Дмитрий Устюжанин уверен, что через два-три года в России будут готовы воспринимать идеи облаков и необходимость их защиты |
Поведение заказчиков на рынке информационной безопасности долгое время определялось страхами новых угроз. Затем мотивацию рынка поддержали регуляторы, однако все эти инициативы носят насильственный характер. Гораздо полезнее экономически обосновать необходимость инвестиций в безопасность. Что следует предпринять, чтобы информационную безопасность бизнес воспринимал в первую очередь как услугу, приносящую прибыль?
Журнал «Директор информационной службы» совместно с представительством McAfee провел круглый стол на тему «Информационная безопасность как услуга». Большинство участников круглого стола составили телекоммуникационные компании. Это вполне объяснимо: телеком тесно связан с облачными сервисами, облака адекватно воспринимаются лишь вкупе с качественной связью. Фактически провайдеры являются системообразующими предприятиями для облачной отрасли. Более того, телеком-провайдеры вполне органично могут превращаться в провайдеров облачных сервисов. Начав с оптимизации инфраструктуры и построения внутреннего облака, они быстро приходят к тому, что начинают предоставлять аналогичные услуги вовне.
«В России облака пока скорее напоминают тучи. Из этих туч должен пролиться дождь в виде решений проблем заказчиков», — заявил Роман Емельянов, директор по информационной безопасности компании ТТК. Проблема очевидна: если говорить об использовании облачных сервисов, то с технической точки зрения вопросов возникает не очень много. Неясности появляются, когда речь идет о доверии, юридической защищенности и ответственности.
Еще одна проблема в том, что многие поставщики не могут внятно описать предлагаемую услугу, дать гарантии ее качества и указать конкретные выгоды от нее. Последний пункт становится особо серьезным камнем преткновения. Услуга может быть хорошо реализована, но не продвигаться на понятном уровне, чтобы потенциальный пользователь был в состоянии оценить ее пользу. Говорить нужно не в терминах безопасности, а в терминах риска для бизнеса и возможных экономических потерь.
Как подчеркнул Алексей Чередниченко, директор по продажам в телекоме и нефтегазовой отрасли компании McAfee в России и СНГ, до сих пор провайдеры облачных систем занимаются безопасностью создаваемых решений по остаточному принципу. Необходимость же дополнительной защиты облачных сервисов пока явно недооценивается.
На сегодняшний день рынок средств безопасности оценивается аналитиками Forrester в 9 млрд долл., причем его облачная часть весьма незначительна. Однако уже к 2015 году он существенно вырастет, причем именно за счет сегмента «безопасность как услуга», который должен составить 12 млрд долл.
Показательно, что системным интеграторам компании доверяют больше, чем провайдерам связи. Таков психологический аспект столь щепетильной темы, как безопасность: компании охотно приглашают консультантов для построения и обслуживания решений на собственной территории, но не хотят отдавать безопасность в чужие руки.
В итоге облачные сервисы порождают конфликт интересов системных интеграторов и провайдеров связи. Третью вершину «треугольника интересов» составляют вендоры решений, практически каждый из которых имеет собственные облака, а значит, тоже превращается в поставщика услуг. В этом противостоянии у интеграторов есть определенное преимущество: они, во-первых, могут осуществлять более широкий спектр услуг, а во-вторых, готовы нести за эти услуги ответственность.
Как показывает статистика, 80% угроз таится внутри компании и лишь 20% приходят извне, а деятельность сотрудников подразделений информационной безопасности направлена в обратной пропорции. Очевидно, было бы весьма полезно отдать защиту от внешних угроз в руки провайдера, а самим сосредоточиться на решении внутренних проблем. Однако, как подчеркнул Дмитрий Соболев, директор по проектам МТС, во многих компаниях данные подразделения возглавляют амбициозные и талантливые люди, и они не собираются делиться своими полномочиями. Наоборот, они аккумулируют в своих руках все большие ресурсы — как человеческие, так и финансово-материальные — и делают карьеру внутри компании.
«Доверие операторам связи есть, просто они не умеют им пользоваться», — полагает Соболев. В первую очередь провайдерам сервисов нужны достаточно подкованные в ИТ маркетологи, способные продвигать облачные продукты на уровне руководства компаний.
«Необходимо обучать продавцов говорить доступным языком о проблемах безопасности и предлагаемых решениях», — согласен Дмитрий Устюжанин, руководитель департамента информационной безопасности компании «ВымпелКом». По его словам, уже через два-три года в России сложится среда, готовая воспринимать идеи облаков и необходимость их защиты. К этому времени поставщики соответствующих сервисов должны быть в полной готовности.