ИТ-безопасность

Про безопасность и обслуживание компьютеров сторонними "сисадминами" и фирмами...


Автор: Викентий Китушин

Аутсорсинг системного администрирования. Есть такая услуга. Ее многие активно предлагают, и, видимо, многие пользуются. Мы, кстати, тоже ее оказываем - у нас работает несколько инженеров (системных администраторов), обслуживающих ряд небольших компаний - наших клиентов.

А недавно мне встретилось весьма любопытное объявление на одной из популярных новосибирских досок объявлений:

"Услуги по 1С
Продажа бухгалтерских баз
ведущих компаний. Дорого.
тел.: ********** "

И я подумал, что коли рынок подобных сомнительных "услуг по 1С" начал развиваться даже и таким "популистским" образом, то пора бы компаниям всерьез подумать о том, кому же они доверяют (как правило) неограниченный доступ к своим коммерческим данным. Причем эти данные могут стать интересны не только фискальным органам (про что обычно как-то еще пытаются думать), но и своим конкурентам или просто "заклятым друзьям".

Приходящие системные администраторы (одиночки или "скучкованные" в небольшие сервисные фирмы)  сами по себе - не есть ни зло, ни панацея. Думаю, что весь вопрос в том, какие отношения и форматы работы у этих специалистов выстроены с работодателем-клиентом.

И в этом смысле частенько обругиваемый, но вечный (по крайней мере, для России) метод найма сотрудников (или сдельщиков) по принципу родства с начальством очень даже неплох. Родственник продаст базу данных компании в последнюю очередь (при все прочих равных условиях, конечно).

Следующий по надежности способ решать задачу обслуживания своей локальной сети и парка компьютеров - довериться не родственникам, но знакомым, которые уже как-то положительно себя зарекомендовали, с одной стороны, и обладают нужной компетенцией, с другой стороны. Решение не идеальное, но неизбежное при отсутствии достаточного количества обученных родственников... :-)

И уж в последнюю очередь нужно обращаться к неким незнакомым фирмам, рекламирующим эти услуги и, возможно, даже качественно их оказывающим. Риски "попасть" тут максимальные. Также как и в случае найма себе в штат соответствующего специалиста без достаточной проверки и анализа его послужного списка.

Именно поэтому (и опыт нашей компании это подтверждает в полной мере) подобные услуги почти не продаются сами по себе, отдельно. Нормальные (точнее - разумные) клиенты только после некоторого позитивного опыта взаимодействия с нами по другим направлениям и услугам (имеющим формат проектов, а не аутсорсинга процессов) начинают рассматривать нас и как возможных поставщиков услуг "сисадминства".

Зато потом ситуация становится для нас очень привлекательной. Ибо клиенты уже не любят менять "коней на переправе", предпочитая выстраивать рабочие и доверительные отношения с имеющимся подрядчиком. Даже невзирая на некоторые, к сожалению, неизбежные сбои и издержки качества в обслуживании, клиенты предпочитают терпеть и "дожимать" нас, нежели целиком переключаться на другую аналогичную фирму. И, честно говоря, правильно делают. Хотя это и не оправдывает наших некоторых недоработок, случающихся иногда... :-(

Как это все может защитить, в конечном итоге, от утечки конфиденциальной информации? Если честно, то почти никак!

Если кому-то понадобилось у вас украсть некие данные, то вряд ли вы (а также и мы) окажетесь способны противостоять реализации этого намерения на все 100%. Тут уже начинается просто игра на поднятие "цены вопроса". С одной стороны, ценность информации для потенциального вора, а с другой стороны - сумма затрат на защиту этой информации ее обладателем.

То, что "плохо лежит", будет украдено легко и быстро. То, что лежит под присмотром, тоже будет украдено, но только если это кому-то ну очень понадобится. Вот такая вот диалектика жизни...

Встает вопрос адекватности затрат на защиту данных. Простого решения нет.

Наш опыт показывает, что у каждого руководителя, как мы говорим между собою, имеется свой "персональный уровень паранойи". Одни тратят весьма существенные средства на охрану того, что по оценкам других совсем не стоило бы таких денег. Объективных критериев тут мы не знаем и вынуждены просто ориентироваться на тот самый "уровень паранойи" конкретного клиента, в меру своего опыта и понимания ситуации пытаясь его корректировать.

Так и живем...



Comments