Những ưu điểm và cạm bẫy chính của việc chuyển giao chức năng bảo mật thông tin cho các chuyên gia bên ngoài là gì? Có thể vừa tiết kiệm tài nguyên vừa cải thiện khả năng phục hồi mạng tổng thể theo cách này không?
- Giới thiệu
- Thị trường gia công an toàn thông tin
- Lựa chọn nhà cung cấp dịch vụ bảo mật thông tin tốt nhất
- Dự báo của các chuyên gia về phát triển outsourcing
- kết luận
Giới thiệu
Gia công phần mềm bảo mật thông tin đang trở thành một cách ngày càng phổ biến để bảo vệ dữ liệu và hệ thống của công ty. Đảm bảo an ninh thông tin thông qua tài nguyên của nhà cung cấp dịch vụ bên thứ ba có thể giảm chi phí, tăng hiệu quả và mức độ bảo mật (về các giải pháp bảo mật thông tin hiện có đọc lựa chọn của chúng tôi). Đây có thể là một lựa chọn hấp dẫn đối với những tổ chức không có đủ nguồn lực nội bộ hoặc chuyên môn để quản lý hiệu quả an ninh mạng của mình. Tuy nhiên, điều quan trọng là phải đánh giá cẩn thận những rủi ro, lợi ích tiềm ẩn và chọn nhà cung cấp dịch vụ đáng tin cậy.
Hình 1. Các chuyên gia trong ngành trong trường quay của dự án truyền hình AM Live
Diễn giả truyền hình trực tiếp:
- Maxim EzhovTrưởng phòng Phát triển Sản phẩm Dịch vụ MSS, Angara Security;
- Alexander BykovTrưởng phòng Dịch vụ Bảo vệ, Nubes;
- Konstantin MusovetsGiám đốc USSC-SOC, UCSB;
- Vyacheslav ZheleznykovGiám đốc Phát triển Kinh doanh, Tập đoàn SolidLab;
- Alexander GolubchikovGiám đốc Phát triển Sản phẩm An ninh mạng, MegaFon ProBusiness;
- Ekaterina SyurtukovaTrưởng phòng Dịch vụ An ninh mạng, Innostage;
- Dmitry KarasevTrưởng phòng Phát triển Dịch vụ Bảo mật và Sản phẩm Giáo dục, Kaspersky Lab.
Người lãnh đạo và người điều hành cuộc thảo luận – Ilya ShabanovTổng Giám đốc AM Media.
Thị trường gia công an toàn thông tin
Khái niệm hiện đại về gia công an toàn thông tin trên thị trường
Gia công phần mềm vào năm 2024 là gì?
Vyacheslav Zheleznykov:
— Gia công an toàn thông tin là tập hợp các công việc về phần mềm, thiết bị mà công ty sử dụng nhưng không thuộc quyền sở hữu của công ty.
Vyacheslav Zheleznykov, Giám đốc phát triển kinh doanh, Nhóm các công ty SolidLab
Ekaterina Syurtukova nói thêm rằng bất kỳ nhiệm vụ hoặc chức năng nào cũng sẽ được thuê ngoài nếu nó được chuyển giao cho một công ty chuyên gia bên ngoài, bất kể mức độ phức tạp của công việc được thực hiện. Dmitry Karasev cho biết, đặc điểm phân biệt chính là việc chuyển giao quyền kiểm soát cho nhà cung cấp dịch vụ, với điều kiện việc kiểm soát chất lượng vẫn thuộc về phía khách hàng.
Người dẫn chương trình mời các chuyên gia giải đáp câu hỏi vì sao các công ty ngày càng chuyển sang gia công phần mềm. Maxim Ezhov là người đầu tiên chia sẻ quan điểm của mình, lưu ý rằng yếu tố chính hiện nay là thiếu nhân sự. Nếu thiếu hụt trầm trọng các chuyên gia, việc chuyển giao một số chức năng cho một công ty chuyên gia bên thứ ba có thể giảm bớt đáng kể gánh nặng cho họ. Chuyên gia cũng lưu ý rằng mỗi quyết định trong lĩnh vực bảo mật thông tin đều đòi hỏi một năng lực đặc biệt, hạn hẹp và rất khó tìm được một chuyên gia có đầy đủ các kỹ năng cần thiết như nhau. Trong tình huống như vậy, gia công phần mềm cũng ra tay giải cứu.
