Managed Security Services: Μια τρίτη ματιά στην ασφάλεια

Καθώς οι τύποι των επιθέσεων και οι απειλές αλλάζουν καθημερινά είναι ζωτικής σημασίας για τις επιχειρήσεις να διαθέτουν αξιόπιστη προστασία, κάτι που σε πολλές περιπτώσεις μπορεί να προσφερθεί μέσω μιας εταιρείας παροχής υπηρεσιών ασφαλείας.

Η πραγματοποίηση επενδύσεων που σχετίζονται με την ασφάλεια των πληροφοριών είναι καλύτερο να αντιμετωπίζεται με τη λογική της διαχείρισης των επιχειρηματικών κινδύνων. Οι κίνδυνοι μπορεί να είναι να αποδεκτοί, να αποτρέπονται, να αποφεύγονται ή να μεταφέρονται. Η πραγματοποίηση μιας συνεργασίας με εταιρεία παροχής υπηρεσιών ασφάλειας αποτελεί πολύ συχνά μια πολύ καλή λύση για τη μεταφορά της υπευθυνότητας αλλά και των αντίστοιχων λειτουργιών.

Παρά το γεγονός ότι ο κίνδυνος και οι πληροφορίες συνεχίζουν να ανήκουν στην επιχείρηση μια τέτοια κίνηση οδηγεί στο διαμοιρασμό και τη μείωση των κινδύνων. Πολλές είναι οι εταιρείες, οι οποίες αποφασίσουν να προχωρήσουν σε μια τέτοια συμφωνία για μια σειρά από υπηρεσίες ασφάλειας μειώνοντας με αυτό τον τρόπο το κόστος που απαιτεί το εξειδικευμένο προσωπικό. Για να μπορέσουν οι επιχειρήσεις να έχουν το μέγιστο αποτέλεσμα απαιτείται να έχουν πραγματοποιήσει στρατηγικό σχεδιασμό πάνω στον οποίο θα στηριχτεί η συνεργασία ώστε να μεγιστοποιήσουν τα οφέλη τους.

Σε κάτι τέτοιο θα πρέπει να περιλαμβάνονται πρακτικές, αποτίμησης, επιλογής, υπογραφής συμφωνίας, διαχείρισης αλλά και λήξης της συνεργασίας με μια εταιρεία παροχής υπηρεσιών ασφαλείας. Το πεδίο των υπηρεσιών που παρέχονται από τους παρόχους είναι διαφορετικά και κάθε επιχείρηση μπορεί να πραγματοποιήσει επιλογές βάσει των απαιτήσεών της σε θέματα διαθεσιμότητας, εμπιστευτικότητας και ακεραιότητας των πληροφοριών της επιχείρησης.

Για αυτό είναι ζωτικό για έναν οργανισμό να μπορέσει να προσδιορίσει με ακρίβεια τις απαιτήσεις του σε επίπεδο ασφάλειας και να ζητήσει από τις υποψήφιες εταιρείες να αποδείξουν την ικανότητά τους να αντεπεξέλθουν σε αυτές, τόσο κατά τη διάρκεια της διαδικασίας αποτίμησης όσο και στη διάρκεια της παροχής υπηρεσιών.

Επιπλέον ο οργανισμός πρέπει να κατανοήσει το επίπεδο των κινδύνων που εκτίθενται οι πληροφορίες του όταν προχωρήσει σε κάποια διαδικασία outsourcing κατά τη διάρκεια της ανάπτυξης του ανάπτυξης του RFP. Τα κόστη για την προμήθεια, λειτουργία και διαχείριση της παρεχόμενης υπηρεσίας συμπεριλαμβανόμενης και της αξιολόγησης για τη συμμόρφωση με το SLA αλλά και το συνολικό συμβόλαιο δεν πρέπει να ξεπερνούν τα προβλεπόμενα οφέλη.

Οφέλη μιας συνεργασίας
Τα αποτελέσματα μιας συνεργασίας με μια εταιρεία παροχής υπηρεσιών με αποδεδειγμένη αξία έχουν τη δυνατότητα να είναι μακράν καλύτερα από οποιοδήποτε αποτέλεσμα μπορεί να έχει μια επιχείρηση. Στη συνέχεια θα δούμς τους βασικότερους παράγοντες, οι οποίοι μπορούν να οδηγήσουν σε μια τέτοια συμφωνία και ποια είναι τα οφέλη που μπορούν να προκύψουν από αυτή.

