Аутсорсинг сегодня тема модная. Практически на всех бизнес и ИТ-форумах встает эта тема. Кто-то утверждает, что за аутсорсингом будущее и отдать на откуп аутсорсерам надо практически все процессы, не имеющие прямого отношения к базовому бизнесу компании, избавившись тем самым от ИТ-специалистов (такие примеры на рынке есть). Кто-то считает, что отдавать на аутсорсинг какие-либо ИТ-функции смерти подобно (и такие примеры тоже есть). Обычно против ИТ-аутсорсинга выступают сами ИТ-специалисты. Кто же прав? Автора можно отнести к первой категории специалистов, но с оговоркой - аутсорсинг это хорошо, если подойти к проблеме последовательно и продумать каждый шаг -  изучить, чем же занимаются ИТ-специалисты и на что они тратят много времени.

После подсчета зачастую выясняется, что специалисты ИТ-департаментов компаний тратят много времени на решение задач, не связанных с основным бизнес процессом компании и бывает время, что самые важные, с точки зрения прибыли, задачи остаются нерешенными.

Представьте себе торговую компанию (розничный магазин или гипермаркет, что не важно). Есть свои ИТ-специалисты. Какая их самая важная задача? Не пропустить спам в почтовый ящик генерального директора, настроить новый ноутбук для коммерческого директора или сделать так, что бы кассовый терминал не давал сбои и не зависала информационная система в семь часов вечера, когда происходит основной наплыв покупателей? В ситуации, когда всё делается своими силами, возможна ситуация, когда что-то не будет сделано в срок или качественно - квалифицированных рук и времени всегда не хватает.

В этом случае можно прибегнуть к аутсорсингу для оптимизации деятельности ИТ-отдела и отдать партнеру не ключевые функции, которые, тем не менее отнимают драгоценное время. Например - хостинг веб- и почтовых серверов, программирование, обслуживание вычислительной техники, антивирусную или антиспам защиту почты и т.д. И тогда у ИТ-специалистов появится больше времени заняться самыми важными задачами и их работа принесет больше прибыли предприятию (и бонусов самим "айтишникам"). Получается, что затратив средства на аутсорсинг предприятие получит дополнительную выгоду. Я уж не говорю о том, что та часть работы, которую отдадут аутсорсеру зачастую выполняется качественнее, чем в случае выполнения этой работы внутренними силами.

Если говорить об ИТ- безопасности, то существует еще один важный фактор - люди. На рынке довольно сложно найти высококвалифицированного специалиста по информационной безопасности, они редки, стоят дорого и нужен ли такой дорогой специалист в небольшой, средней или даже крупной компании? Не факт.

Что отдать?

Что можно отдать на аутсорсинг? Проще и логичнее всего отдавать на аутсорсинг системы защиты периметра - защита почтового трафика, защиту Gateway, организацию VPN и систем обнаружения вторжений, То есть те службы, которые контактируют с внешним миром. Наиболее распространены услуги про аутсорсингу защиты почтового трафика

Для клиента все выглядит более чем просто - достаточно изменить MX запись в DNS и все почтовые сообщения будут приходить на сервера сервис провайдера. На серверах будет происходить обработка, и затем чистая почта будет доставляться на сервера клиенту. Единственное, что должен сделать клиент, это указать, что именно он не хочет получать на свой почтовый сервер - спам, вирусы, порнографические изображения или некоторые файлы в аттачах и что необходимо сделать с нежелательной корреспонденцией - удалить или отправить в карантин. И вся эта система работает безупречно, как швейцарские часы. Клиенту незачем знать какие технологии используются у аутсорсера, сколько у него серверов и сколько человек следят за этими серверами.

Разумеется, что функциями защиты почтового трафика не ограничиваются современные провайдеры услуг. Все современные сервисы гарантируют высочайшую безотказность. Скажем, в случае проблем с почтовым сервером клиента, провайдеры гарантируют, что почта не потеряется, а будет сохраняться в специальной базе у провайдера. Более того, некоторые провайдеры предоставляют веб-доступ к этой базе (Web-mail) в то время как восстанавливается почтовый сервер клиента. То есть даже в случае проблем с почтовым сервером работа в компании не остановится и будет возможность получать и отправлять почту.

