ na krytyczne aplikacje biznesowe i nie narażać poufnych informacji na dodatkowe ryzyko. W ten sposób użytkownik może poznać specyfikę bezpieczeństwa w formie usługi, zobaczyć, jak dostawca realizuje zapisy SLA, jaka jest wydajność czy podział odpowiedzialności. Jeśli wdrożenie etapowe nie jest możliwe, warto posiłkować się kontaktem z referencyjnym klientem, który może pomóc w ocenie, jaki wpływ może mieć wdrożenie bezpieczeństwa jako usługi.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn