Banker's Review Online - Managed Security Services: Χωρίς φόβο και προκατάληψη

Πέμπτη, 15 Νοεμβρίου 2018

ΔΙΑΦΗΜΙΣΗ

Operations and IT

Managed Security Services: Χωρίς φόβο και προκατάληψη

1 Ιουνίου 2011 | 13:10 Γράφει η Αγγελική  Κορρέ Topics: Special Reports

Managed Security Services: Χωρίς φόβο και προκατάληψη

Η ασφάλεια του ΙΤ είναι ίσως από τα κρισιμότερα ζητήματα που πρέπει να αντιμετωπίσουν οι τραπεζικοί οργανισμοί μέσα στο πλαίσιο της συνολικής τους στρατηγικής. Και ενώ παραδοσιακά το ενδεχόμενο ανάθεσης σε εξωτερικό πάροχο των υπηρεσιών ασφάλειας αντιμετωπίζονταν με δυσπιστία, σήμερα φαίνεται ότι όλο και περισσότεροι οργανισμοί είναι διατεθειμένοι να εμπιστευτούν το κρίσιμο ζήτημα της ασφάλειας σε κάποιον άλλο...

Η προστασία του δικτύου Πληροφορικής και των εφαρμογών απέναντι στις ψηφιακές απειλές γίνεται ολοένα και πιο περίπλοκη και δύσκολη. Οι μέρες όπου οι ανησυχίες του ΙΤ εστίαζαν στα antivirus, το spam και την άμυνα της περιμέτρου, έχουν περάσει προ πολλού και ανεπιστρεπτί.

Τώρα, οι ανησυχίες σχετικά με την ασφάλεια επικεντρώνονται σε κρίσιμα ζητήματα που μπορούν να επηρεάσουν τα κέρδη μιας τράπεζας, τη φήμη του ονόματός της και τη συνεχιζόμενη βιωσιμότητά της ως οργανισμός. Η συμμόρφωση προς τα θεσμικά και κανονιστικά πλαίσια, η κλοπή ταυτότητας, η απώλεια ευαίσθητων πληροφοριών πελατών, η ικανότητα πρόσβασης σε ζωτικά εταιρικά αρχεία μέσω τηλεφώνου ή άλλων φορητών συσκευών είναι μερικοί μόνο από τους εξόφθαλμους κινδύνους που οι τράπεζες πρέπει να λάβουν υπόψη τους κατά τον σχεδιασμό και το χτίσιμο μιας ισχυρής και αξιόπιστης υποδομής ασφάλειας.

Κατ’ επέκταση, οι δαπάνες για την ασφάλεια του ΙΤ συνεχίζουν να αγγίζουν επίπεδα ρεκόρ. Αυτές οι δαπάνες διατίθενται σε όλα τα επίπεδα της υποδομής hardware και λογισμικού, στο middleware και τις υπηρεσίες Web. Αλλά, ολοένα και πιο συχνά, κομμάτια του προϋπολογισμού για την ασφάλεια δαπανούνται σε outsourcing και managed services παρόχους που αποκτούν μεγαλύτερο μερίδιο της ευθύνης για την ασφάλεια των ψηφιακών περιουσιακών στοιχείων μιας εταιρείας.

Αυτό δεν προκαλεί έκπληξη. Στην πραγματικότητα πρόκειται για μία τάση που είχε προβλεφθεί χρόνια πριν. Σε έρευνα του 2004, η Yankee Group υποστήριζε ότι οι εταιρείες θα κάνουν outsource το 90% του security management μέχρι το 2010, κυρίως λόγω της εισροής νέων, εξελιγμένων απειλών και τη συνεχιζόμενη παρέλαση καινούργιων ρυθμιστικών πρωτοβουλιών.

