Поиск по сайту

bit.samag.ru

Web

Рассылка Subscribe.ru

подписаться письмом

Вход в систему


Запомнить меня
Регистрация Забыли пароль?

О журнале

Ваше мнение

Редакционная подписка

Через подписные агентства

Статьи

Общие тенденции и тренды

Архив

Мероприятия

Календарь мероприятий

май

2024

показать все

Новости партнеров

27.04.2024

RAMAX Group рассказала на Smart Mining & Metals об особенностях пилотирования ML-проектов

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

показать все

Статьи

18.04.2024

5 способов повысить безопасность электронной подписи

18.04.2024

Как искусственный интеллект изменит экономику

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

05.04.2024

Мотивируй, не то проиграешь!

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR

25.02.2024

Цифровые технологии: надежды и риски

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

показать все

Облака: победят, но не нокаутом

Главная / Архив номеров / 2023 / Выпуск №08 (131) / Облака: победят, но не нокаутом

Рубрика: Тема номера / Облачные технологии

Облака:
победят, но не нокаутом

Популярность облачных сервисов развивается год от года, при этом не утихают дискуссии о том, как грамотно распределить риски между организацией и провайдером. Эти и другие темы, связанные с выбором поставщика облачных сервисов и обеспечением безопасности аутсорсинга в разрезе облаков (SaaS, PaaS и IaaS), обсудили ведущие видеоподкаста «Безопасный выход» Анастасия Харыбина, Тимофей Матреницкий и гость студии Александр Сухарев, эксперт Beeline Cloud.

«Безопасный выход» — подкаст о настоящем и будущем информационной безопасности, где ведущие вместе с приглашенными экспертами разбираются, как обеспечить информационную безопасность и повысить ее эффективность для бизнеса.
Выпуски подкаста «Безопасный выход» можно найти на YouTube и Podster.fm.

Как правильно выбрать провайдера облачных услуг?

Очевидно, что заказчику порой сложно решиться на аутсорсинг. Отдавать часть своего бизнеса вовне, передавать кому-то свои функции – такой шаг всегда вызывает определенные опасения и сопряжен с немалыми рисками. Что в первую очередь необходимо выяснить и оценить при выборе подрядчика?

Тимофей Матреницкий: В первую очередь стоит определить цели, почему ваша организация хочет воспользоваться услугами облачного провайдера. Это может быть экономическая целесообразность, развитие бизнеса, новые задачи, которые организация ставит перед службой ИТ и ИБ и т.д.

Далее рекомендую составить список процессов, которые вы планируете передать подрядчику. Возможно, не стоит передавать сразу все процессы и нужно ограничиться лишь теми, которые не оказывают на бизнес критического влияния и несут в себе повышенный риск, а какие-то процессы команда способна закрыть сама с минимальными расходами.

Второй этап – это оценка эффективности выполнения этих процессов на аутсорсинге. Здесь мы, с одной стороны, должны посмотреть на стоимость, а с другой – на риски. Задайтесь вопросами, как мы будем с этими рисками работать, во что нам обойдется их минимизация. На этом этапе стоит подготовить «план Б» на случай отказа от услуг провайдера или перехода к другому оператору.

И третий этап, когда составлен список передаваемых процессов, и вы убедились, что аутсорсинг экономически оправдан, это выбор облачного провайдера. Вопрос это сложный, ведь выбор зависит от многих факторов: ваших задач, рыночной ситуации и прочего.

Существует целый ряд критериев для выбора облачного провайдера.

Начнем со стандартных:

Есть ли у потенциального подрядчика компетенции в необходимой области.
Обладает ли подрядчик требуемым опытом.
Есть ли у провайдера SLA, и что в него входит.
Готов ли подрядчик брать ответственность за процессы и покрывать возможные риски;
Есть ли у него карта процесса, т.е. поэтапное понимание, как и что нужно делать.

Определившись со стандартными требованиями, далее можно выяснить и более тонкие моменты:

Занимается ли провайдер добровольной сертификацией, а также аттестацией своей платформы;
Готов ли подрядчик показать, как устроена его инфраструктура;
Может ли провайдер организовать встречу со своими заказчиками, и готовы ли они рассказать о своем клиентском опыте.

Также важно помнить, что как бы четко не был прописан SLA, всегда будет некая «серая» зона. Поэтому, чем лучше клиент с подрядчиком понимают свои риски и умеют с ними работать, тем меньше останется неясных моментов на старте.