Ilya Shabanov, người dẫn chương trình và người điều hành cuộc thảo luận, tổng giám đốc “AM Media”
Alexander Bykov lưu ý rằng do sự phát triển nhanh chóng của thị trường công nghệ thông tin, các công ty quyết định thuê ngoài một số quy trình chưa được hiện đại hóa cho các công ty bên thứ ba, điều này cho phép họ theo kịp thời đại. Theo Ekaterina Syurtukova, một động lực quan trọng khác làm tăng nhu cầu gia công là sự thay thế nhập khẩu. Thật vậy, nhiều công ty phải đối mặt với nhu cầu chuyển sang các thiết bị tương tự trong nước và các tổ chức bên thứ ba cho phép chuyển đổi nhanh chóng sang thiết bị mới với sự hỗ trợ tiếp theo về hiệu suất của thiết bị đó.
Dmitry Karasev chia sẻ với các đồng nghiệp quan điểm của mình rằng việc thuê ngoài cho phép các nhà quản lý công ty đánh giá hiệu quả của các khoản đầu tư vào bảo mật thông tin, cũng như giám sát hiệu quả hoạt động của tổ chức.
Dmitry Karasev, Giám đốc Phát triển Dịch vụ Bảo mật và Sản phẩm Giáo dục, Kaspersky Lab
Người trình bày đã tóm tắt ý kiến của các chuyên gia và lưu ý rằng một yếu tố quan trọng trong sự phát triển của ngành là không có các hạn chế trực tiếp đối với việc sử dụng gia công của FSTEC và FSB của Nga. Tuy nhiên, cần lưu ý rằng trách nhiệm đối với các sự cố bảo mật thông tin luôn thuộc về khách hàng (Chúng tôi đưa ra lựa chọn của mình những sự cố an ninh mạng nổi bật nhất của Nga năm 2023). Đó là lý do tại sao bạn cần có cách tiếp cận có trách nhiệm trong việc lựa chọn nhà cung cấp.
Hình 2. Điều gì hạn chế bạn sử dụng dịch vụ gia công bảo mật thông tin?
Người trình bày kết quả khảo sát, theo đó, 32% số người được hỏi lo ngại về sự thiếu trách nhiệm thực sự của phía nhà cung cấp. 27% số người được hỏi nhận thấy rủi ro đáng kể khi truy cập trái phép. 24% cho rằng chi phí dịch vụ của nhà cung cấp quá cao. Những yếu tố này và các yếu tố khác cản trở việc sử dụng gia công an toàn thông tin một cách tích cực hơn.
Chuyên gia nội bộ so với gia công phần mềm: lựa chọn phương án tốt nhất
Diễn giả Ekaterina Syurtukova lưu ý: Vấn đề về niềm tin rất nghiêm trọng khi làm việc với cả nhóm của bạn và với tổ chức bên thứ ba. Trong trường hợp này, yếu tố quyết định khi lựa chọn là trình độ chuyên môn và đào tạo của các chuyên gia. Ngoài ra, đừng quên các phương pháp giám sát hoạt động của hệ thống an toàn thông tin phải được áp dụng bất kể ai đang thực hiện công việc.
Cái nào rẻ hơn: thuê ngoài hay đội nội bộ? Mỗi công ty tiến hành phân tích chi phí dựa trên đặc điểm và nhu cầu cá nhân. Khi đánh giá chi phí, cần cân nhắc xem cần bao nhiêu nguồn lực để đạt được kết quả tương tự khi làm việc với nhóm của riêng bạn và thuê ngoài.