Outsourcing security?
Το outsourcing των περισσότερων λειτουργιών του ΙΤ έχει ακολουθήσει ένα οικείο, παρόμοιο μοτίβο: όσο πιο ‘τακτικής’ σημασίας και προβλέψιμη είναι μια δραστηριότητα, τόσο περισσότερο λογικό είναι για τις εταιρείες να αποφασίσουν να προχωρήσουν σε outsourcing ή να συνεργαστούν με ένα πάροχο managed services. Χωρίς αμφιβολία, αυτή η προσέγγιση ακολουθείται και για το κομμάτι της ασφάλειας - για αρκετά χρόνια οι απλές και καθημερινές δραστηριότητες που αφορούσαν την ασφάλεια (όπως τα spam, antivirus, log management, intrusion detection/prevention) ανατίθεντο σε παρόχους Managed Security Services.

Οι λόγοι για αυτή την επιλογή ήταν απλοί: Χαμηλότερα συνολικά κόστη για τη διαχείριση αυτών των ενεργειών, προβλέψιμα κόστη και, το πιο σημαντικό ίσως, η ικανότητα να εστιάσει η εταιρεία τους εσωτερικούς της πόρους σε περισσότερο ‘στρατηγικές’ δραστηριότητες. Το αποτέλεσμα αυτού ήταν τα έσοδα των παρόχων διαχειριζόμενων υπηρεσιών ασφάλειας να παρουσιάζουν πολύ υψηλούς ρυθμούς ανάπτυξης χρόνο με το χρόνο, όπως φαίνεται και σε έρευνες της Gartner.

Και τότε κάτι συνέβη: το ζήτημα της ασφάλειας έγινε πιο περίπλοκο και πιο ζωτικό για το core business των εταιρειών. Και τότε, κάτι άλλο συνέβη: η οικονομική κρίση. Ο αριθμός των απασχολούμενων στο ΙΤ μειώθηκε- συμπαρασύροντας πολύτιμη εμπειρία και εξειδίκευση-, ενώ και οι δαπάνες για την Πληροφορική μειώθηκαν κατά πολύ μέσα στο 2009. Αν σε όλα αυτά προσθέσουμε τον ενοχλητικό αλλά υποχρεωτικό κυκεώνα των κανονιστικών και ρυθμιστικών απαιτήσεων, είναι εύκολο να κατανοήσουμε γιατί οι εταιρείες ολοένα και περισσότερο στρέφονται σε παρόχους διαχειριζόμενων υπηρεσιών ασφάλειας και σε συνεργάτες outsourcing προκειμένου να αναλάβουν ένα μεγαλύτερο μερίδιο του βάρους της ασφάλειας.

«Οταν κάποιοι κοιτούν τα ζητήματα της ασφάλειας για τη συμμόρφωση, καθώς και για άλλες στρατηγικές λειτουργίες, ακόμα και όταν έχουν επαρκείς εσωτερικούς πόρους, δεν έχουν πάντα μία εφαρμοσμένη διαδικασία ώστε να μπορούν εύκολα να τεκμηριώσουν ελεγκτικούς σκοπούς», επισημαίνει ο Kevin Kavanagh, principal research analyst της Gartner. «Φυσικά, οι πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας εξακολουθούν να προτιμούνται για τα βασικά, αλλά καθώς οι τεχνολογίες ασφάλειας ωριμάζουν, γίνεται όλο και πιο λογικό μια εταιρεία να συνεργαστεί με έναν Managed Security Services πάροχο ακόμα και για στρατηγικές ενέργειες».

Το συμπέρασμα είναι ότι οι εταιρείες όλο και περισσότερο αφήνουν πίσω τους τούς δισταγμούς για το outsourcing των υπηρεσιών ασφάλειας. «Το έχουμε ξαναδεί αυτό το έργο», υποστηρίζει ο Frank Casale, CEO και ιδρυτής του Outsourcing Institute, συμβουλευτική και εταιρεία αναλύσεων για το outsourcing με έδρα τη Νέα Υόρκη. «Το είδαμε με το data center. Μπορεί κάποιοι να πουν ότι ‘αυτό είναι η κορωνίδα μας, δεν μπορούμε να το κάνουμε outsourcing’. Στην πραγματικότητα όμως οι εταιρείες δεν έχουν, εδώ και χρόνια, πρόβλημα να κάνουν outsourcing διάφορες πτυχές της ασφάλειας, και πλέον είναι πιο άνετες με άλλες πτυχές».

