ИБ на аутсорсинге: что ждёт госучреждения?

Предлагаем вашему вниманию перевод статьи «CDM-as-a-service great, but what next?», опубликованной американским изданием The Business of Federal Technology, которое пишет для «федеральных директоров по технологиям». Рассматриваются некоторые аспекты перевода федеральных IT-служб на единую систему обеспечения информационной безопасности, CDM (Continuous Diagnostics and Mitigation), о которой D-Russia.ru писала ранее.

Небольшие федеральные ведомства могут сегодня рассматривать CDM, внедрение которого требует министерство внутренней безопасности США (Department of Homeland Securit, DHS), как вариант решения своих проблем с кибербезопасностью. Остаётся, однако, вопрос: как они станут поддерживать собственную IT-безопасность в будущем?

В конце 2015 года, DHS и администрация служб общего назначения (General Services Administration, GSA) начали внедрение инструментов CDM для 40 небольших агентств федерального правительства – им предлагаются совместные облачные сервисы, что сократит или устранит вовсе дублирование одной и той же, в сущности, работы, которую ведёт каждая из этих маленьких структур.

В декабре GSA выступила инициатором закупок сервисов CDM для небольших госучреждений.

CDM-as-a-service для небольших агентств – большая помощь в комплексном решении проблемы, это намного предпочтительнее процедуры получения сертификата ИБ, «прелестей» работы с небольшим бюджетом, поиска персонала, самостоятельного заключения и регулярного возобновления контрактов на обеспечение CDM, полагает Кирит Амин (Kirit Amin), IT-директор комиссии по международной торговле.

Однако видны проблемы реализации такого подхода. «DHS сказал небольшим агентствам: вы будете присоединены к CDM. Но это не значит, что это произойдёт таким образом, что все проблемы будут решены, — сказал Амин в публичном выступлении 3 марта. — Вы не можете просто отдать технологию на откуп тому, кто считается по ней главным, и ожидать решения своих проблем. CDM-as-a-service предстоит пройти долгий путь, прежде работа по защите информационных сред из единого центра обработки данных, особенно для агентств с небольшим IT-бюджетом, будет выполнена».

«Выделение общих сервисов из агентств в единую службу, предлагаемое GSA и DHS – хорошая вещь», — сказал Эстев Мид (Esteve Mede), директор по информационной безопасности Федеральной избирательной комиссии. Эффективность программы, полагает он, должна измеряться тем, насколько тесно GSA и DHS будут работать с небольшими агентствами, чтобы помочь им в реализации общей федеральной стратегии кибербезопасности.

CDM-as-a-service, заявил Амин The Business of Federal Technology, лишь одна из остановок на длинном и неизведанном пути небольших агентств к кибербезопасности. Вероятно, этот путь полон серьёзных трудностей.

Одна уже видна. Аутосорсинг информационной безопасности ведёт к сокращению персонала в федеральных госучреждениях. Для крупных организаций это не так болезненно, но маленькие агентства чувствуют потери численности технического персонала гораздо острее.

«В конце концов, всё сводится к людям, которые сопровождают и защищают информационные системы в федеральном правительстве. Вся IT-индустрии сражается за высококвалифицированных IT-людей, и особенно за блестящих экспертов по кибербезопасности. Сколько таких экспертов будут обеспечивать CDM-as-a-service? Это серьезная проблема для небольших агентств», — говорит Амин.