Рискованный мир аутсорсинга

Об аутсорсинге хотелось бы сказать отдельно и довольно критично.

Что это такое? Обычно передача, делегирование квалифицированным специалистам узкого профиля части функций, которые по умолчанию должны выполнять штатные специалисты фирмы. Например, системное администрирование, бухгалтерский учёт, юридическое сопровождение, клининг (то есть уборка офиса) и многое другое.

Не секрет, что на аутсорсинг обычно идут не от хорошей жизни, а чтобы сэкономить бюджетные средства в небольших и средних по размерам компаниях. Очевидно, что содержать собственного системного администратора в фирме с парком из пяти-десяти компьютеров не очень выгодно. Точно также, если у вас в фирме работает всего четыре человека, возможно, разумно отдать на аутсорсинг и бухгалтерию.

В моей практике были случаи, когда на аутсорсинговое обслуживание хотели встать даже фирмы с количеством компьютеров от 25 до 50 штук. Часто на аутсорсинг отдают и государственные медицинские учреждения, такие как больницы. Делается это в тех случаях, когда руководство не в состоянии объективно оценить риски неправильной настройки оборудования или от утечки персональных данных пациентов. Или, когда руководству выгодно, чтобы эти риски были выше, чтобы среди своего персонала было как можно меньше ответственных в этих областях.

К сожалению, у аутсорсинга есть и своя изнаночная сторона. Во первых, это не всегда дает экономию денежных средств. Во вторых это почти всегда повышает риски утечки конфиденциальных данных фирмы на сторону и к конкурентам.

Какие у вас есть варианты, если вы думаете о системном администраторе для вашей компании?

В первом случае можете нанять его на полный рабочий день. В этом случае большинство задач будут решаться на уровне его квалификации с максимально возможной скоростью в случае конкурентоспособной зарплаты, и с пропорционально меньшей скоростью в случае оклада ниже рынка.

Во втором случае вы можете вообще его не нанимать, справляясь с решением проблем самостоятельно. Но так как отрасль высоких технологий достаточно сложна и интенсивно развивается, вы гарантированно набьете себе много дорогостоящих шишек, а кое с чем вообще разобраться не сможете.

В третьем случае вы можете договориться с какой-нибудь специализированной фирмой или частным лицом о поддержке вашего парка вычислительной техники, его настройке, расширении и развитии, поддержке пользователей за определенную абонентскую или разовую плату.

Скажу сразу - третий вариант характеризует минимальная информационная безопасность. Вы должны будете доверить пароли от серверов, рабочих станций, общих ресурсов, электронной почты и ключи программного обеспечения третьей стороне - тем, кто выполняет функции аутсорсинга, а также хранить их у себя, в безопасном месте и у собственных сотрудников. Как правило, на этом все и заканчивается. После того, как административные пароли начинают знать все, становится общедоступной и электронная почта, и расшаренные папки, которые знающие ещё и домой себе пробросят, да и количество случаев заражения вирусами возрастает очень сильно.

Например, в одной из фирм, в которой я удаленно работал веб-мастером, и для которой разрабатывал систему управления сайтом, все пароли от сайта хранились в двух местах - у меня и на бланках у руководства. Однажды я обнаружил, что на ftp сайта присутствуют посторонние файлы, которые сам туда не загружал. Как оказалось, их загрузил туда ещё один сотрудник этой фирмы, который под благовидным предлогом получил пароли доступа к сайту от плохо соображающих в части информационной безопасности директоров. Позже мне, в приказном порядке поручили дать пароль от этого ftp ещё нескольким сотрудникам. Как вы догадываетесь, все они могли скопировать и в дальнейшем, использовать для взлома, и часть исходных кодов этого веб-ресурса.

Ещё печальнее дела будут обстоять в случае, если вы отдадите на аутсорсинг не только парк вычислительной техники, но и собственную бухгалтерию. К данным вашей бухгалтерской отчетности получат доступ все сотрудники фирмы, которая возьмется за это дело, и, возможно, фирмы, которые ее обслуживают. В нашей стране бухгалтерия часто ведется двойная - белая и черная, поэтому вырастут риски конфликтов с налоговой, с реформированными отделами по борьбе с экономическими преступлениями и просто утечки информации конкурентам.

Отдельно хотелось бы сказать, что повышает риски утечки данных и понижает защищенность системы даже простая передача паролей пользователей или административные через телефонные сети - голосом или через смс, или по электронной почте. Особенно занятно, что сейчас все чаще эти пароли хранятся в почтовых ящиках организаций, которые физически могут располагаться на удаленных серверах, а не только на компьютерах администрации. Политика информационной безопасности - дело серьезное и сложное.

Типичная организация средних размеров имеет в штате своего системного администратора, иногда даже с помощниками. Но почти всегда для заправки картриджей используется сторонняя фирма, аналогично дело обстоит и с обновлениями программы 1С с помощью информационно-технологического сопровождения, точно также и с обновлениями юридических систем Консультант+, Кодекс или Гарант - установка и обновление выполняется сторонними фирмами. Также дело обстоит и с системами банк-клиент, это обычно прерогатива системного администратора и банка. Если фирма решает завести интернет-сайт или интернет-магазин, то тут не обойтись без веб-мастера и программистов-разработчиков. Хостинг сайта обычно тоже доверяется сторонним фирмам - интернет-провайдерам и специализированным дата-центрам.

Не так просто обстоят дела и с облачными хранилищами данных. По сути дела - это простая аренда защищенного  серверного пространства для нужд компании. Как я уже говорил, это, с одной стороны повышает надежность хранения информации, а с другой - понижает её конфиденциальность, так как фактически данные хранятся, образно выражаясь, в банковской ячейке на стороне другой фирмы. Наша страна обладает рядом особенностей, одна из которых - положив ценности в банковскую ячейку и отбыв по делам на пару лет, впоследствии вернувшись, вы можете не найти не только ячейки, но и самого банка.

Но, в общем и целом, аутсорсинг - это общепринятая практика. Ведь руководство фирмы всегда вправе принять решение - сьэкономить на зарплате сотрудникам и пропорционально увеличить риски безопасности или платить достойные деньги проверенным сотрудникам и полагаться на их компетенции.