Η προστασία του δικτύου Πληροφορικής και των εφαρμογών απέναντι στις ψηφιακές απειλές γίνεται ολοένα και πιο περίπλοκη και δύσκολη. Οι μέρες όπου οι ανησυχίες του ΙΤ εστίαζαν στα antivirus, το spam και την άμυνα της περιμέτρου, έχουν περάσει προ πολλού και ανεπιστρεπτί.

Τώρα, οι ανησυχίες σχετικά με την ασφάλεια επικεντρώνονται σε κρίσιμα ζητήματα που μπορούν να επηρεάσουν τα κέρδη μιας τράπεζας, τη φήμη του ονόματός της και τη συνεχιζόμενη βιωσιμότητά της ως οργανισμός. Η συμμόρφωση προς τα θεσμικά και κανονιστικά πλαίσια, η κλοπή ταυτότητας, η απώλεια ευαίσθητων πληροφοριών πελατών, η ικανότητα πρόσβασης σε ζωτικά εταιρικά αρχεία μέσω τηλεφώνου ή άλλων φορητών συσκευών είναι μερικοί μόνο από τους εξόφθαλμους κινδύνους που οι τράπεζες πρέπει να λάβουν υπόψη τους κατά τον σχεδιασμό και το χτίσιμο μιας ισχυρής και αξιόπιστης υποδομής ασφάλειας.

Κατ’ επέκταση, οι δαπάνες για την ασφάλεια του ΙΤ συνεχίζουν να αγγίζουν επίπεδα ρεκόρ. Αυτές οι δαπάνες διατίθενται σε όλα τα επίπεδα της υποδομής hardware και λογισμικού, στο middleware και τις υπηρεσίες Web. Αλλά, ολοένα και πιο συχνά, κομμάτια του προϋπολογισμού για την ασφάλεια δαπανούνται σε outsourcing και managed services παρόχους που αποκτούν μεγαλύτερο μερίδιο της ευθύνης για την ασφάλεια των ψηφιακών περιουσιακών στοιχείων μιας εταιρείας.

Αυτό δεν προκαλεί έκπληξη. Στην πραγματικότητα πρόκειται για μία τάση που είχε προβλεφθεί χρόνια πριν. Σε έρευνα του 2004, η Yankee Group υποστήριζε ότι οι εταιρείες θα κάνουν outsource το 90% του security management μέχρι το 2010, κυρίως λόγω της εισροής νέων, εξελιγμένων απειλών και τη συνεχιζόμενη παρέλαση καινούργιων ρυθμιστικών πρωτοβουλιών.

Outsourcing security?
Το outsourcing των περισσότερων λειτουργιών του ΙΤ έχει ακολουθήσει ένα οικείο, παρόμοιο μοτίβο: όσο πιο ‘τακτικής’ σημασίας και προβλέψιμη είναι μια δραστηριότητα, τόσο περισσότερο λογικό είναι για τις εταιρείες να αποφασίσουν να προχωρήσουν σε outsourcing ή να συνεργαστούν με ένα πάροχο managed services. Χωρίς αμφιβολία, αυτή η προσέγγιση ακολουθείται και για το κομμάτι της ασφάλειας - για αρκετά χρόνια οι απλές και καθημερινές δραστηριότητες που αφορούσαν την ασφάλεια (όπως τα spam, antivirus, log management, intrusion detection/prevention) ανατίθεντο σε παρόχους Managed Security Services.

Οι λόγοι για αυτή την επιλογή ήταν απλοί: Χαμηλότερα συνολικά κόστη για τη διαχείριση αυτών των ενεργειών, προβλέψιμα κόστη και, το πιο σημαντικό ίσως, η ικανότητα να εστιάσει η εταιρεία τους εσωτερικούς της πόρους σε περισσότερο ‘στρατηγικές’ δραστηριότητες. Το αποτέλεσμα αυτού ήταν τα έσοδα των παρόχων διαχειριζόμενων υπηρεσιών ασφάλειας να παρουσιάζουν πολύ υψηλούς ρυθμούς ανάπτυξης χρόνο με το χρόνο, όπως φαίνεται και σε έρευνες της Gartner.