Александр Сухарев: Да, действительно, переход в облако только по причине, что это будет дешевле компании обходиться, не совсем обдуманный шаг. Пересмотр перечисленных критериев, оценка риска имеют под собой весомое основание. Если заказчики облачных услуг будут так делать, если компании будут идти по такому алгоритму, они и правда смогут снять с себя множество рисков. Тем не менее, какие бы критерии мы не закладывали, все равно все сводится к тому, как услуга в конечном счете будет работать. Не всегда возможно протестировать все параметры на старте. Бывает, что всем критериям сервис соответствует, но исполнение их так или иначе не гарантировано.

Анастасия Харыбина: Зачастую специалисты по информационной безопасности, которым адресован наш подкаст, к сожалению, не часто задумываются о влиянии на общий бизнес. Поэтому, для того чтобы начать составлять список преимуществ перехода на аутсорсинг, должна быть очень веская причина, то есть цель. Это может быть развитие нового направления бизнеса в организации, освоение нового клиентского сегмента или проект по оптимизации бизнес-процессов. Нужен этот импульс. Именно под эти серьезные цели начнется составление списка критериев и выбор подрядчика.

Распределение рисков

Александр Сухарев: Основной момент, который интересует заказчика, решившего переехать в облако, это распределение рисков. Другими словами, какие риски берет на себя он, и что достается, собственно, облачному провайдеру. И тут важно понять, чего боится заказчик? Боится, что его с этим самым облаком оставят одного, что рухнет процесс, а подрядчик скажет, что предоставил платформу или ПО, а вот с остальным пусть разбирается заказчик. На этом начальном этапе провайдер должен максимально прозрачно обозначить возможные риски и их распределение, а в случае возникновения непредвиденных ситуаций очень плотно работать с заказчиком для ее устранения.

К слову, если посмотреть исследования, связанные с оценкой качества сервисов, мы увидим, что лояльность заказчика провайдеру после успешно устраненного инцидента становится даже выше, чем нежели, если бы этого инцидента не было.

Анастасия Харыбина: И всё-таки, если мы говорим про модели IaaS, PaaS и SaaS, в каждой из них предполагается совершенно разное распределение рисков между заказчиком и провайдером. Считается, что при модели IaaS задача управления рисками лежит на стороне заказчика. При SaaS риск больше на стороне провайдера. Но есть так называемые серые зоны, в которых отнесение рисков неочевидно. Поэтому сторонам очень важно договориться на берегу, что будет происходить в случае возникновения инцидента.

Кроме того, существует некий миф, что модель SaaS, в частности облачные SOC и SIEM, это такие сервисы информационной безопасности «под ключ». На деле же заказчик все равно должен встраивать процессы, вынесенные на сторону провайдера. в систему управления собственными рисками, в частности рисками информационных угроз, операционными рисками и рисками операционной надежности. При этом надо четко понимать, как выбранный провайдер работает с собственными рисками ИБ. Так как атака на провайдера, как снежный ком, ударит и по заказчикам. И, в зависимости от модели ХaaS, пострадают либо некоторые процессы заказчика, либо бизнес в целом. Поэтому распределение рисков – это тонкая настройка.

Тимофей Матреницкий: А как заказчик может убедиться, что провайдер обеспечивает должное управление рисками информационных угроз?

Анастасия Харыбина: Это как раз вопрос к провайдеру – готов ли он предоставлять эту информацию. Будучи заказчиком, я бы безусловно узнала у потенциального провайдера, есть ли у него выделенная функция по управлению рисками и как поставлен этот процесс. А также задала себе вопрос, что мы будем делать, если завтра провайдер перестанет оказывать услуги, или если его атакуют. Это, на мой взгляд, серьезный пункт в чек-листе по выбору аутсорсера.

Александр Сухарев: Замечу, что такой серьезный подход к выбору провайдера, когда делается оценка и распределение рисков, собирается экспертиза, звучат вопросы об управлении киберрисками, для России скорее исключение, чем правило. Пока так поступают, возможно, только очень крупные компании уровня энтерпрайз, которые передают на аутсорс серьезные функции и процессы. Большинство компаний пока стараются экономить на консалтинге, экспертизе в области управления рисками.

