 |
|
 |
|
Риски «офшоризации безопасности»
В последнее время на страницах специализированной зарубежной прессы замелькал термин «offshoring security». Он означает передачу функции информационной безопасности в аутсорсинг, нередко иностранным компаниям, в другие страны. И эта тенденция вырастает в серьезную проблему, утверждает Ким Кроули, исследователь в компании InfoSec Institute, публикуя материал на сайте csoonline.com.
Иностранные аутсорсинговые компании зачастую малокомпетентны, утверждает автор. Политики и процедуры по информационной безопасности там составляют люди, малосведующие в вопросах информационной защиты, а нередко вообще не имеющие никакого отношения к этой дисциплине. Что они могут посоветовать своим клиентам?
В статье приводится такой пример. Иностранная аутсорсинговая фирма настоятельно рекомендовала клиенту «усилить физический контроль» в отношении тех, кто работает в центре данных, соответственно, имеет доступ в сервер, где данные хранятся. «Консультантам» показалось недостаточным наличие системы электронного пропуска, персонального идентификационного кода, необходимого для доступа в базу данных, наконец, наличие охранника у входа. Они потребовали в дополнение ко всему этому установить внутри центра видеокамеру, сфокусированную на сервер, что на самом деле абсолютно излишне!
Увлекающиеся «офшоризацией безопасности» во имя сокращения расходной части бюджета организации зачастую получают проблемы. Так, к примеру, тысячи клиентов онлайн банкинга Canadian Imperial Bank of Commerce однажды обнаружили свои счета неработающими. У другого канадского банка, Royal Bank of Canada, в один прекрасный день отказали все банкоматы.
Подобных случаев немало. Достаточно вспомнить скандал с тем же Royal Bank of Canada в 2013 году. Банк начал широкую замену своих сотрудников на иностранцев как временных работников, воспользовавшись решением правительства консерваторов облегчить приглашение в страну иностранной рабочей силы. По канадскому законодательству иностранцам можно платить меньше, чем собственным гражданам, и они не защищены местным трудовым правом. Дейв Моро, работающий в отделе информационных технологий Royal Bank of Canada, вспоминает, как из Индии хлынули новые работники, мало смыслящие в своем деле, с которыми пришлось много возиться, прежде чем они стали что-то понимать в специфике банковской информационной безопасности. Разгорелся скандал, который вылился и на страницы местной прессы, и некоторые клиенты начали переводить свои счета в другие банки.
Даже если закрыть глаза на этические аспекты проблемы (замещение собственных граждан иностранцами), нельзя игнорировать рост инсайдерских рисков, прямо связанных с этим процессом. Во всяком случае, отмечает автор публикации, зафиксировано множество фактов нелояльности иностранцев в отношении своих работодателей. А, между тем, речь идет о сфере, предполагающей доступ к корпоративным базам данных.
По мнению руководителей австралийской компании Passion Computing, индийские программы грешат множеством неточностей и ошибок. Программисты там оплачиваются плохо и мало заинтересованы в производстве продуктов высокого качества. Не говоря уже о том, что отданные на аутсорсинг проекты могут нелегально копироваться и использоваться конкурентами.
|
вернуться назад
