Úskalí spojená s outsourcingem bezpečnosti IT

Rozhodnutí, zda si nechat outsourcovat síťovou bez­peč­nost, se zdá být na první pohled velmi komplikované. Již samotné spojení slov bez­peč­nost a outsourcing se může zdát někomu nesmyslné, obzvláště pokud je bezpečnost vnímána jako strategická oblast mající vliv na chod celé společnosti. Často se pak rozhodnutí, zda outsourcovat bezpečnost, či nikoli, zavrhuje (zbytečně!) či v lepším případě odkládá na neurčito.

Na pomyslných jazýčcích vah jsou v prvopočátku rozhodovacího procesu následující klady a zápory:

• Atraktivní výhody – outsourcing nabízí významné zvýšení síťové bezpečnosti bez nutnosti zaměstnat další vlastní specialisty a vyvarování se špatně nasazených, nedoimplementovaných nebo ne stoprocentně využitých bezpečnostních řešení, kdy nákladné investice ztrácejí svou rentabilitu.
• Potenciální rizika – některé zkušenosti s outsourcingem ukazují, že špatný výběr poskytovatele nebo nejednoznačné nastavení procesů a zodpovědnosti mohou být v lepším případě draze zaplacenou zkušeností.

Proč jít cestou outsourcingu

Jaké bývají nejčastější hnací motory pro outsourcing bezpečnosti IT? Dle našich zkušeností jsou to zejména následující aspekty:

• Outsourcují se chybějící specialisté na bezpečnost IT, kterých je na pracovním trhu málo.
• Stávající zaměstnanci jsou „uvolněni“ pro podporu základních činností organizace, tj. pro správu interních informačních systémů, kde outsourcing nepřipadá v úvahu, jelikož jde o citlivá data.
• Organizace si uvědomuje rizika růstu závislosti na IT, trend „elektronizace“ podnikání a potřebu profesionálního přístupu k bezpečnosti informací a dat kvůli jejich stoupající hodnotě. Je-li i v poměrně velkém podniku jeden odborník na bezpečnost, zaměstnavatel je zcela v jeho moci.
• Zodpovědnost za komplexnost zabezpečení proti všem relevantním elektronickým hrozbám a sledování vývoje (včetně jeho porozumění) je převedena na poskytovatele outsourcingu.
• IT oddělením lze snadno ponechat kontrolu díky přístupu k administračním rozhraním a reportovacím nástrojům.
• Implementace služeb je překvapivě rychlá a nijak nenarušuje stávající procesy, což je kladně přijato jak vedením organizace, tak samotným IT.

I z těchto důvodů může být outsourcing bezpečnosti IT naopak pilotním projektem outsourcingových služeb v organizaci vůbec.

Kvalitní poskytovatel je alfou a omegou

Jak si vybrat správného poskytovatele outsourcingu? Je dobré vyvarovat se situací, kdy u poskytovatele outsourcujícího například správu aktivních prvků je zadán i outsourcing pro bezpečnostní monitoring, přičemž ale nemá expertní znalosti z dané problematiky. Nečinnosti či neodborné doporučení pak mohou přinést více škody než užitku a outsourcing nakonec pohřbít. Důležitým ukazatelem při výběru jsou bezpochyby reference. Dále je to kvalifikace poskytovatele, a to nejen jeho certifikace (např. ISO 9001, ISO 27001, NBÚ aj.), ale i certifikace a počet technických specialistů majících relevantní vztah k předmětu outsourcingu. V každém případě je ještě před zahájením poskytování služeb potřeba oboustranné shody na náplni outsourcingu, způsobu komunikace, SLA, zodpovědnostech a finančních závazcích. Po uzavření smlouvy musí existovat naprostá důvěra obou zainteresovaných stran. 
Outsourcing bezpečnosti není jen o poskytnutých zařízeních, ale zároveň i o know-how odborníků poskytovatele. Odborníkem v oblasti bezpečnosti IT se člověk stává podstatně déle. Nestačí absolvovat školení či administrátorský kurz firewallu, to by jistě mohli i vaši zaměstnanci. Je potřebná dlouholetá praxe v oboru, hluboká znalost síťových služeb, protokolů, znalost infrastruktury a topologie v dané organizaci a v neposlední řadě nadhled a schopnost absorpce podnikových procesů a cílů.

Co outsourcovat?