Регуляторика

Анастасия Харыбина: Затрону вопрос регулирования аутсорсинга в разрезе именно облачных сервисов. Сейчас провайдеры не наделены каким-то правовым статусом. Но регуляторы понемногу начинают об этом задумываться. Есть прогнозы, что к 2025 году в облака будет передано до 80% процессов. Первопроходцем в регуляторике облачного аутсорсинга выступил Банк России. В конце прошлого года на общественное обсуждение ведомство выставило документ, который описывает пути развития регуляторики по аутсорсингу различных технологических процессов для финансовых организаций.

Вообще Банк России уже очень давно ориентирован на решение глобальных задач по управлению рисками и обеспечению операционной надежности финансовых организаций, и планы по развитию регуляторики облачного аутсорсинга как раз гармонично ложится в эту канву.

Разумеется, Банк России не может предъявить требования к облачным операторам, они не являются его поднадзорными организациями. Но он может обязать финансовые организации использовать решение тех провайдеров, которые соответствуют определенным требованиям. Концепция Банка России предполагает поэтапное внедрение требований, и, в первую очередь, появятся обязательства для подрядчиков соблюдать правила и требования по обеспечению конфиденциальности. Вероятно, для финансовых организаций будут прописаны конкретные функции, которые ни при каких условиях не могут быть переданы облачному оператору.

Кроме того, будет введено понятие «критичных функций», передав которые, финансовая организация должна будет уведомлять об этом Банк России. Оператор, в свою очередь, должен будет соответствовать определенным требованиям. Кстати, многие операторы, работающие с финансовой отраслью, уже сейчас добровольно проходят оценку соответствия ГОСТ-57580.1-2 по защите информации.

Готовы ли операторы принять на себя ответственность и инвестировать во внедрение новых для себя требований? Не будут ли эти требования являться стоп-фактором для выхода на рынок новых операторов?

Александр Сухарев: Во-первых, часть облачных операторов, конечно, готова. Они действительно проходят оценку соответствия по ГОСТ 57580.1-2. Это действительно очень перспективная ниша, оператор, прошедший оценку соответствия, имеет возможность выйти на новых клиентов. Успеют ли другие операторы, которые только будут заходить на этот рынок, впрыгнуть в этот поезд? На мой взгляд, да. На этом рынке будет больше денег, все больше операторов будут обращать внимание на этот рынок и стараться быть в тренде. А мы должны понимать, что всё-таки облачные провайдеры – это компании, которые, в общем, довольно технологичные, и они следят за тем, что происходит в, собственно, технологиях и в нормативном регулировании. Я думаю, они будут опережать рынок.

Нужно, чтобы и банки тоже были готовы к этому. Несмотря на то, что ЦБ является драйвером, законодательное регулирование облачного бизнеса на данный момент находится на ранней стадии. Пока принятого документа на тему регулирования облачных сервисов нет. Провайдеры, конечно, ждут и наблюдают, как будут действовать наши регулирующие органы.

Анастасия Харыбина: А регуляторные фреймворки не противоречат самой идее «облаков». Они ведь про скорость, простоту в хорошем смысле, про эффективность, то есть за меньшее время мы делаем даже больше. Но как только мы накладываем регуляторные требования, они замедляют все процессы. То есть, как будто, из-за того, что мы хотим использовать облака, регуляторика может убить.

Тимофей Матреницкий: Мне кажется, что введение регуляторики, конечно, будет в каком-то степени ограничивающим фактором, но она точно не будет тем фактором, который нарушит и поставит отрасль под угрозу.

Александр Сухарев: Нужно понимать, что всё-таки законодательство формируется в ответ на некие изменяющиеся обстоятельства. И в связи с этой инерцией, конечно, технологии, в том числе и облачные, будут внедряться раньше, чем будет «добегать» законодательство. С другой стороны, конечно, некие регуляторные рамки необходимы, иначе мы можем получить действительно серьезные кризисы. Примеры из истории мы прекрасно знаем.

Анастасия Харыбина: Если резюмировать вопрос про регуляторику, очевидно, должны появиться правила игры, и должно появиться какое-то правовое поле для взаимодействия между заказчиком и облачным провайдером. Строгость этих правил должна обсуждаться. К этой дискуссии должен подключится рынок, как со стороны потенциальных пользователей облачных сервисов, так и со стороны облачных провайдеров. Участие в создании нормативной базы возможно, например, через работу с ассоциациями.

Ключевые слова: регуляторика, облачные провайдеры, облачный аутсорсинг, управление рисками.

Подпишитесь на журнал
Купите в Интернет-магазине

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи