Аутсорсинг и определение поставщиков.

В настоящее время многие компании задумываются над тем, чтобы обеспечить управление IT-ресурсами не внутренними силами, а посредством передачи этой функции сторонним организациям (вывести на аутсорсинг часть процессов IT). Одна из сложных задач на пути реализации такого подхода — обеспечение режима информационной безопасности для процессов, передаваемых на аутсорсинг, и в особенности защиты от несанкционированного доступа к частной информации компании со стороны партнера или конкурента.

В данной статье рассмотрены основные вопросы построения эффективной системы управления информационной безопасностью при аутсорсинге IT-процессов компании, а также этапы вывода IT-процессов на аутсорсинг и механизмы выбора поставщика IT-услуг. Кроме того, затронут вопрос управления рисками при аутсорсинге IT-процессов компании. Авторы статьи, не претендуя на полный охват данной темы, попытались сформулировать основные практические рекомендации по обеспечению информационной безопасности при аутсорсинге IT-процессов компании. принципы аутсорсинга в области IT

В настоящее время применяются две модели вывода IT-процессов на аутсорсинг: эволюционная и революционная. В рамках использования эволюционной модели процессы и услуги выделяются последовательно, одна за другой, сторонним подрядчикам, при этом сотрудники IT-подразделения остаются в штате компании и постепенно передают свои функции внешним подрядчикам, сосредотачиваясь на задачах выбора поставщиков и контроля за результатами. Этот вариант позволяет анализировать все процессы, выводимые за пределы организации, и проводить анализ режима информационной безопасности для каждого процесса, определяя те мероприятия, которые нужно выполнить для обеспечения необходимого уровня информационной безопасности.

При использовании революционной модели IT-подразделение вместе со своими процессами выделяется в отдельное юридическое лицо (как правило, дочернее) и получает возможность оказания услуг как внешним заказчикам, так и самому предприятию. В данном случае необходимо включать новое юридическое лицо в свою систему управления информационной безопасностью и жестко регламентировать вопросы обработки конфиденциальной информации вплоть до присутствия специалистов по информационной безопасности в дочерней IT-компании.

Одним из видов аутсорсинга является привлечение в штат внутреннего IT-подразделения специалистов сторонней IT-компании. Такую услугу называют «аутстаффинг», и фактически это вырожденный тип аутсорсинга, поскольку управлением внешних IT-специалистов занимается сам заказчик. Аутстаффинг применяется в тех случаях, когда заказчик только начинает работу с внешней IT-компанией, не доверяя ей, и поэтому на первых порах строит работу с внешними специалистами под своим руководством. Фактически при таком варианте взаимодействия говорить об использовании концепции аутсорсинга преждевременно, однако вопросы информационной безопасности важны и в данном случае. Для внешних IT-специалистов необходимо ввести набор ограничений по доступу и организовать систему мониторинга над их действиями, что позволит свести к минимуму утечку конфиденциальной информации.

Наиболее совершенным и эффективным направлением аутсорсинга считается аутсорсинг бизнес-процессов. Это услуга, предоставляя которую, поставщик берет на себя ответственность как за IT-решение, так и за управление и оптимизацию бизнес-процессов заказчика. В таком варианте на аутсорсинг могут быть отданы не только сопровождение IT-решения по расчету заработной платы, но и сам расчет заработной платы персонала. Однако такая концепция в настоящее время только находит своих сторонников в России, в том числе и по причине сложности организации режима информационной безопасности.

Итак, можно сказать, что главный мотив аутсорсинга — получить IT-услуги необходимого качества, заплатив за них меньше, чем в случае использования для этого внутренних ресурсов. Понятие аутсорсинга возникает в том случае, если подрядчик выполняет регулярные действия, направленные на получение результатов, необходимых заказчику.

При передаче процесса на аутсорсинг можно достигнуть следующих преимуществ:

· получение более высокого уровня услуг;

· сокращение затрат на IT-инфраструктуру;

· передача и минимизация операционных рисков по процессу;

· привлечение внешних инвестиций под определенные задачи;

· концентрация на основных бизнеспроцессах.

Все это достижимо, если есть понимание того, что аутсорсером следует управлять на всех стадиях жизненного цикла процесса. Фактически при аутсорсинге вовне отдается процесс, неразрывно встроенный в основной бизнес. И чтобы этот процесс эффективно работал, необходимо создать, регламентировать и контролировать все интерфейсы между процессами, которые происходят в рамках компании, и процессами, переданными на аутсорсинг.

В числе вопросов, которые старательно обходятся аутсорсинговыми компаниями, — убытки в случае утечки конфиденциальной информации и стоимость мероприятий по организации эффективной системы информационной безопасности в компании, которая сможет обеспечить взаимодействие без рисков нарушения режима информационной безопасности. Очень часто анализ дополнительных затрат на информационную безопасность, возникающих при организации аутсорсинга, может показать невыгодность вывода на аутсорсинг процессов, связанных с обработкой конфиденциальной информации. Анализ стоимости изменения механизмов информационной безопасности в обязательном порядке должен предшествовать принятию решения об аутсорсинге.