.jpg) |
| Дмитрий Устюжанин уверен, что через два-три года в России будут готовы воспринимать идеи облаков и необходимость их защиты |
Поведение заказчиков на рынке информационной безопасности долгое время определялось страхами новых угроз. Затем мотивацию рынка поддержали регуляторы, однако все эти инициативы носят насильственный характер. Гораздо полезнее экономически обосновать необходимость инвестиций в безопасность. Что следует предпринять, чтобы информационную безопасность бизнес воспринимал в первую очередь как услугу, приносящую прибыль?
16 марта журнал «Директор информационной службы» совместно с представительством McAfee провел круглый стол на тему «Информационная безопасность как услуга». В ходе встречи приглашенные обсудили, что представляет собой безопасность в качестве услуги, какова ее мировая практика, что мешает переходу от традиционной затратной модели безопасности к прибыльной.
Большинство участников круглого стола составили телекоммуникационные компании. Это вполне объяснимо: телеком тесно связан с облачными сервисами, облака адекватно воспринимаются лишь вкупе с качественной связью. Фактически провайдеры связи являются системообразующими предприятиями для облачной отрасли. Более того, телеком-провайдеры вполне органично могут превращаться в провайдеров облачных сервисов. Начав с оптимизации инфраструктуры и построения внутреннего облака, они быстро приходят к тому, что начинают предоставлять аналогичные услуги вовне.
«В России облака пока скорее напоминают тучи. При преодолении организационных, технологических и правовых сложностей поставщиками облачных вычислений из этих туч может пролиться дождь в виде решений проблем заказчиков», — заявил Роман Емельянов, директор по информационной безопасности компании ТТК. Проблема очевидна: если говорить об использовании облачных сервисов, то с технической точки зрения вопросов возникает не очень много. Неясности появляются, когда речь идет о доверии, юридической защищенности и ответственности.
Еще одна проблема в том, что многие поставщики не могут внятно описать предлагаемую услугу, дать гарантии ее качества и указать конкретные выгоды от нее. Последний пункт становится особо серьезным камнем преткновения. Услуга может быть хорошо реализована, но не продвигаться на понятном уровне, чтобы потенциальный пользователь был в состоянии оценить ее пользу. Говорить нужно не в терминах безопасности, а в терминах риска для бизнеса и возможных экономических потерь. При этом речь вовсе не идет о необразованности российских пользователей. За рубежом тоже является типичной ситуация, когда заказчик самостоятельно не может выбрать необходимую ему услугу – ему нужны консультации с провайдером.
Как подчеркнул Алексей Чередниченко, директор по продажам в телекоме и нефтегазовой отрасли компании McAfee в России и СНГ, до сих пор провайдеры облачных систем занимаются безопасностью создаваемых решений по остаточному принципу. В результате многие из существующих на рынке предложений просто-напросто слабы. Необходимость же дополнительной защиты облачных сервисов пока явно недооценивается.
Об этом же говорят и независимые аналитики. На сегодняшний день рынок средств безопасности оценивается аналитиками Forrester в 9 млрд долл., причем его облачная часть весьма незначительна. Однако уже к 2015 году он существенно вырастет, причем именно за счет сегмента «безопасность как услуга» (Security as a Service), который должен составить 12 млрд долл.
Практика показывает, что в настоящее время большинство заказчиков приходит к провайдерам услуг безопасности в результате возникновения инцидентов. Если к тому же компания почувствовала определенный финансовый эффект, она готова подписаться на услуги.
Другая проблема заключается в том, что системным интеграторам компании доверяют больше, чем провайдерам связи. Таков психологический аспект столь щепетильной темы, как безопасность: компании охотно приглашают консультантов для построения и обслуживания решений на собственной территории, но не хотят отдавать безопасность в чужие руки.
В итоге облачные сервисы порождают конфликт интересов системных интеграторов и провайдеров связи. Третью вершину «треугольника интересов» составляют вендоры решений, практически каждый из которых имеет собственные облака, а значит, тоже превращается в поставщика услуг. В этом противостоянии у системных интеграторов есть определенное преимущество: они, во-первых, могут осуществлять более широкий спектр услуг, а во-вторых, готовы нести за эти услуги ответственность.
Как показывает статистика, 80% угроз таится внутри компании и лишь 20% приходят извне, а деятельность сотрудников подразделений информационной безопасности направлена в обратной пропорции. Очевидно, было бы весьма полезно отдать защиту от внешних угроз в руки провайдера, а самим сосредоточиться на решении внутренних проблем. Однако, как подчеркнул Дмитрий Соболев, директор по проектам МТС, во многих компаниях данные подразделения возглавляют амбициозные и талантливые люди, и они не собираются делиться своими полномочиями. Наоборот, они аккумулируют в своих руках все большие ресурсы – как человеческие, так и финансово-материальные — и делают карьеру внутри компании.
«Доверие операторам связи есть, просто они не умеют им пользоваться», — полагает Соболев. В первую очередь провайдерам сервисов нужны достаточно подкованные в ИТ маркетологи, способные продвигать облачные продукты на уровне руководства компаний.
«Необходимо обучать продавцов говорить доступным языком о проблемах безопасности и предлагаемых решениях», — согласен Дмитрий Устюжанин, руководитель департамента информационной безопасности компании «ВымпелКом». По его словам, уже через два-три года в России сложится среда, готовая воспринимать идеи облаков и необходимость их защиты. К этому времени поставщики соответствующих сервисов должны быть в полной готовности.
Посмотреть видеорепортаж об этом мероприятии вы можете
http://tv.osp.ru/videos/mcafee_0316.html