Hiện nay, nhiều công ty thuê ngoài việc xây dựng các hệ thống về an toàn thông tin và công nghệ thông tin cho các nhà cung cấp. Tuy nhiên, Ekaterina Syurtukova tin rằng không nên thuê ngoài để đáp ứng các hệ thống kinh doanh quan trọng. Mọi giải pháp công nghệ cũng cần có sự kiểm soát chặt chẽ của khách hàng.
Đánh giá tính khả thi về mặt kinh tế của việc thuê ngoài
Vyacheslav Zheleznykov nhớ lại, có rất nhiều ví dụ về việc gia công phần mềm rẻ hơn. Suy cho cùng, một chuyên gia, dù là người có trình độ cao nhất, cũng không thể thay thế được một đội ngũ chuyên gia.
Alexander Bykov lưu ý: Nhiệm vụ kinh doanh là yếu tố quyết định việc đánh giá hiệu quả của đội ngũ bảo mật thông tin. Do nhu cầu về một cách tiếp cận tích hợp và độ phức tạp cao, việc tìm kiếm sự trợ giúp từ các tổ chức bên thứ ba thường rẻ hơn.
Alexander Bykov, Giám đốc Dịch vụ Bảo vệ, Nubes
Konstantin Mushovets tin rằng khi xây dựng một hệ thống bảo vệ trong thời gian dài, việc từ chối gia công phần mềm và ưu tiên cho nhóm của mình thường có lợi hơn.
Chuyên gia Dmitry Karasev cho biết thêm cần phải không ngừng nâng cao hệ thống an ninh. Và trong khi khoản đầu tư ban đầu có thể được xác định chính xác thì chi phí cập nhật tất cả các dịch vụ lại cực kỳ khó dự đoán. Xét đến chi phí để nâng cao kỹ năng của nhân viên, nâng cấp thiết bị và phần mềm, việc sử dụng dịch vụ thuê ngoài vẫn có lợi hơn.
Giá thành của phần mềm không thể so sánh được với giá thành của đội, diễn giả Alexander Golubchikov chia sẻ kinh nghiệm của mình. Trong tầm nhìn lập kế hoạch dài hạn, đội ngũ nội bộ sẽ đắt hơn đáng kể so với thuê ngoài.
Alexander Golubchikov, Giám đốc phát triển sản phẩm an ninh mạng, MegaFon ProBusiness
Gia công phần mềm cho bên thứ ba cũng được khuyến khích cho các dự án thực hiện một lần khi cần phần mềm trong một khoảng thời gian ngắn.
Lựa chọn nhà cung cấp dịch vụ bảo mật thông tin tốt nhất
Rủi ro liên quan đến việc thuê ngoài
Hợp đồng phải nêu rõ các quy định về chuyển nhượng, bởi điều cực kỳ quan trọng là nội dung luôn ở bên khách hàng. Cũng cần kiểm tra chất lượng làm việc của nhà cung cấp với các dịch vụ bên ngoài. Diễn giả Ekaterina Syurtukova lưu ý rằng những quy định này sẽ giúp giảm thiểu đáng kể những rủi ro liên quan đến việc thuê ngoài.
Các chuyên gia chỉ ra tầm quan trọng của việc đưa ra các điều khoản và thỏa thuận với nhà cung cấp dịch vụ để giảm thiểu rủi ro có thể phát sinh khi từ chối gia công hoặc khi mở rộng quy mô công ty.
Hình 3. Vấn đề chính bạn muốn giải quyết với sự trợ giúp của gia công bảo mật thông tin là gì?
Theo khảo sát người xem AM Live TV, 34% số người được hỏi muốn giải quyết vấn đề thiếu hụt nhân sự bằng cách thuê ngoài. 30% bày tỏ mong muốn tăng mức độ bảo mật. 15% số người được hỏi ủng hộ việc giảm chi phí bảo mật thông tin.
Chọn nhà cung cấp dịch vụ
Khi lựa chọn nhà cung cấp dịch vụ, bạn nên chú ý đến thời gian phản hồi các yêu cầu. Konstantin Mushovets lưu ý: Điều này sẽ giúp chúng ta có thể hiểu được liệu nhà cung cấp có bị quá tải hay không, các quy trình nội bộ của họ có cấu trúc tốt hay kém.
