А. Трошин ("Манго Телеком"): "Модель партнерства зависит от типологии, размера и структуры конкретного бизнеса"

 "ИКС": Существует ли оптимальная модель партнерства вендоров, системных интеграторов и операторов при предоставлении услуг информационной безопасности?

Игорь Яртым, директор по развитию и маркетингу услуг ИТ-аутсорсинга Tieto:  Оптимальная модель партнерства заключается в том, что услуги по ИБ должны предоставляться специализированными ИТ компаниями - системными интеграторами, которые в свою очередь собирают под своим зонтиком и используют операторов и вендоров.

Александр Трошин, технический директор "Манго Телеком": Все зависит от типологии и размера конкретного бизнеса, а также от его структуры. Если это средний и малый бизнес и если компания, например, пользуется выделенными серверами от каких-то провайдеров и от операторов, для них взаимодействие удобно в рамках единого договора по размещению и поддержке оборудования. В таком случае оператор связи, либо дата-центр напрямую предоставляет и гарантирует определенный набор услуг в рамках ИБ. Так как у представителей СМБ, как правило, нет своих экспертов, да и по сути, у них нет ни желания, ни времени, чтобы заниматься экспертизой ИБ, то эти компании полагаются целиком и полностью на компетенции сервис-провайдера. А интеграторы (эксперты) могут привлекаться либо для построения своих систем ИБ – как правило, если у крупной корпорации есть определенные бизнес-риски, или информация, исходящая от компании, имеет высокий уровень секретности. Тогда не стоит полагаться исключительно на услуги сервис-провайдеров в вопросах обеспечения информационной безопасности. Потому что вероятность утечки информации в таком случае намного выше, чем затраты, скажем, на контроль работы собственной службы ИБ и специалистов, которые построят и будут обслуживать систему.

Алексей Машков, директор по информационным технологиям ОАО «Центральный телеграф»: Партнерство здесь намечается в двух основных направлениях: развитие новых технологий и реализация у оператора связи программных решений. В этом процессе, безусловно, оптимально задействовать всех участников процесса. Оператор связи формирует требования к решению, участвует в разработке и внедрении. Системные интеграторы выбирают оптимальные решения в соответствии с требованиями оператора связи, предоставляют технологические площадки для пилотных проектов, осуществляют внедрение и дальнейшее техническое обслуживание. Вендоры разрабатывают новые решения в случае отсутствия готового, соответствующего требованиям заказчика, оказывают экспертную поддержку при внедрении.

Дмитрий Костров, директор по проектам департамента информационной безопасности МТС: Что касается модели взаимодействия операторов и вендоров, то одним из возможных способов взаимодействия мне представляется схема «разделения доходов» - когда вендор получает прибыль при внедрении услуги конечным пользователем.

Павел Антонов, инженер-консультант, Cisco: Наиболее интересной моделью предоставления услуг ИБ, на мой взгляд, является партнерство оператора связи со специализированными провайдерами услуг ИБ и перепродажа этих услуг своим клиентам под своим брендом. Такая модель обладает рядом преимуществ для всех участвующих сторон: Специализированный провайдер услуги, зачастую вендор, за счет партнерства с операторами связи получает прямой выход к широкой клиентской базе потенциальных потребителей услуги ИБ, которыми являются абоненты операторов. При этом вендор, отдав на аутсорсинг операторам процесс продаж, может сосредоточиться на развитии одной единственной услуги, делая ее лучшей на рынке. Оператор связи за счет выстраивания партнерских отношений с несколькими специализированными вендорами, получает возможность быстрого запуска целого спектра новых услуг с минимальными затратами, и соответственно минимальными рисками, в случае если какая-либо услуга “не пойдет”.

 Наконец, клиент, в случае реализации такой модели оператором, может получать целый набор ИТ услуг из одних рук, что несомненно удобнее, а в итоге и дешевле, чем иметь отношения с целым рядом отдельных провайдеров, специализирующихся каждый на одной услуге.

Валерий Андреев, заместитель директора ИВК по науке и технологиям: Пока что таковой нет. Потому что еще не сформирована доверенная среда партнеров, которым можно безусловно доверять с точки зрения ИБ, основывая эту оценку на объективных критериях. Существует несколько компаний, которые на волне новой аутсорсинговой риторики пытаются позиционировать на рынке новую ИБ-услугу. Но здесь как раз кричать сильно и не надо. Все дело — в доверии. Телеком имеет определенные преимущества перед ИТ-компаниями, к нему доверие выше, он ведь практически государственный. У них могло бы пойти, если бы была хорошая цена и уровень защиты.

"ИКС": Нужна ли "третья сторона" (специализированная организация) для оказания таких услуг, и если да, то каким требованиям она должна удовлетворять?

Валерий Андреев: Как минимум, она должна иметь лицензию на оказание таких услуг и опыт работы.

Кирилл Керценбаум, представитель по продажам решений по безопасности, IBM в России и СНГ: На мой взгляд, “третья сторона” не требуется. Существует две схемы оказания услуг по информационной безопасности. В первом случае предоставлять сервис может вендор. Во втором случае провайдером услуг по безопасности может быть оператор – обычно это касается интернета и каналов связи. Оператор может заключать договор с производителем, устанавливать определенные технологии и предоставлять их клиентам.

Дмитрий Костров: Это удобно, когда есть «третья» сторона, так как с данной компанией можно заключить SLA. При этом компания (желательно) предоставляет сервис безопасности, как security cloud. Время выхода услуги (time to market) для оператора значительно сокращается. Наличие лицензий регуляторов приветствуется, но не главное. Главное это правильный SLA. Использование «третей» стороны позволяет резко снизить затраты операторов.