Και τότε κάτι συνέβη: το ζήτημα της ασφάλειας έγινε πιο περίπλοκο και πιο ζωτικό για το core business των εταιρειών. Και τότε, κάτι άλλο συνέβη: η οικονομική κρίση. Ο αριθμός των απασχολούμενων στο ΙΤ μειώθηκε- συμπαρασύροντας πολύτιμη εμπειρία και εξειδίκευση-, ενώ και οι δαπάνες για την Πληροφορική μειώθηκαν κατά πολύ μέσα στο 2009. Αν σε όλα αυτά προσθέσουμε τον ενοχλητικό αλλά υποχρεωτικό κυκεώνα των κανονιστικών και ρυθμιστικών απαιτήσεων, είναι εύκολο να κατανοήσουμε γιατί οι εταιρείες ολοένα και περισσότερο στρέφονται σε παρόχους διαχειριζόμενων υπηρεσιών ασφάλειας και σε συνεργάτες outsourcing προκειμένου να αναλάβουν ένα μεγαλύτερο μερίδιο του βάρους της ασφάλειας.

«Οταν κάποιοι κοιτούν τα ζητήματα της ασφάλειας για τη συμμόρφωση, καθώς και για άλλες στρατηγικές λειτουργίες, ακόμα και όταν έχουν επαρκείς εσωτερικούς πόρους, δεν έχουν πάντα μία εφαρμοσμένη διαδικασία ώστε να μπορούν εύκολα να τεκμηριώσουν ελεγκτικούς σκοπούς», επισημαίνει ο Kevin Kavanagh, principal research analyst της Gartner. «Φυσικά, οι πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας εξακολουθούν να προτιμούνται για τα βασικά, αλλά καθώς οι τεχνολογίες ασφάλειας ωριμάζουν, γίνεται όλο και πιο λογικό μια εταιρεία να συνεργαστεί με έναν Managed Security Services πάροχο ακόμα και για στρατηγικές ενέργειες».

Το συμπέρασμα είναι ότι οι εταιρείες όλο και περισσότερο αφήνουν πίσω τους τούς δισταγμούς για το outsourcing των υπηρεσιών ασφάλειας. «Το έχουμε ξαναδεί αυτό το έργο», υποστηρίζει ο Frank Casale, CEO και ιδρυτής του Outsourcing Institute, συμβουλευτική και εταιρεία αναλύσεων για το outsourcing με έδρα τη Νέα Υόρκη. «Το είδαμε με το data center. Μπορεί κάποιοι να πουν ότι ‘αυτό είναι η κορωνίδα μας, δεν μπορούμε να το κάνουμε outsourcing’. Στην πραγματικότητα όμως οι εταιρείες δεν έχουν, εδώ και χρόνια, πρόβλημα να κάνουν outsourcing διάφορες πτυχές της ασφάλειας, και πλέον είναι πιο άνετες με άλλες πτυχές».


It’s all about money
Ας ξεκινήσουμε με τα καλά νέα. Μετά τη δραματική περικοπή των δαπανών Πληροφορικής που ξεκίνησε τον Σεπτέμβρη του 2008, και συνεχίστηκε ολόκληρο το 2009, το 2010 φαίνεται αυτή η τάση να αλλάζει. Παρόλο που δεν υπάρχουν αυτή τη στιγμή έρευνες πραγματικών στοιχείων για την αύξηση ή όχι των δαπανών σε τεχνολογία τη χρονιά που διανύουμε, σε έρευνα που διεξήχθη στις αρχές του 2010 από το SearchSecurity.com, με τη συμμετοχή περισσότερων από 150 επαγγελματιών της Πληροφορικής, το 44% δήλωνε ότι ανέμενε ο προϋπολογισμός τους να αυξηθεί σε σχέση με το 2009, ενώ ένα 38% ότι θα παραμείνει στα ίδια επίπεδα.