Εύρεση προσωπικού
Ενα από τα πιο σημαντικά θέματα που αντιμετωπίζεται με την πραγματοποίηση outsourcing των υπηρεσιών ασφαλείας σε μια τρίτη εταιρεία είναι η έλλειψη εξειδικευμένου προσωπικού, όπου ειδικά στο κομμάτι της ασφάλειας είναι εξαιρετικά σπάνιο. Το κόσμος μάλιστα για την εύρεση και τη διατήρηση ειδικών in-house μπορεί να καταστεί απαγορευτικό ακόμη και για μεγάλες επιχειρήσεις. Οταν η ασφάλεια γίνεται outsource, το κόστος για την εύρεση, την εκπαίδευση και τη διατήρηση του απαραίτητου προσωπικού καθίσταται υπευθυνότητα του παρόχου των υπηρεσιών.

Μια τέτοια εταιρεία παρέχει στους ειδικούς της ασφάλειας τις απαραίτητες προϋποθέσεις για να παραμείνουν όπως για παράδειγμα ένα ξεκάθαρο μονοπάτι καριέρας πάντα σε κομμάτια που σχετίζονται με την ασφάλεια.

Ετσι αν μια επιχείρηση μπορεί να κάνει outsource την παρακολούθηση της ασφάλειας και της λειτουργίες προστασίας, μπορεί να εστιάσει σε ποιο κρίσιμα initiatives που σχετίζονται με το business.

Ικανότητες
Ενα μέλος της ομάδας IT, το οποίο ασχολείται με την ασφάλεια σε μια λογική part-time ή που αντιμετωπίζουν μόνο κάποια συγκεκριμένα θέματα, πολύ πιθανό είναι να μην διαθέτουν ικανότητες αντίστοιχες με κάποιον που ασχολείται full-time, αντιμετωπίζοντας διαφορετικά θέματα ασφάλειας σε διάφορους πελάτες και δημιουργεί λύσεις ασφαλείας που μπορούν να εφαρμοστούν σε μια πληθώρα περιπτώσεων.

Οι εταιρείες παροχής υπηρεσιών ασφάλειας έχουν σαφώς μεγαλύτερη άνεση πάνω στα διάφορα συμβάντα ασφάλειας, κυρίως λόγω της εμπειρίας που έχουν αποκτήσει αντιμετωπίζοντας εκατοντάδες ή χιλιάδες απειλητικές καταστάσεις σε καθημερινή βάση. Ταυτόχρονα είναι οι πλέον απαιτητικοί χρήστες εφαρμογών ασφάλειας.

Αντικειμενικότητα και ανεξαρτησία
Ενας οργανισμός μπορεί να έχει πολλαπλές, ad hoc λύσεις για να διαχειριστεί τους ίδιους τύπους προβλημάτων ασφαλείας. Υπάρχει περίπτωση να μην υπάρχει κοινή στρατηγική ή διαχείρισης της ασφάλειας σε όλο το εύρος της επιχείρησης. Η μεταφορά των θεμάτων ασφάλειας σε έναν πάροχο υπηρεσιών, μπορεί να ωφελήσει στην απλοποίηση και ενδυνάμωση της θέσης ασφάλειας της επιχείρησης.

Μια εταιρεία παροχής υπηρεσιών ασφάλειας μπορεί να παρέχει μια ανεξάρτητη θέση πάνω στην ασφάλεια ενός οργανισμού και να βοηθήσει στη διατήρηση ενός συστήματος ελέγχων και ισορροπιών με το προσωπικό που βρίσκεται μέσα στην επιχείρηση. Πέρα από αυτό μπορεί να παρέχει μια ολοκληρωμένη και πιο συνεπή λύση, ελαχιστοποιώντας ταυτόχρονα την προσπάθεια, το hardware και το software που απαιτείται.

Ενημέρωση πάνω σε θέματα ασφάλειας
Είναι εξαιρετικά δύσκολο για μια επιχείρηση να ανιχνεύει και να διευθετεί όλες τις πιθανές απειλές και τα τρωτά σημεία, όπως και τα σχέδια επιθέσεων, τα εργαλεία των εισβολέων μαθαίνοντας ταυτόχρονα τις βέλτιστες τεχνικές ασφάλειας. Μια εταιρεία παροχής υπηρεσιών ασφάλειας έχει πρόσβαση σε ενημέρωση για νέα τρωτά σημεία και άμεση απόκτηση πρόσβασης σε πληροφορίες αντιμετώπισης. Επιπλέον μια εταιρεία παροχής μπορεί να συμβουλέψει και με ποιους τρόπους έχουν αντιμετωπίσει αντίστοιχα προβλήματα άλλες εταιρείες.

Μια εταιρεία παροχής υπηρεσιών είναι πολύ πιθανό να έχει επαφές με ειδικούς της ασφάλειας σε διάφορους τομείς αλλά και με τους vendors προϊόντων ασφάλειας. Αυτοί οι πόροι μπορούν να καταστούν ιδιαίτερα χρήσιμοι όταν πρέπει να αντιμετωπιστεί πολύ γρήγορα μια κατάσταση. Επίσης δεν είναι λίγες οι περιπτώσεις εταιρειών που έχουν πολύ καλές σχέσεις με υπηρεσίες επιβολής του νόμου και αντιλαμβάνονται πολύ καλά έννοιες όπως η εγκληματολογική ανάλυση και εύρεση στοιχείων που απαιτούνται για την υποστήριξη νομικών διαδικασιών.