Аркадий Прокудин, заместитель руководителя отдела информационной безопасности компании АйТи: Я считаю, что на данный момент большинство операторов связи в состоянии предоставить услуги по защите информации самостоятельно. Начинающим операторам предпочтительно привлекать «третью сторону», которая уже «не один пуд соли съела» в этом вопросе.

Игорь Яртым: Третья сторона нужна. В ее качестве может/должен выступить системный интегратор с глубокими компетенциями в области ИБ и умением объединить в проекте и поставке услуг технологических партнеров и операторов связи.

Алексей Иванов,  руководитель проектов, Digital Design: В качестве провайдера услуги может выступать любая структура (организация), способная на собственных или арендованных мощностях организовать данное облако. А будет ли это оператор ШПД или вообще третья фирма, не принципиально. Возможно, это будет компания, предоставляюшая мощности ЦОД. Главное, чтобы конечный продукт по всем показателям удовлетворял требованиям потенциального заказчика.

Александр Трошин, технический директор "Манго Телеком": Третьей стороной может выступать интегратор, если говорить, опять же, о большом бизнесе. Главным требованием, которым должен удовлетворять интегратор в таком случае – наличие успешно реализованных проектов. На примере уже оказанных услуг клиент видит, кто доверяет безопасность корпоративной информации этому интегратору, каковы качество и уровень реализованных проектов в целом. Например, если потенциальный заказчик видит, что интегратор силами своих специалистов строил геораспределенный дата-центр, к примеру, для крупных коммерческих банков, то он может рассчитывать на то, что и с его проектом и поставленным техническим заданием на реализацию проекта по ИБ исполнитель справится – пусть даже и очень сложным.

Алексей Машков, директор по информационным технологиям ОАО «Центральный телеграф»: Однозначный ответ на этот вопрос зависит от модели ведения бизнеса оператора связи. Однако сейчас существует распространенная практика, когда «третья сторона» участвует не только во внедрении новой услуги на вычислительных мощностях оператора связи, но и в дальнейшем обеспечивает техническую поддержку реализованных решений. Возможен другой способ, при котором оператор связи арендует вычислительные мощности «третьей стороны» для оказания своим клиентам тех или иных услуг.

Денис Безкоровайный, технический консультант Trend Micro Россия: Возможно, такая третья сторона может взять на себя задачи по консолидации большого количества предложений от разных вендоров и заняться интеграцией механизмов билинга и доставки приложений с системами провайдеров.

Владимир Ткачев, технический директор Siemens Enterprise Communications в России и СНГ: Правильный ответ на этот вопрос – да, для широкого рынка такая организация нужна. В большинстве компаний более традиционен подход, когда сам провайдер формирует свое собственное подразделение для предоставления ИБ-услуг. Причина этого в отсутствии нормальной практики аутсорсинга на рынке в целом. Возможно в ближайшем будущем будут появляться узкопрофильные компании предлагающие типовые решения по ИБ, которые смогут бесшовно интегрировать с иными пакетами услуг от провайдера, однако этот процесс не будет быстрым.

Дмитрий Огородников, директор по направлению информационной безопасности INLINE: Операторы заинтересованы в том, чтобы самостоятельно предоставлять основные услуги своим пользователям. Однако построение подобной инфраструктуры и обслуживание систем требует больших вложений. Операторы ожидают получить максимальную прибыль, в то время как пользователи - максимальное количество услуг. Сопоставив интересы тех и других, можно предположить, что операторы могут предоставлять платформу предоставления услуг третьей стороне -  операторам контента и услуг, для предоставления каких либо специализированных сервисов. В основе взаимовыгодного сотрудничества лежит модель разделения прибыли, а также снижение рисков для обеих сторон. Взаимная выгода заключается в том, что оператор связи не тратит средства и ресурсы на продвижение услуги, а оператор сервиса использует уже готовую инфраструктуру и транспорт.

Павел Антонов, инженер-консультант, Cisco: Нельзя сказать, что во всех 100% случаев оператору связи не обойтись без партнерства со специализированной организацией, провайдером услуг ИБ. На рынке есть много примеров, когда операторы самостоятельно запускают услуги ИБ, а не перепродают партнерские. Преимущество такого подхода в том, что не нужно делиться выручкой от продажи услуги с партнером. Но и недостатки так же есть – это и наличие существенных затрат в запуск услуги, более длительное время вывода услуги на рынок, и риск, что услуга не окупит вложенные в нее инвестиции.

Дмитрий Савченко, руководитель бизнес направления по информационной безопасности компании «Микротест»: С одной стороны находится оператор услуг по безопасности, а с другой стороны - заказчик. Третьей стороной в данном случае выступают интеграторы,  те, кто поставят и обеспечат оказание услуг информационной безопасности оператора. Однако, третья сторона между конечным пользователем и оператором не всегда необходима, хотя зачастую она более продуктивна. Например, сейчас есть на рынке Zsceler, эта компания оказывает услуги безопасности по принципу аутсорсинга. Zsceler специализируются на развертывании территориально распределенных ЦОДов, которые оказывают услуги безопасности для корпоративных клиентов. Они оказывают разные услуги защиты: антиспам, URL-фильтры, защита от DDoS атак, управление корпоративной безопасностью. То есть,  Zsceler построил свой бизнес, как третье лицо между конечными пользователями и операторами связи. Однако такой вид услуг достаточно затратен, поскольку нужно прилично вложиться в развитие инфраструктуры необходимой для оказания подобных услуг.