С точки зрения ИТ- специалиста выгоды от использования аутсорсинга ИТ- безопасности следующие. Во-первых, гарантируется оптимальная и постоянно развиваемая защита. Для обеспечения надежной защиты периодически требуется обновлять систему ИТ-безопасности. Сервисы находятся в постоянном развитии и всегда поддерживаются в наиболее актуальном, с точки зрения обеспечиваемой защиты, состоянии. При этом никаких затрат, как временных, так и материальных, клиент не несет.

Во-вторых, нет необходимости беспокоиться об обновлении программного обеспечения или каких-либо баз (например, вирусных сигнатур) даже в случае критических ситуациях. Сервисы находятся на стороне сервис провайдера, все необходимые обновления устанавливаются автоматически сразу же после их создания и тестирования.

В третьих, налицо полная независимость сервиса и ИТ-инфраструктуры. У клиента могут быть любые сервера, который работают на любой операционной системе.

Кроме того, на несколько порядков уменьшается срок ввода системы защиты в эксплуатацию.  Использование сервисов позволяет включить систему защиты в течение нескольких минут.

Наконец, для систем защиты почтового трафика сервисы обеспечивают значительное снижение входящего почтового трафика и однозначное предсказание объема трафика. Т.к. весь нежелательный контент будет отсеян и остается только легитимная почта, количество которой более-менее постоянно, системный администратор может легко рассчитать нагрузку на корпоративный почтовый сервер. Также исключаются пиковые нагрузки из-за спамерских рассылок.

Примеров услуги аутсорсинга проверки почтового трафика довольно много. Одним из пионеров аутсорсинга стала британская компания MessagaLabs, выведшая на рынок в конце 2000 года сервисе по защите электронной почты от вирусов - SkyScan. В настоящее время спектр услуг, предлагаемых MessagaLabs, значительно расширен - добавилась защита от спама, контентная фильтрация, сканирование вeб-трафика и защита систем мгновенного сообщения (Instant Messaging). Из особенностей услуг этого поставщика хочется отметить систему проактивной защиты от спама и вирусов - Skeptik, позволяющую обнаруживать новые образцы спама и вредоносных программ. Разработчик настолько полагается на качество своей проактивной защиты, что гарантирует стороцентное обнаружение почтовых вредоносных программ.

В России также есть поставщики услуг аутсорсинга проверки почтового трафика. Например, в сентябре 2006 года такую услугу представила "Лаборатория Касперского". Сервис предназначен для защиты почтовых потоков предприятий от вредоносных программ, спама. Кроме этих, хорошо известных угроз, mailDefend также защищает от хакерских атак на почтовые сервера и позволяет минимизировать риски потери сообщений, по причине сбоев в работе почтовых серверов клиентов. В данном решении наряду с зарекомендовавшими себя "Антивирусом" и "Антиспамом Касперского" используется новейшая разработка "Лаборатории Касперского" - система проактивного обнаружение почтовых угроз Kaspersky BitHunt. Благодаря этой системе повышается качество обнаружения спама и вирусов, распространяющихся по почте. На сегодняшний день сервера mailDefend расположены в двух центрах обработки данных расположенных в разных городах. Это позволяет получить уровень отказоустойчивости выше, чем у наших клиентов, что приводит к значительному уменьшению вероятности потери важных писем по причине сбоев в работе почтового сервера. В случае сбоя у клиента все сообщения сохраняются в специальном хранилище, доступ к которому клиент может получить через веб- интерфейс.

Экономические аспекты

Оценить выгоду того или иного решения можно по двум параметрам - ROI (Return of Investments) срок возврата инвестиций и TCO (Total Cost of Ownership) совокупная стоимость владения. Для того, чтобы подсчитать RIO необходимо понять какие выгоды несет решение и сколько можно сэкономить если это решение внедрить. Рассчитать выгоду от антивирусного решения довольно сложно, так как достаточно сложно подсчитать вероятный наносимый ущерб и необходимое для восстановления системы время. Если предположить, что всегда есть актуальная резервная копия для восстановления, как рабочих стаций, так и серверов, то минимальный ущерб, нанесенный компании это стоимость рабочего времени ИТ-специалиста, затраченного на восстановление всех рабочих станций и серверов в компании. Плюс потери на время простоя компании. Это минимум на одну эпидемию. В реальной жизни бывают сложные случаи - отсутствие резервных копий, потерянные важные данные и т.д.