Απόδοση της υπηρεσίας
Οταν ένας οργανισμός υπογράφει μια σύμβαση για την παρακολούθηση των υπηρεσιών μπορεί να έχει αναφορές σχεδόν σε πραγματικό χρόνο, 24 ώρες την ημέρα, 7 ημέρες την εβδομάδα, 365 ημέρες το χρόνο. Κάτι τέτοιο αποτελεί μεγάλη αντίθεση με μια in-house υπηρεσία, που μπορεί να λειτουργεί μόνο κατά τις συνήθεις ώρες. Οι εταιρείες παροχής υπηρεσιών μπορούν να καταστηθούν υπεύθυνες για τα στάνταρ της υπηρεσίας που παρέχουν. Μπορούν να εγγυηθούν τα επίπεδα της υπηρεσίας και να διασφαλίσουν τη διαθεσιμότητά της.

Η αστοχία επίτευξης αυτών των στόχων θα έχει οικονομικές συνέπειες για τον πάροχο. Οι διαδικασίες των εταιρειών παροχής υπηρεσιών ασφάλειας έχουν σχεδιαστεί για τη διασφάλιση της αδιάλειπτης παροχής της υπηρεσίας.

Επιπλέον αν οι πάροχοι διαθέτουν στην επιχείρηση και τα αντίστοιχα συστήματα παρακολούθησης είναι δική τους υπευθυνότητα η αναβάθμιση του software και του hardware όπως και η διατήρηση της ασφάλειας του δικτύου. Καθώς οι εταιρείες παροχής υπηρεσιών έχουν ιδιαίτερα αυστηρές υποχρεώσεις βάσει συμβολαίων προς τους πελάτες τους και πρέπει να διατηρήσουν τη φήμη τους στην αγορά, οι διαδικασίες που έχουν όσον αφορά στον έλεγχο είναι πολύ καλά τεκμηριωμένες αλλά και εφαμόζονται με ιδιαίτερη προσοχή. Σε κάθε περίπτωση ο πελάτης θα πρέπει να μπορεί να επαληθεύσει όλα τα χαρακτηριστικά απόδοσης.

Λύσεις ασφάλειας
Οι λύσεις και οι τεχνολογίες ασφάλειας, όπως είναι οι firewalls, τα συστήματα Intrusion Prevention, τα VPNs και άλλα καθίστανται σαφώς πιο αποτελεσματικά καθώς η διαχείριση και η παρακολούθησή τους πραγματοποιείται από ιδιαίτερα ικανούς επαγγελματίες. Για παράδειγμα όταν ανιχνεύεται μια εισβολή, η εταιρεία παροχής υπηρεσιών ασφάλειας μπορεί να παρακολουθήσει απομακρυσμένα την όλη διαδικασία αποφασίζοντας αν απαιτείται η παρέμβασή τους αλλά και ποιες είναι οι απαραίτητες ενέργειες που θα πρέπει να γίνουν. Μια managed υπηρεσία μπορεί να προστατέψει το δίκτυο του πελάτη από ανασφαλή endpoints.

Η εταιρεία παροχής υπηρεσιών μπορεί να χρησιμοποιεί τόσο δικά του εργαλεία όπως και εργαλεία που έχουν κατασκευαστεί από άλλους κατασκευαστές ως βάση για τγν παροχή των υπηρεσιών του.

Κίνδυνοι του outsourcing της ασφάλειας
Παρά το γεγονός ότι μια εταιρεία παροχής υπηρεσιών ασφάλειας μπορεί να έχει πιο ικανό προσωπικό για τη διαχείριση των υπηρεσιών ασφάλειας, μπορεί να μην είναι εξίσου αποτελεσματικοί στην εφαρμογή συγκεκριμένων μέτρων, που αφορούν στις ανάγκες του εκάστοτε πελάτη. Υπάρχουν περιπτώσεις όπου εφαρμόζεται μια λύση πολύ γενική για να μπορέσει να ωφεληθεί πραγματικά ο πελάτης. Επιπλέον σε κάποιες περιπτώσεις το προσωπικού του πελάτη είναι ποιο έμπειρο στην εφαρμογή της κατάλληλης λύσης.

Για να αποφασίσει μια επιχείρηση να εμπλακεί με μια εταιρεία παροχής υπηρεσιών ασφαλείας θα πρέπει να πάρει να διαχειριστεί την όλη κίνηση σαν ένα διαμοιρασμό του κινδύνου. Ανεξάρτητα με το ρόλο του παρόχου, ο πελάτης παραμένει υπεύθυνος για έναν κίνδυνο που έχει καταστεί πραγματικότητα. Ο πελάτης θα πρέπει πάντα να είναι προετοιμασμένος να αντιμετωπίσει τους κινδύνους που εκδηλώνονται.

