Transcript „аутсорсинг“.

КОНФЕРЕНЦИЯ АСТЕЛ `2013
РИСКОВЕ И ОТГОВОРНОСТИ ПРИ
ИТ АУТСОРСИНГ
17.04.2013, София
Инж.Маг. Кристиан Томов
Senior Security & Compliance Manager |
[email protected]
004369919664181 (Австрия)
00491723115840 (Германия)
Ст.н.с. д-р Б. Балабанов
Prof. Balabanov | Ing. Mag. Kristian Tomov
СЪДЪРЖАНИЕ
 РЕЗЮМЕ.
 AУТСОРСИНГ.
 ВИДОВЕ АУТСОРСИНГ, СВЪРЗАНИ С ИКТ-СИГУРНОСТТА.
 ПРИЧИНИТЕ ЗА АУТСОРСИНГ.
 ОПАСНОСТИ ПО ВРЕМЕ НА АУТСОРСИНГ.
 МЕТОДИКА ЗА ПОДХОД И КОНТРОЛИ ПО ВРЕМЕ НА ПОДГОТОВКАТА И
ПРОВЕЖДАНЕ НА АУТСОРСИНГ.
 ЗАКЛЮЧЕНИЕ.
Seite 2
Prof. Balabanov | Ing. Mag. Kristian Tomov
РЕЗЮМЕ
 Дадено е определение на „Aутсорсинг“ процесите и на
необходимата надежност при възлагане на проекти на
външни компании.
 Разглежда се използването на ИТ системите и ИТ мрежите на
външни организации.
 Особено внимание е обърнато на сигурността при
създаването на договорни правила между работодателя и
външния доставчик на услуги.
 Направен е анализ на опасностите на критичните проекти и
процеси при „аутсорсинг“.
 Предложена е методика за подход и контроли по време на
подготовката провеждане на аутсорсинг.
 Дадени са примери от личния опит на автора.
Seite 3
Prof. Balabanov | Ing. Mag. Kristian Tomov
AУТСОРСИНГ
 „Aутсорсинг“ означава че, работните или бизнес-процесите на
организацията биват изнесени към външни доставчици на
услуги.
 „2012 Full-year annual outsourcing contract value of $21.2 billion.“
Global TPI Index: Outsourcing Market
http://www.isg-one.com/web/media-center/press/130116-US.asp
 Аутсорсингът на бизнес и производствените процеси е
неотменима част от днешните организационни стратегии.
 Главната промяна през последните две десетилетия е
нарастването на аутсорсинга и това ще остане така и в бъдеще.
 Аутсорсингът дава възможност на компаниите да се
концентрират в техния главен бизнес, като например на една
счетоводна компания да се концентрира върху счетоводството,
а не върху поддръжката на счетоводните й системи.
Seite 4
Prof. Balabanov | Ing. Mag. Kristian Tomov
НАЙ-ВАЖНИТЕ ВИДОВЕ АУТСОРСИНГ, СВЪРЗАНИ С
ИКТ-СИГУРНОСТТА.
Все по-актуални са случаи за аутсорсинг, свързани с ИТ сигурността:
- Аутсорсинг на сигурността или Managed Security Services.
- Изнасянето на поддръжката и администрацията на защитните стени, на
мониторинга на мрежата, на защитните системи и апликации за отбрана от вируси
или на оперирането на една виртуална частна мрежа.
- Доставчик на приложения “Application Service Provider“ - доставчик на услуги,
който работи със собствените системи, отделни приложения или софтуер за
своите клиенти (E-Mail, SAP приложения, архивиране, интернет магазини,
обществени поръчки).
- Клиентът и доставчикът на услуги са свързани чрез интернет или VPN
връзка-тунел.
- Администрация на приложения „Application Hosting“.
- По време на аутсорсинга на организационните процеси, базирани на
информационни технологии, се използват ИТ системите и ИТ мрежите на
външната организация.
- По правило външният доставчик на услугата и фирмата възложител стават
тясно свързани, така че дори части от производствените процеси започват
да бъдат водени от външната организация.