Konstantin Mušovec, Giám đốc, USSC-SOC, UCSB
Dmitry Karasev lưu ý tầm quan trọng của việc xây dựng hợp đồng chất lượng cao, chỉ ra các lĩnh vực trách nhiệm của khách hàng và nhà thầu.
Ekaterina Syurtukova đã thu hút sự chú ý của các chuyên gia về bề rộng chuyên môn, vì chỉ một công ty hoạt động tốt cả về công nghệ thông tin và bảo mật thông tin mới có thể thực hiện nhiệm vụ một cách hiệu quả.
Diễn giả Alexander Golubchikov lưu ý cũng cần phải tính đến cách một công ty cung cấp dịch vụ có thể tự bảo vệ mình, cách tổ chức các quy trình bảo mật thông tin và những trường hợp mà công ty gặp phải.
Một nhà cung cấp tốt phải linh hoạt, Vyacheslav Zheleznykov chia sẻ ý kiến của mình và cung cấp nhiều dịch vụ hơn một chút so với quy định ban đầu trong hợp đồng.
Maxim Ezhov nói thêm rằng dự án thí điểm hoặc phiên bản demo ở giai đoạn ký kết hợp đồng là một chỉ số đánh giá hiệu quả hoạt động của công ty. Đồng thời, khách hàng có cơ hội đánh giá tốc độ làm việc của các chuyên gia kỹ thuật, tính linh hoạt và kỹ năng giao tiếp của họ và đưa ra kết luận về sự trưởng thành của nhà cung cấp dịch vụ.
Maxim Ezhov, Trưởng phòng Phát triển Sản phẩm Dịch vụ MSS, Angara Security
Không còn nghi ngờ gì nữa, điều quan trọng là phải chọn một nhà cung cấp dịch vụ có nhiều năng lực – mặc dù một nhà cung cấp chuyên biệt có thể cung cấp các dịch vụ có chất lượng trên một giải pháp cụ thể.
Trách nhiệm và bảo đảm của nhà cung cấp trong lĩnh vực an toàn thông tin
Theo diễn giả Ekaterina Syurtukova, dịch vụ bảo hiểm là dễ thực hiện nhất đối với những dịch vụ đơn giản. Điều này rất quan trọng để hiểu khi nào một sự kiện được bảo hiểm xảy ra và cần phải làm gì để ngăn chặn sự kiện đó.
Ekaterina Syurtukova, Trưởng phòng Dịch vụ An ninh mạng, Innostage
Rất khó để triển khai mô hình bảo hiểm chi tiết khi xây dựng hệ thống bảo mật thông tin chìa khóa trao tay. Điều này dẫn đến chi phí hợp đồng tăng đáng kể, vì vậy khách hàng thường quyết định chỉ bảo hiểm cho các hệ thống quan trọng.
Konstantin Mushovets lưu ý: Nếu khách hàng không hiểu mình muốn nhận dịch vụ gì thì công ty bên thứ ba có thể phải gánh chịu những hậu quả nghiêm trọng về danh tiếng. Đôi khi khách hàng yêu cầu mức độ dịch vụ không tương ứng với giải pháp họ đang mua. Trong những trường hợp này, để giảm thiểu rủi ro, cần xây dựng một cuộc đối thoại thành thạo và xác định danh sách dịch vụ cần thiết.
Hình 4. Bạn mong đợi loại trách nhiệm pháp lý và bồi thường thiệt hại nào theo SLA từ các nhà cung cấp dịch vụ bảo mật thông tin?
Theo kết quả khảo sát mà người dẫn chương trình đưa ra, 38% người xem mong muốn nhận được khoản bồi thường từ nhà cung cấp nếu xảy ra sự cố, thiệt hại gây ra và lợi nhuận bị mất. 23% số người được hỏi mong đợi trách nhiệm hình sự đối với các cơ sở CII. 10% sẽ hài lòng với ít nhất một khoản giảm giá.