Υπάρχουν μια σειρά από αντεπιχειρήματα και θέματα που θα πρέπει να ληφθούν υπόψη στη διαδικασία της επιλογής.

Μερικά από αυτά είναι:

Θέματα εμπιστευτικότητας
Η πρόκληση για τη δημιουργία μιας καλής σχέσης αλλά και στη δημιουργία εμπιστοσύνης ανάμεσα σε έναν πελάτη και μια εταιρεία παροχής υπηρεσιών ασφάλειας παραμένει ένα σημαντικό εμπόδιο για τη λήψη της απόφασης outsourcing.  Κάθε πάροχος αποκτά πρόσβαση σε ευαίσθητες πληροφορίες του πελάτη και λεπτομέρειες σχετικά με τη θέση ασφάλειας αλλά και τα τρωτά του σημεία.

Η ηθελημένη ή ακούσια απελευθέρωση τέτοιων πληροφοριών μπορεί να είναι εξαιρετικά επιζήμια για τον πελάτη.

Η υπογραφή μιας συμφωνίας εμπιστευτικότητας αποτελεί το αντίμετρο για τη μείωση του συγκεκριμένου ρίσκου.

Εξάρτηση
Ενας οργανισμός μπορεί να αρχίσει να εξαρτάται λειτουργικά σε μια εταιρεία παροχής υπηρεσιών ασφάλειας και να επηρεάζεται με αυτό τον τρόπο από τις προοπτικές του ίδιου του παρόχου, από άλους πελάτες και εταιρικές σχέσεις. Μια λύση σε αυτή την περίπτωση είναι το outsourcing σε πολλαπλούς παρόχους, αλλά κάτι τέτοιο έχει επιπλέον κόστος, περιπλοκότητα και ζητήματα του ποιος είναι υπεύθυνος γιατί.

Η επιχείρηση πρέπει να εξετάσει ιδιαίτερα προσεκτικά την πρόταση μιας εταιρείας παροχής υπηρεσιών για να κατανοήσει τον τρόπο λειτουργία της.

Κρυφά κόστη και επιπτώσεις
Δεν είναι λίγες οι περιπτώσεις που συγκεκριμένα κόστη παραβλέπονται καθώς είναι πολύ δύσκολο να ποσοτικοποιηθούν. Ενας οργανισμός χρειάζεται να μπορεί να προσθέσει αυτά τα κόστη μέσα στη διαδικασία ανάλυσης και λήψης απόφασης πριν δημιουργήσει τη σχέση με έναν πάροχο υπηρεσιών ασφαλείας.

Μερικοί από τους τομείς όπου μπορούν να προκύψουν κρυφά κόστη είναι οι ακόλουθοι:
• Κόστος που σχετίζεται με την απόδοση του ελέγχου κρίσιμων assets αλλά και των τεχνολογιών ασφάλειας σε τρίτη εταιρεία (εμπειρία, γνώση, ανάπτυξη σχετικών ικανοτήτων).
• Ζητήματα με το τι συμβαίνει στο τέλος της περιόδου; Τι θα συμβεί αν ο πάροχος βγει από την αγορά ή έχει αυξήσει σημαντικά το κόστος  του στην επαναδιαπραγμάτευση του συμβολαίου; Ποιο είναι το κόσμος μετάβασης σε μια νέα εταιρεία παροχής υπηρεσιών ασφάλειας;
• Μπορεί μια εταιρεία παροχής υπηρεσιών ασφαλείας να αναλάβει το κομμάτι της ασφάλειας με την ίδια ποιότητα και ακρίβεια που θα το έκανε η ίδια η επιχείρηση;
• Με ποιους τρόπους βάζει προτεραιότητες στις ανάγκες των πελατών της μια εταιρεία παροχής υπηρεσιών ασφάλειας;

Νομικά ζητήματα
Ενας οργανισμός και μια εταιρεία παροχής υπηρεσιών ασφαλείας χρειάζεται να αποτιμήσουν και να συζητήσουν τυχόν νομικά θέματα, τα οποία θα μπορούσαν να προκύψουν κατά τη διάρκεια ενός συμβάντος ασφαλείας, το οποίο εμπλέκει και τα δυο μέρη.

Ο πελάτης χρειάζεται να καταλάβει κάτω από ποιο καθεστώς λειτουργεί ο πάροχος των υπηρεσιών ασφάλειας, τους νόμους και τους κανονισμούς που εφαρμόζονται και αν αυτοί αφορούν και τον πελάτη που δέχεται τις υπηρεσίες.