Читатель нашего портала Игорь задаёт очень важный и интересный вопрос:
Добрый день.
Приглашён на работу в компанию. Одна из поставленных задач – разобраться в IT-аутсорсинге.
Проблематика заключается в том, что при передаче на аутсорсинг были переданы не только оперативные задачи (локальная сеть, поддержка пользователей), но и поддержка приложений и систем уровня предприятия ERP и т.д., на каком-то этапе центр компетенций перешел к подрядчику, процесс стал слабо управляемый, доступы к серверам и БД перешли к исполнителю, влияние на бизнес и риски от такого подхода возросли. Изучая проблему, хотел изучить практику и решение аналогичных проблем на примере других предприятий.
Спасибо.
Что скажете, коллеги?
Когда я работал в небольшой нефтяной компании мы решали проблемы следующим образом:
1) внедряли требования по уровню сервиса и ИБ в контракт (в т.ч. необходимость оценки рисков, наличие сертификации СМИБ аутосрсера, наше право на аудит системы ИБ аутсорсера и т.п.)
2) проводили аудит системы проверки сотрудников при приеме на работу к аутсорсеру, и выборочную проверку сотрудников аутсорсера собственными силами (параллельно автоматизировали проверку сотрудников)
3) внедряли терминальный доступ и двухфакторную аутентификацию для доступа к нашем серверам с ноутбуков аутсорсера
4) контролировали движение данных DEV\TEST\PROD, доступы внутри ERP и риски доступа c помощью SAP SM + SAP IDM-GRC
5) проводили обучение, сертифицировали и периодически аттестовали сотрудников аутсорсера на знание нашей политики ИБ (кто не знал – не пускали\блокировали в AD)
6) брали расписки с сотрудников аутсорсера о недопущении разглашения коммерческой тайны
7) планировали внедрение системы видеозаписи всех действий админов (RDP\SSH etc)
8) прорабатывали внедрение системы контроля изменений на FW (что бы не обходили систему видеозаписи)