Dự báo của các chuyên gia về phát triển outsourcing
Theo các chuyên gia, gia công phần mềm sẽ tiếp tục phát triển để đáp ứng nhu cầu thay đổi của doanh nghiệp và tiến bộ công nghệ.
- Sự thiếu hụt các chuyên gia có trình độ và tự động hóa quy trình sẽ góp phần thúc đẩy sự phát triển của việc thuê ngoài các dịch vụ bảo mật thông tin.
- Gia công phần mềm sẽ trở nên linh hoạt và tự động hơn, cho phép các doanh nghiệp điều chỉnh dịch vụ theo nhu cầu cụ thể của họ.
- Doanh nghiệp sẽ ưu tiên những đối tác gia công đảm bảo đạt được kết quả nhất định.
- Các công ty sẽ ngày càng nhận ra tầm quan trọng của bảo mật thông tin và chuyển sang các đối tác gia công để đảm bảo việc bảo vệ dữ liệu và hệ thống của họ.
- Các dịch vụ gia công phức tạp sẽ trở nên tiêu chuẩn hóa hơn và nền tảng công nghệ sẽ tiếp tục phát triển, mang đến những cơ hội mới để tối ưu hóa và đổi mới.
Nhìn chung, gia công phần mềm sẽ tiếp tục là một chiến lược quan trọng đối với các doanh nghiệp muốn nâng cao hiệu quả, giảm chi phí và tiếp cận các kỹ năng và công nghệ chuyên môn.
Hình 5. Bạn có ý kiến gì về việc thuê ngoài bảo mật thông tin sau buổi phát sóng?
Sau khi xem chương trình phát sóng, 44% người xem lưu ý rằng họ tin tưởng vào tiềm năng của việc thuê ngoài. 28% số người được hỏi vẫn hoài nghi về việc thuê ngoài, bất chấp nỗ lực của các chuyên gia. 14% số người được hỏi sẵn sàng thử nghiệm các tính năng mới.
kết luận
Gia công phần mềm có thể mang lại một số lợi ích, bao gồm khả năng tiếp cận kiến thức và kỹ năng chuyên môn, giảm chi phí và tăng tính linh hoạt. Tuy nhiên, điều quan trọng là phải nhận thức được những rủi ro liên quan đến việc thuê ngoài, chẳng hạn như mất quyền kiểm soát dữ liệu và sự phụ thuộc vào nhà cung cấp bên thứ ba.
Khi lựa chọn nhà cung cấp dịch vụ bảo mật thông tin, điều quan trọng là phải xem xét các yếu tố như kinh nghiệm, danh tiếng và sự ổn định về tài chính. Điều quan trọng nữa là phải đảm bảo rằng nhà cung cấp có thỏa thuận cấp độ dịch vụ (SLA) rõ ràng và cung cấp các đảm bảo an ninh mạnh mẽ.
Dự báo của các chuyên gia về sự phát triển của gia công an toàn thông tin nhìn chung là tích cực. Thị trường dự kiến sẽ tiếp tục phát triển trong những năm tới khi nhiều tổ chức nhận ra tầm quan trọng của việc bảo vệ dữ liệu và hệ thống của họ.
Nhìn chung, gia công phần mềm bảo mật thông tin có thể là một cách hiệu quả để tăng cường an ninh mạng và tập trung vào các mục tiêu kinh doanh cốt lõi. Tuy nhiên, điều quan trọng là phải đánh giá cẩn thận những rủi ro, lợi ích tiềm ẩn và chọn nhà cung cấp dịch vụ đáng tin cậy.
Dự án truyền hình AM Live hàng tuần quy tụ các chuyên gia trong ngành trong trường quay để thảo luận về các chủ đề hiện tại trên thị trường CNTT và bảo mật thông tin của Nga. Luôn cập nhật các xu hướng và sự kiện quan trọng. Để thực hiện việc này, hãy đăng ký kênh của chúng tôi Kênh Youtube. Hẹn gặp lại!
