Можно ли доверить аутсорсинговым компаниям защиту своих данных?

Усложнение информационных систем, широкое использование мобильных технологий, внедрение принципов BYOD в ежедневную бизнес-практику выводит проблемы кибербезопасности на первый план. Обеспечение полноценной защиты данных компании стало одним из основных бизнес-рисков, требующих серьезного переосмысления.

information securityЕжегодно в результате кибератак бизнес теряет в среднем 375 млрд. долларов (по оценке экспертов компании McAfee). В свою очередь, IBM  отмечает, что одна утечка данных может стоить средней американской компании примерно 3,5 миллиона долларов. Чаще всего атакам подвергаются компании, работающие в сферах финансов и страхования, производства, информации и связи, здравоохранения и торговли.

Результаты Глобального исследования в области защиты информации, проведенного компанией Ernst & Young, однозначны  ‑ 57% респондентов считают собственных сотрудников основной угрозой информационной безопасности и утечки данных. Это подтверждается результатами опроса PricewaterhouseCoopers (PwC), посвященным глобальному состоянию информационной безопасности в 2015 году. Эксперты PwC называют сотрудников «самой часто упоминаемой причиной инцидентов», при этом количество респондентов, указывающих на сотрудников как на причину всех бед при утечке данных, увеличилось на 10% по сравнению с 2013 годом.

Здесь необходимо уточнить, что речь идет не только (и не столько) о преднамеренной краже и передаче данных третьим лицам, но о других причинах, по которым сотрудники становятся причиной утечки информации. Неэффективные меры и политики компании по защите информации и человеческая небрежность постепенно оттесняются новым фактором: BYOD. Неправильное или небрежное внедрение практик BYOD («Принеси свое собственное устройство»), когда сотрудники могут использовать собственные устройства для доступа к корпоративным сетям и информации, фактически повышает риск утечки данных за счет дополнительных факторов риска – вредоносного ПО на мобильных устройствах, несанкционированного доступа, кражи или утери устройства и т.д.

Ситуация усложняется, когда речь заходит о передаче части процессов или проектов на аутсорсинг. В то время, как компании могут контролировать и регулировать внутренние принципы и меры по обеспечению безопасности, они совершенно закономерно озабочены тем, что не могут быть уверены в защите своих данных компанией-аутсорсером.

Рынок IT-услуг демонстрирует стабильный рост в течение последних нескольких лет, так же, как и рынок аутсорсинга. По оценкам Gartner, в 2015 году объем мирового рынка IT-услуг достигнет 980 млрд. долларов, из которых более половины приходится на аутсорсинг. Эксперты полагают, что к 2018 году объем рынка превысит миллиард долларов США.

Но, к сожалению, эксперты также прогнозируют рост рисков кибератак. Соответственно, остается открытым вопрос, могут ли компании доверять свою конфиденциальную информацию аутсорсинговым провайдерам. Информация является ключевым активом компании, и даже самая малая вероятность утечки коммерческих тайн, ноу-хау, личных данных сотрудников и клиентов .становится критичной.

Давайте рассмотрим ситуацию внимательнее. Как компания-разработчик, более 25 лет работающая в области аутсорсинга, Аурига заинтересована в том, чтобы данные наших клиентов были максимально защищены в любых обстоятельствах. Если наша компания не сможет этого обеспечить, мы не только навредим собственной репутации и утратим позиции на рынке, но в перспективе столкнемся с судебным разбирательством и рискуем потерять своих клиентов, – а это совсем не то, ради чего мы все эти годы выстраивали свой бизнес.

Мы в Ауриге прекрасно понимаем осторожность, с которой клиенты относятся к самой идее аутсорсинга и к выбору партнера. Именно поэтому в нашей компании реализованы самые строгие меры по обеспечению информационной безопасности. Уровень защиты данных наших клиентов в большинстве случаев выше того, который используется у заказчика. Если учесть, что многие наши клиенты работают в области высоких технологий, то это говорит о многом.

В дополнение к использованию самых современных технологий обеспечения безопасности данных (антивирусные системы, межсетевые экраны (firewall), средства предотвращения и обнаружения вторжений/атак, системы логгирования и др.), Аурига использует только защищенные протоколы (SSH, HTTPS, SFTP) для внешних и внутренних соединений. Кроме того, нами используются сложные системы резервного копирования и обеспечивается функционирование в случае чрезвычайных ситуаций. Дополнительно применяется двухфакторная авторизация для защиты удаленного доступа к VPN.

В компании реализованы и внедрены на практике соответствующие правила и политики в области информационной безопасности, включающая правила по хранению данных и обмену ими, правила использования Интернет-ресурсов и т.д.

  • Все сотрудники компании подписывают Соглашение о неразглашении.
  • Все сотрудники в обязательном порядке проходят инструктаж и тренинги по информационной безопасности.
  • Реализованы различные уровни доступа к информации: доступ к информации клиента имеют только те сотрудники, которым он действительно необходим для работы и только в объеме, необходимом для выполнения их задач на проекте.
  • Обеспечены повышенные меры физической безопасности: программируемые электронные ключи доступа, доступ в помещения предоставлен только сотрудникам проекта, ведется журнал регистрации посетителей, системы видео-наблюдения за критически важными помещениями, системы оповещения при нарушении режима доступа.

За последние несколько лет три крупных зарубежных клиента с самыми высокими требованиями к защите информации заказали и провели независимые аудиты внутренних процессов и мер Ауриги по обеспечению безопасности и остались удовлетворены результатами.

Более того, по запросу клиента мы можем обеспечить дополнительные меры защиты данных, в том числе, выделенные серверы, программно-аппаратное обеспечение, выделенный пул реальных и виртуальных IP-адресов для конкретного проекта, выделенные сегменты сети, доступ к которым имеет только команда и клиент.

Елена Баранова, директор Ауриги по инжинирингу, отмечает:

«Для нас важно постоянно совершенствовать все процессы, связанные с защитой данных. Наши клиенты доверяют нам самую важную информацию, утечка которой может оказаться для них катастрофической. Сегодня недостаточно просто реализовать некие защитные меры и забыть об этом.

Количество кибератак постоянно растет, и они становятся все более сложными и продуманными, именно поэтому необходимо непрерывно контролировать и отслеживать эти процессы. В Ауриге мы используем только самые современные меры по обеспечению безопасности и инструменты, которые позволяют нам обнаруживать и устранять угрозы и уязвимости и защищать нашу информацию и данные наших клиентов».