Гораздо легче подсчитать ущерб от спама. В среднем на принятие решение о том является ли письмо спамом или нет тратится около пяти секунд. Примерно 80 процентов почтового потока это спам и в среднем каждый сотрудник получает около ста писем в сутки. Таким образом, один сотрудник тратит сорок рабочих часов в год. Остается умножить это число на количество сотрудников в компании и среднюю заработную плату и получатся потери, которые наносит спам. Кроме того,  спам создает дополнительный трафик. По статистике среднее спамерское письмо имеет размер 17 килобайт. Умножаем 17 кб на 80 (количество спам писем на одного сотрудника) и на количество сотрудников получаем ежедневный мусорный трафик. А это тоже деньги. Спам надо хранить. 80 процентов дискового пространства, выделенного под хранение почты - спам. При этом мы не учитывает риски удаления нужного письма вместе со спамом. Как итог хочется привести данные для компании из ста сотрудников со среднегодовой заработной платой в десять тысяч долларов: от спама такая компания теряет 6 668 долларов ежегодно! И это только прямые потери от одной угрозы - спама.

Второй параметр это TCO или Совокупная стоимость владения - сумма материальных и временных затрат, связанных с приобретением, развертыванием, конфигурированием и обслуживанием программного и аппаратного обеспечения. ТСО можно разложить на две большие составляющие. Во-первых, это прямые затраты, они включают в себя стоимость аппаратного и программного обеспечения, активного сетевого оборудования, каналов связи и т. п. Эти затраты хорошо видны и легко просчитываемы. Во-вторых, это косвенные затраты, связанные, как правило, с конечными пользователями. Сюда можно отнести простои системы, непродуктивную работу, обновление программного обеспечения и оборудования, обучение, обслуживание, администрирование и техническую поддержку и т.д. А вот этот класс затрат обычно не виден. Довольно мало кто считает за потери время системного администратора, затраченное на мониторинг антиспам системы или скачивание и установку новой версии антивируса. А ведь если подсчитать это время, то получатся десятки часов, которые можно перераспределить.

По своей сути, основная идея аутсорсинга - минимизация участия клиента в процессе -минимизация косвенных затрат. Следовательно, время, затраченное на обслуживание процесса, отданного на аутсорсинг, будет минимальным и итоговое TCO также будет минимальным. И чем дольше пользоваться услугами аутсорсинга, тем меньше получается совокупная стоимость владения и тем более выгодней становится аутсорсинг.

Выгоден ли аутсорсинг?

Скажем прямо, стоимость услуг всегда выше, чем в варианте "все сделай сам". Ведь, стирать в прачечной дороже, чем стирать дома, обед в ресторане обойдется дороже, по сравнению с подобным же обедом, приготовленным дома. Но в случае ресторана, сколько времени необходимо затратить, что бы купить продукты, а затем и приготовить обед?  Такая же картина и с аутсорсингом ИТ- безопасности. Стоимость услуг аутсорсеров выше, чем стоимость стандартного программного обеспечения. Но как мы видели выше, услуги аутсорсеров не ограничиваются обслуживанием стандартного программного обеспечения. Кроме этого, стоит подсчитать время, которое ИТ- специалисты смогут сэкономить и заняться решением проблем, несоизмеримо более важных для бизнеса, не говоря уж об отсутствии головной боли у сисадмина и руководства. Подводя итог, можно однозначно сказать, что аутсорсинг выгоден экономически, несмотря на более высокие начальные инвестиции.

Использование аутсорсинга ИТ-безопасности новое и, пока вызывающее опасения, направление для России. Надеюсь, что данная статья помогла преодолеть сомнения относительно преимуществ использования модели аутсорсинга для защиты предприятий от ИТ- угроз.