Η έρευνα, αν και μόνο τις προθέσεις καταγράφει, είναι ωστόσο ενδεικτική της αυξητικής τάσης. Για το κομμάτι της ασφάλειας, τα πράγματα δείχνουν ακόμα πιο αισιόδοξα: περισσότεροι από 4 στους 10 συμμετέχοντες δήλωσαν ότι οι δαπάνες για ασφάλεια θα αυξηθούν αυτή τη χρονιά σε σχέση με την περυσινή. Οσο αναφορά τη χρήση managed services ή outsourcing παρόχων φαίνεται από τα στοιχεία της έρευνας ότι παρουσιάζει αυξητικές τάσεις, ενώ και στελέχη εκτός ΙΤ αρχίζουν ολοένα και περισσότερο να αγκαλιάζουν ανάλογες προσεγγίσεις.

Υπάρχουν πολλοί λόγοι για τους οποίους συμβαίνει αυτό, αλλά όλοι έχουν ως επίκεντρο τη συνεχώς αυξανόμενη πολυπλοκότητα της ασφάλειας του ΙΤ και τη σύνδεσή της με βασικές επιχειρηματικές επιταγές, όπως είναι η ιδιωτικότητα, η προστασία ταυτότητας, η συμμόρφωση και η βελτιωμένη αξιοποίηση του προσωπικού. Κατ’ επέκταση, οι υπηρεσίες ασφάλειας είναι πλέον από τα βασικά συστατικά του χαρτοφυλακίου υπηρεσιών των παρόχων managed services. Για του λόγου το αληθές, το MSPmentor.com, το οποίο παρακολουθεί την κοινότητα των παρόχων διαχειριζόμενων υπηρεσιών, αναφέρει ότι το 80% των MSP (Managed Services Providers) παρέχουν υπηρεσίες ασφάλειας, με την ασφάλεια να αποτελεί τη νούμερο 2 υπηρεσία τους, μετά το storage.

Μία ακόμα σημαντική τάση που αναδεικνύεται από την έρευνα του SearchSecurity.com είναι το γεγονός ότι η ανάθεση της διαχείρισης της ασφάλειας σε έναν εξωτερικό συνεργάτη φαίνεται να κερδίζει έδαφος και ανάμεσα στα μη-ΙΤ στελέχη, καθώς οι συμμετέχοντες δηλώνουν ότι σχεδόν το 60% τόσο των στελεχών ΙΤ όσο και των υπόλοιπων ανώτερων στελεχών πιστεύουν ότι το outsourcing είναι τουλάχιστον επωφελές ως στρατηγική για την ασφάλεια του ΙΤ - κάτι που θα ήταν δύσκολο ακόμα και να το φανταστούμε μέχρι πριν από μερικά χρόνια.

«Εχει αλλάξει ο τρόπος που τα υπόλοιπα στελέχη, εκτός ΙΤ, μιας εταιρείας αντιμετωπίζουν την αξία των διαχειριζόμενων υπηρεσιών ασφάλειας», επισημαίνει ο Kavanagh. «Για αυτούς, το outsourcing φαίνεται ένας καλός τρόπος για να μειώσουν τα κόστη του ΙΤ - οτιδήποτε παρέχει λειτουργικότητα χωρίς να αυξάνει τον αριθμό των απασχολούμενων θεωρείται σήμερα καλό. Και οι κανονιστικές απαιτήσεις καθιστούν ακόμα δυσκολότερη υπόθεση για τα τμήματα ΙΤ να αναλάβουν τα πάντα μόνοι - οι εταιρείες συχνά δεν έχουν άλλη επιλογή από το να στραφούν έξω για τις απαιτούμενες γνώσεις και ικανότητες».

Ο Mike Rothman, πρόεδρος της Securosis, εταιρεία ερευνών και αναλύσεων που ειδικεύεται στην ασφάλεια, λέει ότι το κλειδί για το οικονομικό όφελος που μπορούν να προσφέρουν οι πάροχοι managed security services είναι η αξιοποίηση οικονομιών κλίμακας. «Πολλές εταιρείες θα ήθελαν να τρέξουν εσωτερικά κάποιες δραστηριότητες που σχετίζονται με την ασφάλεια, αλλά η πραγματικότητα είναι ότι πολλές από αυτές δεν διαθέτουν ούτε τους πόρους ούτε τη γνώση για να κλιμακώσουν αποδοτικά τις λειτουργίες τους, και για αυτό συχνά είναι πιο λογικό επιχειρηματικά να χρησιμοποιήσουν έναν πάροχο υπηρεσιών», επισημαίνει.