Seite 5
Prof. Balabanov | Ing. Mag. Kristian Tomov
ПРИЧИНИ ЗА АУТСОРСИНГ
 Организацията, която взема решение да проведе аутсорсинг на
определена дейност или процес трябва да получи от това
следните предимства:
 Тя може да се концентрира по-добре върху основните си
компетенции;
 Да направи икономии на разходи (например от закупуване и
поддръжка на ИТ технологи, от персонал със съответно знание,
от достъп до специализирани знания и ресурси и други);
 Да освободи вътрешните си ресурси за други задачи;
 Да оптимизира вътрешната си администрация;
 Да подобри организацията на бизнеса и на производствените си
процеси;
 Да увеличи гъвкавостта и конкурентоспособността си.
Seite 6
Prof. Balabanov | Ing. Mag. Kristian Tomov
ОПАСНОСТИ НА АУТСОРСИНГА (1)
 Липсващи или недостатъчни правила;
 Неразрешено и неуторизирано упражняване на права;
 Липсващи и недостатъчни тестови и разрешителни процедури;
 Недостатъчен мениджмент на сигурността и качеството на
услугите;
 Неподходящо управление на достъпа и на правата на достъп;
 Грешни стратегии и цели на аутсорсинга;
 Неясни договорни правила с външните доставчици на услуги
(например СЛА);
 Недостатъчно урегулиране на приклучването на договора по
аутсорсинг.
Seite 7
Prof. Balabanov | Ing. Mag. Kristian Tomov
ОПАСНОСТИ НА АУТСОРСИНГА (2)
- Зависимост от само един външен доставчик на аутсорсинг услуга;
- Нарушение на климата във фирмата, произтичащо от аутсорсинга;
- Недостатъчна ИТ сигурност във въвеждащата фаза на
аутсорсинга;
- Недостатъчна възможност за реагиране при случай на
произшествие при аутсорсинга (непрекъсваемост на бизнеса по
време на инцидент);
- Загуба на доверителността и интегритета на данните поради
грешно поведение;
- Отпадане на системите на аутсорсинг доставчика – нарушаващи
доставката на аутсорсинг услугата;
- Разкриване на данни на трети лица от външния доставчик на
услуги.
Seite 8
Prof. Balabanov | Ing. Mag. Kristian Tomov
ОПАСНОСТИ НА АУТСОРСИНГА (3)
-
-
-
Заплахите при аутсорсинга са, че проектите са изключително
сложни за идентификация и са многопластови.
Решението да се възложи дадена дейност на външна фирма влияе
върху стратегическото ръководство на организацията, върху
определението на основните й компетенции, върху структурата на
веригата от важните за организацията правила и върху много
съществени аспекти на нейното управление.
Следователно трябва да се положат всички усилия за откриване
и предотвратяване на грешното развитие на компанията или на
държавните органи.
Опасностите могат да бъдат на физическо, техническо и също на
субективно ниво.
За количественото измерване на рисковете, трябва първо да се
оценят и класифицират организационните активи в
съответствие с тяхното стратегическо значение за
организацията.
Seite 9
Prof. Balabanov | Ing. Mag. Kristian Tomov
МЕТОДИКА ЗА ПОДХОД И КОНТРОЛ ПО ВРЕМЕ НА ПОДГОТОВКАТА И ПРОВЕЖДАНЕ
НА АУТСОРСИНГ.
 Фаза 1: Стратегическо планиране на аутсорсинг проекта.
 Фаза 2: Дефиниция на най-важните изисквания към сигурността.
 Фаза 3: Избор на външен доставчик на аутсорсинг услуга.
 Фаза 4: Изработване на договора.
 Фаза 5: Съставяне на концепция за ИТ сигурност на аутсорсинг
обхвата.
 Фаза 6: Миграционна.
 Фаза 7: Планиране и осигуряване на текущата работа.
Seite 10
Prof. Balabanov | Ing. Mag. Kristian Tomov
МЕТОДИКА ЗА ПОДХОД И КОНТРОЛ
Фаза 1: Стратегическо планиране на аутсорсинг проекта.
Още в рамките на първите стратегически решения относно
това дали и в каква форма ще се реализира един аутсорсинг проект,
трябва да бъдат разработени и документирани изискванията и целта
на аутсорсинга, покриващи и аспектите, свързани със сигурността.
Фаза 2: Дефиниция на най-важните изисквания към сигурността.
Когато решението за аутсорсиг е взето, трябва да бъдат
дефинирани критичните изисквания към сигурността по време на
изпълнението на проекта.
