По мнению аналитиков IDC, нынешнее замедление темпов экономического роста будет стимулировать компании к использованию услуг аутсорсинга для экономии капитальных затрат (покупка оборудования и программного обеспечения, разработка приложений) и перевода этих средств в операционные расходы.
Как показывает опыт прошлых лет, спрос на услуги ИТ-аутсорсинга в условиях экономического спада возрастает. Например, в Северной Америке экономические спады, имевшие место в 2002 и 1995 годах, так же, как и в конце 1980-х годов, сопровождались ростом инвестиций в аутсорсинг. Основными стимулирующими факторами были снижение и оптимизация затрат, а также сокращение ИТ-персонала.
Разумеется, у аутсорсинга есть свои тонкости, достоинства и недостатки. Считается, что при использовании аутсорсинга риски возрастают. На самом деле одни риски заменяются другими: уходит риск потери компетенции технического персонала, но возникают новые риски, например, попадания в зависимость от провайдера или нарушения информационной безопасности.
Следует, впрочем, учесть, что ИТ-аутсорсинг на Западе развивается достаточно давно и игроков на этом рынке там немало, чего не скажешь о России. «Западные аналитики, готовя исследования по России, часто не учитывают еще один фактор — географическую протяженность. Ни одно западное государство не может с нами сравниться в этом смысле. А уж про уровень информатизации и оснащенность качественными каналами связи и говорить не приходится, — отмечает Алексей Лукацкий, менеджер по развитию бизнеса компании Cisco Systems. — Аутсорсинг в России носит скорее местечковый характер: на региональном уровне есть свои локальные игроки, предлагающие некоторые услуги ИТ-аутсорсинга, но мало кто из них думает об обеспечении информационной безопасности своих услуг».
По мнению Андрея Голова, руководителя направления информационной безопасности компании Energy Consulting/Integration, уровень риска при передаче ИТ-услуг на аутсорсинг может в целом повышаться. Но в большинстве случаев это могут быть неумышленные угрозы. «В первую очередь это связано с организацией аутсорсинговой услуги. Например, повышается уровень рисков, связанных с доступностью ИТ-сервисов. Что касается рисков, связанных с нарушением конфиденциальности, то при правильном выборе аутсорсинговой компании внешние риски могут быть даже снижены, поскольку ее система информационной безопасности выстроена зачастую лучше, чем у компании-заказчика», — поясняет Голов.
По оценкам директора представительства компании Stonesoft в России и странах Восточной Европы Михаила Романова, если предприятие-заказчик не придерживается правил безопасности (или их нет), то компания-аутсорсер не сможет обеспечить безопасность: «Если на предприятии нет понимания важности этого аспекта и его специалисты не могут помочь аутсорсеру в обеспечении информационной безопасности, то лучше не переходить на аутсорсинг вовсе».
Николай Ионов, руководитель экспертной группы компании «Антивирусный центр», считает, что угрозы безопасности при передаче ИТ-услуг на аутсорсинг значительно преувеличены: «Типичными рисками, как правило, считаются утечка конфиденциальной информации, появление несанкционированных настроек, которые могут привести к нарушению системы безопасности, физическое повреждение данных или отказ в обслуживании, вызванный проведением работ. Но вопросы доступа к информации, тестирования решения, контроля исполнения работ решаются на уровне договора. Сами работы проводятся под контролем специалистов компании-заказчика, а в этом случае вероятность несанкционированного доступа и связанных с этим проблем ничуть не выше, чем в случае проведения работ без привлечения внешних специалистов. Таким образом, грамотно составленный договор на проведение работ и точное его соблюдение дают достаточную гарантию от появления подобных проблем».
Леонид Корох, CIO компании Aladdin, уверен, что самое важное при передаче любой непрофильной деятельности на аутсорсинг — это компетентность компании, оказывающей такую услугу: «Если заказчик и исполнитель работают по международным стандартам, то, разграничив зоны ответственности, определив задачи поставщика аутсорсинговых услуг и закрепив все это в SLA, можно существенно уменьшить масштабы угроз информационной безопасности. Единственный аспект, неподвластный SLA и международным стандартам, — это человеческий фактор. Халатность, недостаточная компетентность, желание сделать побыстрее, а не правильно — от этих угроз не застрахован никто, особенно в свете того, что рынок услуг аутсорсинга ИБ в России на данный момент далек от зрелости, в том числе — и с юридической точки зрения».