Εκτός από το προφανές οικονομικό όφελος, ένας ακόμα παράγοντας που κάνει τις διοικήσεις των εταιρειών πιο θετικά διακείμενες στην προοπτική αξιοποίησης ενός παρόχου MSS είναι η ολοένα και μεγαλύτερη αναγνώριση της στρατηγικής φύσης της Πληροφορικής. Σχεδόν οι μισοί από τους συμμετέχοντες στην έρευνα δηλώνουν ότι η διοίκηση της εταιρείας τους έχει πλέον τοποθετήσει το ΙΤ πιο ψηλά στις προτεραιότητές της.

Money aside
Πάνω και πέρα από την ευκαιρία για εξοικονόμηση χρημάτων, ποια ακριβώς είναι τα αναμενόμενα οφέλη από τη συνεργασία με πάροχο διαχειριζόμενων υπηρεσιών για την ασφάλεια;

Παρόλο που η πιθανή μείωση του κόστους αναφέρεται ως το σημαντικότερο όφελος του outsourcing της ασφάλειας, οι συμμετέχοντες στην έρευνα δηλώνουν ότι αναζητούν, επίσης, πρόσβαση σε εξειδικευμένη γνώση, καθώς και τη δυνατότητα να προβλέψουν το κόστος με ακρίβεια. Εκτός λοιπόν από τη μείωση του κόστους, είναι επίσης πολύ σημαντικό το γεγονός ότι η αξιοποίηση ενός εξωτερικού παρόχου, επιτρέπει στις εταιρείες να αναπτύξουν και να εκπαιδεύσουν τις εσωτερικές ομάδες ασφάλειας σε καινούργιες, προηγμένες τεχνολογίες.

Αλλο ένα πλεονέκτημα που αναζητούν οι εταιρείες επιλέγοντας εξωτερικό πάροχο είναι οι εξειδίκευση του παρόχου για τον κλάδο στον οποίο δραστηριοποιείται, τόσο όσον αφορά στις καθημερινές, επιχειρηματικές λειτουργίες, όσο και για τον αυξανόμενο αριθμό κανονιστικών απαιτήσεων. Η εξειδίκευση του παρόχου σε μια συγκεκριμένη αγορά, δεν αποτελεί μόνο αποφασιστική παράμετρο για την επιλογή του από έναν πελάτη, αλλά και κρίσιμο παράγοντα που θα κρίνει την τελική απόφαση για την ανάθεση ή όχι των υπηρεσιών ασφάλειας σε εξωτερικό πάροχο.

Banker's Review (T. 022)
« 1 2 3 »

Έχετε άποψη;
Ο σχολιασμός των άρθρων προϋποθέτει την Είσοδο σας στο Banker's Review Online.
ΔΙΑΦΗΜΙΣΗ

Δείτε ακόμη...

Οι πιο δημοφιλείς ειδήσεις σήμερα

Αυτοί που διάβασαν αυτό διάβασαν επίσης

Τα πιο δημοφιλή Topics

Οι πιο δημοφιλείς ειδήσεις σε αυτήν την ενότητα

Οι πιο δημοφιλείς ειδήσεις σε άλλες ενότητες

ΔΙΑΦΗΜΙΣΗ
ΔΙΑΦΗΜΙΣΗ

Συνεντεύξεις / Πρόσωπα

 
ΔΙΑΦΗΜΙΣΗ

Topics

Συγχωνεύσεις και εξαγορές

Private banking

Πιστωτική κρίση

Credit Risk management

Enterprise risk management

Best work place

Multichannel Strategy

Innovation

International Banking

Outsourcing

©2018 Boussias Communications, all rights reserved. Κλεισθένους 338, 153 44 Γέρακας, info@boussias.com, Τ:210 6617777, F:210 6617778