Тези изисквания спрямо сигурността са основата на
провеждане на търга за определяне на доставчик на аутсорсинг
услуга.
Seite 11
Prof. Balabanov | Ing. Mag. Kristian Tomov
МЕТОДИКА ЗА ПОДХОД И КОНТРОЛ
Фаза 3: Избор на външен доставчик на аутсорсинг услуга.
Изборът на доставчик на аутсорсинг услуги е много сложен процес
и има специално значение .
Фаза 4: Изработване на договора.
На базата на списъка със задължения и изисквания, изработени
във фаза едно и две, се изработва аутсорсинг договор, който
трябва да включва минимум искани услуги, нужното качество и
сроковете в зависимост с наличното законодателство.
Критична част на аутсорсинг - договорите са споразуменията за
нивото на обслужване Service Level Agreements (SLA).
В аутсорсинг договора също така трябва да са уточнени
условията на съвместната работа:
контактни лица, време за реакция, ИТ връзка, проверка на услуги,
проектиране на ИТ сигурността, работата с поверителна
информация, правата, регламента за даване на информация на
трети лица, и т.н.
Seite 12
Prof. Balabanov | Ing. Mag. Kristian Tomov
МЕТОДИКА ЗА ПОДХОД И КОНТРОЛ
Фаза 5: Съставяне на концепция за ИТ сигурност на аутсорсинг
обхвата.
Работодателят и външната фирма съвместно изработват детайлиран проект
за сигурност (създаване на концепция за ИТ сигурност при аутсорсингпроект). Фаза 5 може да се извърши само след фазата на мигриране, защото
по време на миграция на ИТ системите и на приложенията възникват нови
идеи и се събира важна информация, които трябва да бъдат включени в
концепцията за сигурността на информационните технологии.
Фаза 6: Миграционна.
Особенно рискова за сигурността е миграционната или преходна
фаза, защото тя се нуждае от много прециозно планиране.
Фаза 7: Планиране и осигуряване на текущата работа.
Ако доставчикът на аутсорсинг услуги е поел системите и бизнес процесите,
стават необходими различни мерки, като например :
- редовни проверки и прилагане на система за поддръжка, важни за
поддържане на сигурността в текущия процес (планиране и поддържане
на ИТ сигурност при текущи аутсорсинг проекти).
Seite 13
Prof. Balabanov | Ing. Mag. Kristian Tomov
Аварийни и ескалациионни сценарии
Аварийните и ескалациионните сценарии трябва непременно да се
вземат под внимание при планирането.
По - долу представям следния пакет от мерки, свързани с
'Аутсорсинга':
 Навременното участие на персонала , профсъюзите;
 Определение на потенциалните комуникационни
партньори;
 Управление на промените;
 Договорености за използване на чуждия персонал;
 Определяне на аутсорсинг стратегията;
 Определяне на изискванията по сигурността при
аутсорсинг проекти;
 Съставяне на концепция за ИТ сигурност при
аутсорсинг проекти.
Seite 14
Prof. Balabanov | Ing. Mag. Kristian Tomov
Аварийни и ескалациионни сценарии










Избор на подходяща аутсорсинг фирма;
Оформяне на договора с външната фирма;
Сигурна миграция на аутсорсинг проекта;
Проверка на персонала за сигурност;
Договаряне на отношенията и връзките с трети инстанции или
персонал;
Договаряне на правилата за обмяна на данни с трети компании;
Планиране и поддържане на информационната сигурност за
времето на протичане на процеса на аутсорсинг проекта;
Подредено завършване на аутсорсинг отношенията;
Предотвратяване на произшествията при такива проекти;
План за действие при отпадане на важни участници.
Seite 15
Prof. Balabanov | Ing. Mag. Kristian Tomov
ЗАКЛЮЧЕНИЕ
Анализът дава концепция и подход за аутсорсинг на критичните
бизнеспроцеси и проекти.
Той не обхваща всички възможности за контрол, но описва найбазовите изисквания, гарантиращи успешен аутсорсинг.
ЛИТЕРАТУРА
1. http://www.iso.org/iso/home.html
2. http://ru.wikipedia.org/wiki
3. http://bg.wikipedia.org/wiki
Seite 16
Prof. Balabanov | Ing. Mag. Kristian Tomov
Благодаря
Prof. Balabanov | Ing. Mag. Kristian Tomov