Журнал "Information Security/ Информационная безопасность" #5, 2019

В маленькой организации без критической инфра- структуры самой существен- ной экономии можно добиться за счет перевода инфраструктуры в защи- щенные облачные ЦОД. Совет: перед принятием решения необходимо предва- рительно взвесить все за и про- тив. Например, для многих орга- низаций ввиду специфики дея- тельности репутация надежного и стабильного заказчика более важна, чем экономия. Следует также заручиться поддержкой руководства топ-уровня. При переходе на ограничен- ную техническую поддержку экономия может повлечь дегра- дацию сервиса. Нужно действо- вать осторожно. Защищенные облачные ЦОД В маленькой организации без критической инфраструктуры самой существенной экономии можно добиться за счет пере- вода инфраструктуры в защи- щенные облачные ЦОД. Плюсы: l отсутствует необходимость обслуживать и поддерживать сервисы, в результате возни- кает экономия на ФОТ в под- разделениях ИБ и ИТ; l затраты на СЗИ входят в общий договор, возможно сни- жение бюджета ИБ почти до 0; l отсутствуют CAPEXы, только OPEX. Минусы: l риск нарушения конфиден- циальности или потери данных; l сложно найти ЦОД, который будет по умолчанию обеспечи- вать все потребности по защи- те, особенно в части выполне- ния требований регуляторов. Совет: нужно внимательно изучать модель угроз и техни- ческое задание на СЗИ ЦОД. Кроме того, в SLA-договоре должно быть предусмотрено страхование рисков от потери данных, конфиденциальности, а также компенсация недопо- лученной прибыли в случае перебоев в работе ЦОД. Человеческие ресурсы Один из распространенных способов экономии на персо- нале, если ситуация позволяет использовать работников невы- сокой квалификации, – это при- влечение практикантов или прием на работу выпускников без опыта. Труд практикантов обычно бесплатен, а выпускни- ки нетребовательны к заработ- ной плате, пока не набрались опыта. Их главная цель – полу- чить опыт и знания, которыми компания может поделиться. В этом есть свои плюсы: l экономия на ФОТ; l работа с легкими задачами, которые квалифицированные специалисты не горят желанием решать. С другой стороны, минусов не избежать: l требуются наставники и время на обучение; l после получения опыта и зна- ний необходимо повышать работника в должности или улучшать мотивационную составляющую, так как его цена на рынке возрастает. Совет: обязательно пред- усмотреть NDA с учебным заве- дением и самим практикантом. При приеме на работу выпуск- ников нужно заранее планиро- вать их мотивацию к работе в будущем, когда они уже набе- рутся опыта. Другой тренд – брать в аренду специалистов у внешних ком- паний под решение определен- ных задач. К сожалению, в Рос- сии это направление пока еще только развивается, но уже есть примеры. Например, при необходимости участия ИБ в крупном проекте и отсутствии своих свободных экспертов есть возможность "взять напрокат" специалиста у интегратора 1 и вернуть его после завершения проекта. Плюсы аутстафа: l в короткие сроки можно при- обрести квалифицированного специалиста, который сразу готов к выполнению поставлен- ной задачи; l опыт других проектов и ком- петенции нескольких специали- стов интегратора; l такой подход позволяет не увеличивать ФОТ, что обычно приветствуется владельцами бизнеса, так как это OPEX и его можно отнести к расходам. Из минусов: l в любой момент работник может быть заменен на другого, что потребует временных затрат на его вхождение в курс дел по проекту; l возможны конфликты с дру- гими подразделениями, так как аутстаф-работник на первых • 19 УПРАВЛЕНИЕ www.itsec.ru Вид затрат, Штатный Аутстаф- руб/мес работник работник Оклад 50 000 - Страховые взносы ПФР (22%), ФСС (5,1% + 2,9%) 15 000 - ДМС (условно 1%) 500 - Рабочее место 5 000 5 000 ПК, ноутбук, софт 4 000 - Внешние затраты - 50 000 Итого 74 500 55 000 Таблица. Сравнение штатного и аутстаф-работника (без учета затрат на подбор/прием/увольнение работника на период проекта) 1 Аутстаффинг (от англ. out staff – вывод за штат) – это способ управления персоналом, при котором одно юридическое лицо (исполнитель) оказывает другому юридическому лицу (заказчику) услуги в форме предоставления в распоряжение заказчика определенного количества работников, не вступающих с ним в какие-либо правовые отношения (гражданско-правовые, трудовые) напрямую, но оказывающих от имени исполнителя определенные услуги (работы) по месту нахождения заказчика. Реклама