Кризис компетентности не добавит
В ходе оценки рисков информационной безопасности ИТ-аутсорсинга, как правило, учитывается в первую очередь доступность ИТ-услуг, переданных внешнему поставщику. Но если, например, на него или на компанию-заказчика будет организована DdoS-атака, то воспользоваться ИТ-услугами, которые отданы на аутсорсинг, не будет никакой возможности. Если атака совершена на серьезную аутсорсинговую компанию, способную поддерживать резервные каналы через нескольких операторов связи, то ситуация окажется не столь критичной по сравнению с атакой на предприятие-заказчика, поскольку не каждый заказчик в состоянии поддерживать резервные каналы.
Другая нередкая проблема — утечка информации предприятия-клиента из аутсорсинговой компании. Например, такое может случиться при использовании внешнего контакт-центра, что связано с низкой зарплатой и высокой текучестью кадров в них. В условиях кризиса эта проблема только усугубится, так как «текучка» возрастает, и многие увольняющиеся считают благим делом «урвать» что-нибудь при уходе.
«Контроль ИТ-аутсорсинга с точки зрения информационной безопасности — задача не из простых, — считает Лукацкий. — Необходимо двигаться в двух основных направлениях: использовать технические решения для дистанционного мониторинга и контроля безопасности на стороне аутсорсера и обеспечить тщательную юридическую проработку всех аспектов вплоть до безопасности SLA. К сожалению, насколько мне известно, в России вопрос контроля безопасности рассматривается достаточно редко».
Как может измениться профиль поставщика аутсорсинговых услуг в нынешней, кризисной экономической ситуации? «Условия ведения бизнеса изменились. Чтобы поставщики стали лучше, профессиональнее, нужны инвестиции, а где их сейчас взять?» — отмечает директор по информационной безопасности компании «ТрансТелеКом» Дмитрий Соболев.
Аутсорсинг — это вопрос доверия, поэтому важнейшая задача аутсорсера — обеспечить надлежащий уровень защиты информации при ее передаче, обработке и хранении, убежден Корох: «Аутсорсеры, в частности интеграторы, должны забыть о прежних схемах работы, «старых» ценах и условиях. Кризис не добавит им компетентности. Если уж вопрос о выносе на аутсорсинг какой-либо деятельности действительно стоит остро, то в отдельных случаях на проектной стадии можно пробовать привлекать иностранных консультантов (если сегмент, на котором работает организация, это приемлет), компетентных в ИТ, экономических и юридических вопросах. Других способов быстро увеличить число игроков, соответствующих требованиям качества и надежности, пожалуй, нет».
Голов тоже не склонен ожидать появления в России новых представительств крупных аутсорсинговых компаний: «Ошибочно прогнозировать бурный рост числа аутсорсинговых проектов в ближайшее время. Можно говорить о «внутрихолдинговом» аутсорсинге (по сути — инсорсинге), однако надо понимать, что такие масштабные проекты по выводу ИТ-структуры в отдельную дочернюю компанию холдинга требуют значительных начальных финансовых вложений, а в нынешних условиях акционеры могут не одобрить подобные дополнительные затраты».
Соболев согласен, что кризис, безусловно, усугубит ситуацию с ИТ-аутсорсингом. «Так как денег у бизнеса нет, то проще оставить все как есть, чем пытаться перевести что-то на аутсорсинг. Основная иллюзия в том, что можно «запустить» аутсорсинг без первоначальных инвестиций. Это не так, они требуются, и немалые, а значит, их еще надо где-то найти. Главная угроза — недоверие. Как, скажите, мне убедиться в том, что аутсорсинговая компания устоит в наше время, если я сам не до конца уверен в том, что сохраню свой бизнес? Время аутсорсинга, в том виде, в каком он позиционировался раньше, уже прошло. Должны пройти годы, чтобы аутсорсеры осмотрелись, поняли потребности и тенденции рынка и смогли сделать предложения, от которых бизнес не сможет отказаться. Пока говорить об этом, тем более в кризисный период, преждевременно».
С этим согласен и Алексей Лукацкий: «Со временем, возможно, ситуация улучшится, но пока она далека от нормальной. Отсутствие конкуренции на рынке приводит к тому, что заказчикам выбирать, по сути, не из чего. Как следствие, ставить свои условия они тоже не могут, поскольку и без их «заморочек» с безопасностью существующие аутсорсеры живут относительно неплохо. Ситуацию можно изменить двумя путями – контролем и надзором в сфере информационной безопасности, который заставит аутсорсеров выполнять уже существующие требования законодательства, и ростом конкуренции на рынке аутсорсинга».