Информационная безопасность становится частью бизнес-стратегии

Но это не все: сегодня ИБ-департаменты трансформируются в полноценные бизнес-подразделения, без участия которых невозможно выстроить эффективную работу компании.

В минувшем году произошел ряд событий, которые заставили задуматься об информационной безопасности даже самых беспечных бизнесменов. Речь идет о громких случаях утечек персональных данных из крупных организаций. Стало ясно, что без комплексного подхода к ИБ, включающего в себя внедрение надежных средств защиты от вторжений и внутреннюю работу по повышению ИБ-грамотности персонала, не обойтись.

Второй стимул для развития отрасли – ужесточение законодательства. Многие компании занимаются приведением ИБ-инфраструктуры в соответствие требованиям регуляторов. Например, не так давно участники финансового рынка получили от Центробанка рекомендации по внедрению нового ГОСТ Р 57580.1−2017. В конце 2019 года были существенно увеличены штрафы за неисполнение требований ФЗ-152 «О защите персональных данных» в отношении локализации данных граждан России на территории страны. Кроме того, продолжается реализация ФЗ-187 «О защите критической информационной инфраструктуры РФ». Значительная часть организаций, подпадающих под действие закона, сейчас завершает категорирование своих объектов КИИ и должна перейти к подбору и внедрению средств защиты информации.

Вслед за ИТ-рынком в целом рынок киберзащиты движется к переходу на сервисную модель взаимодействия между провайдером и клиентом. Пока доля услуг невелика: по опыту Softline, отношение инвестиций заказчиков в сервисы информационной безопасности и приобретение ПО и оборудования составляет, как правило, 20:80. В зависимости от зрелости компании оно может меняться в ту или иную сторону: чем более развита система ИБ, тем больше денег тратится на услуги. Аутсорсинг позволяет компании экономить оборотные средства и получать качественную услугу в круглосуточном формате. ИБ-провайдеры имеют в своем штате высококвалифицированных специалистов, которые постоянно углубляют свою экспертизу и следят за актуальными событиями в мире киберугроз.

Можно выделить услуги, наиболее востребованные у российских заказчиков. В первую очередь, это compliance – приведение процессов и ИБ-инфраструктуры заказчика в соответствие требованиям законодательства РФ, отраслевых регуляторов, международных стандартов. Доля этой услуги в общем объеме продаж ИБ-сервисов Softline составляет порядка 30–40%. Популярна услуга классической технической поддержки средств ИБ с разным уровнем SLA в зависимости от нужд заказчика. Востребованы и тесты на проникновение (пентесты) и vulnerability management – сервисные проекты, в рамках которых проводится комплексный анализ защищенности инфраструктуры компании, внедрение систем анализа уязвимостей.

В прошлом году мы отметили растущий интерес к аутсорсингу систем DLP (Data Leak Prevention), которые защищают конфиденциальную информацию от утечек. Сервис позволяет усилить контроль за потоками информации, пересекающими периметр инфраструктуры организации, повысить эффективность выявления фактов хранения и передачи конфиденциальной информации за пределы бизнес-процессов, разоблачение мошеннических схем и расследование инцидентов.

Растет популярность ИБ-сервисов, предоставляемых по модели MSSP (Managed Security Service Provider). Пока доля управляемых услуг в области информационной безопасности в России не очень высока, но 2018–2019 годы продемонстрировали устойчивую динамику их развития: все больше заказчиков начинают доверять сервис-провайдерам.

Трансформация рынка ИТ в целом и подхода к обеспечению информационной безопасности ведет к изменению роли ИБ-подразделений и провайдеров в работе организаций. Теперь мы решаем не узкую проблему клиента (подобрать средства защиты информации, ограничить права пользователей, запретить доступ к потенциально вредным ресурсам и т.п.), а его бизнес-задачи, делая это посредством технологий информационной безопасности. ИБ-департаменты учатся говорить на языке бизнеса и принимают непосредственное участие в разработке и реализации стратегии компании, а мы как провайдер продаем не готовые решения, а собственные компетенции.

Один из таких проектов Softline реализовала в прошлом году в крупной торговой сети. Заказчик пришел к нам с запросом на аутсорсинг технического сопровождения DLP, но позднее убедился в том, что для полноценного использования решения необходимо полное его сопровождение. Мы провели несколько месяцев в диалоге с бизнес-подразделениями компании, чтобы определить все возможные риски, понять, какие данные для них являются критичными. В итоге заказчик смог использовать возможности внедренного решения на 90%, тогда как нередко при самостоятельной работе с DLP этот показатель не дотягивает и до 50%.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!