Dalším úskalím v rámci rozhodování, zda outsourcovat bezpečnost, či nikoli, může být otázka „co outsourcovat“. Správné rozhodnutí je klíčem k úspěchu, jelikož ne všechny systémy nebo služby se dají outsourcovat plnohodnotně, respektive dobře. Typicky prvním krokem je outsourcing těch služeb IT bezpečnosti, které je možné provádět vzdáleně a nemají přímé propojení na interní data a informace (nezahrnují přístupová práva k databázím, operačnímu systému, aplikačním frontendům apod.). Obecně může služba outsourcing bezpečnosti IT zahrnovat následující činnosti:

• správu sítě a síťových prvků,
• audit současných procesů, infrastruktury, aplikací IT/IS,
• zhodnocení technického vybavení,
• konzultační služby pro vývoj IS/IT,
• výběr a dodávku nových technologií,
• testování nových technologií před implementací,
• pravidelnou administrace a správu,
• analýzu provozu, řešení či návrh řešení incidentů,
• opravy technického vybavení (hardwaru),
• správu programového vybavení (softwaru), patchování, update, upgrade,
• helpdesk,
• školení uživatelů.

Příklad outsourcingu

Nejčastěji outsourcovanou oblastí bezpečnosti IT je tzv. perimetr sítě a s tím související bezpečnostními prvky, jako jsou UTM (unified threat management) firewall, VPN koncentrátor či SSL VPN brána s nástroji pro pokročilou autentizaci, web proxy a cache, IPS a ochrana poštovního provozu s antispamem. Lze pronajmout nejen služby s garantovanou odborností, ale i vlastní hardware v libovolné konfiguraci včetně volitelných modulů. Obvykle zákazník zařízení vlastní a outsourcuje pouze lidské zdroje v podobě služeb, nicméně stále častější je situace, kdy jsou veškerá zařízení a software ve vlastnictví poskytovatele. Zde hraje nemalou roli i finanční hledisko, kdy se zavedení pokročilých bezpečnostních systémů obejde bez investičních nákladů a rovněž odpadá riziko neúspěšné či neúplné implementace. Správa, konfigurace, zálohování, veškeré aktualizace a další služby jsou prováděny v komplexním outsourcingu v samotném základu.
Výhody takto outsourcovaného řešení:

• Outsourcing umožňuje plnou koncentraci IT týmu zadavatele na vlastní práci, nikoliv na problematiku informační kriminality a související správu bezpečnostních zařízení.
• Hardwarové a softwarové prostředky v rámci outsourcingu mohou být instalovány přímo u zadavatele či v hostingu poskytovatele internetového připojení.
• Zadavatel nemá žádné investiční náklady na pořízení, údržbu a upgrade hardwaru a softwaru a nevystavuje riziku plynoucího ze špatné nebo nedokončené implementace.
• Náklady na zajištění pokrytí bezpečnostního rizika na perimetru jsou při využití outsourcingu výrazně nižší než skutečné náklady, které by mimo nákupu řešení musel investovat zadavatel i do svých specialistů (výběr řešení, testování, ladění, patchování, školení obsluhy, studium problematiky apod.). Zadavatel se rovněž nemusí obávat, že tento drahý specialista jednoho dne odejde.

Závěr

V rámci bezpečnosti IT jsou outsourcingem řešeny zejména otázky personálního charakteru, jelikož tato dynamicky se vyvíjející oblast vyžaduje kvalifikované a zkušené specialisty. Těch není na pracovním trhu mnoho, a navíc jejich zaměstnání na plný pracovní úvazek může být pro organizaci neefektivní. Možností je také zaškolení některého z kmenových administrátorů. Toto opatření je ale zdržuje od projektů souvisejících s podporou hlavních činností organizace a rozmělňuje jejich odbornost a specializaci. Výsledkem bývá v mnoha případech funkčně nedoladěné řešení nebo několikanásobně vyšší spotřeba času na dotažení implementace do zdárného konce, a tedy i de facto znehodnocená investice. Tato druhá varianta bývá často důvodem, proč někteří vedoucí IT sáhnou raději po méně sofistikovaném (a tedy méně bezpečném) řešení jen proto, aby je jejich tým zvládl jednoduše a rychle implementovat a udržovat. A přitom existuje elegantní alternativa integrující ekonomickou i funkční stránku – outsourcing.

Aleš Nosek
Autor působí ve společnosti Comguard.