CNews: Пожалуй, самый актуальный и острый вопрос, который сегодня стоит перед руководством любого банка при планировании перехода на ИТ-аутсорсинг, – обеспечение информационной безопасности. Как решается эта проблема на практике?

Руслан Вагизов: ИТ-аутсорсинг приносит компании много плюсов, а все вопросы информационной безопасности решаемы. Это показывает многолетний опыт нашей работы как с небольшими банками, так и крупными заказчиками.

Если банк решает передать аутсорсеру такие операции, как поддержка рабочих станций, сервис-деск, мониторинг ИТ-инфраструктуры, то риски небольшие. Они минимизируются с помощью стандартных средств безопасности. Это, например, ограничение доступа к важной банковской информации (критичным серверам и приложениям), внедрение средств контроля доступа (единая точка входа, двухфакторная аутентификация, журналы регистрации) и защита каналов связи (VPN). Если речь идет о передаче на аутсорсинг таких критичных систем, как АБС или CRM, которые обрабатывают информацию, составляющую банковскую, коммерческую тайну или персональные данные клиентов, то требования к безопасности значительно возрастают. Возможная утечка подобной информации – это очень высокий риск для банка, как с точки зрения последствий для бизнеса и репутации, так и с позиции нарушения требований законодательства и нормативных актов. Напомню, что в области информационной безопасности банковскую деятельность регулируют различные законы и нормативные акты, включая в том числе ФЗ «О банках и банковской деятельности и «О национальной платежной системе», Положения Банка России 382-П и 379-П, а также общегражданские Федеральные законы «О персональных данных» и «О коммерческой тайне». Однако даже такие сложные задачи сегодня находят решение при условии высокой зрелости процессов банка и должного качества услуг, предоставляемых ИТ-аутсорсером.

Требования к аутсорсеру

CNews: Какие основные требования предъявляет банк к ИТ-аутсорсеру?

Руслан Вагизов: Банковская сфера более щепетильно, чем любой другой бизнес, относится к соблюдению требований информационной безопасности. Большинство профессиональных аутсорсеров готово к этому и имеет действующий сертификат соответствия стандарту ISO/IEC 27001, который гарантирует заказчику исполнение базовых требований безопасности, а также его способность управлять рисками ИБ на системной и регулярной основе.

В работе с одним из ведущих европейских банков мы использовали предложенную заказчиком двухфакторную аутентификацию для доступа в его инфраструктуру (Citrix XenApp + RSA tokens). Также заказчик проводил мониторинг и аудит всех действий сотрудников на критически важных системах. ICL Services как подрядчик обеспечил проведение регулярных аудитов информационной безопасности, как самим банком, так и независимыми организациями, такими, как BSI.

Одним из основных требований банков является соблюдение конфиденциальности в процессе исполнения договора, а также в течение согласованного срока после его окончания (запрет на разглашение содержания документов и информации любого характера – экономического, технического, коммерческого и т.д.). Что касается требований компании-аутсорсера, то среди них можно выделить наличие начальных процессов управления инцидентами и проблемами, использование в работе ITSM-приложения, а также определенный уровень зрелости управленческих и технологических процессов (мониторинг и оценка эффективности процессов ИБ, четкое распределение ответственности, механизм оперативного оповещения об инцидентах), позволяющий сформировать и эффективно управлять процессом предоставления сервиса.

Зачастую при заключении договора появляются и другие требования. Поэтому процесс формирования партнерских отношений может занять длительное время. Ведь заказчик хочет убедиться в возможностях и компетенциях аутсорсера с учетом планируемых долгосрочных отношений. Мы, в свою очередь, должны понимать основные задачи, которые стоят перед финансовой организацией. Целеполагание поможет нам совместно с банком сформировать оптимально эффективную модель его ИТ-инфраструктуры, отвечающую требованиям высококонкурентного банковского рынка.

CNews: Какая выгода ждет банк при переходе на ИТ-аутсорсинг?

Руслан Вагизов: Главное, что получит банк от перехода на ИТ-аутсорсинг, – это возможность сконцентрировать основные усилия на профильном бизнесе, не выполняя поддерживающие функции. Аутсорсинг дает возможность снизить стоимость владения и сопровождения ИТ-инфраструктуры, тем самым уменьшая себестоимость той или иной банковской услуги.

Можно говорить об ощутимом снижении затрат на обслуживание ИТ-инфраструктуры банка и повышении ее стабильности. На практике за счет внедрения проактивного мониторинга в одном из банков нашей компании удалось снизить количество инцидентов высокого приоритета в 10 раз до 1–2 в месяц.

Банки, только начинающие работать с аутсорсерами, получат свежий взгляд на организацию предоставления ИТ-услуг. Конечно, крайне сложно моментально изменить ситуацию: наладить работу сервис-деск, функционирование ITSM, но, по крайней мере, часто удается сформировать у заказчика хорошее представление о современных подходах к организации эффективного сервиса и предоставить возможность постоянного доступа к технической экспертизе, которой нет у самого банка.

Так, после передачи сервиса поддержки СУБД и Unix-систем одного из банков на поддержку нашей команде, производительность бизнес-критического приложения начала рассматриваться через призму проблем недостаточной мощности серверов и СХД, а не столько через проблему в работе СУБД. Найти другой подход к решению данного вопроса удалось с помощью сертифицированных специалистов нашей компании по СХД, использующейся в банке.

Экономическая эффективность

CNews: Можно ли посчитать эффективность перехода банка на ИТ-аутсорсинг?

Руслан Вагизов: Экономия – это одна из возможностей аутсорсинга. Чтобы эту возможность реализовать, надо поставить корректную и, что важно, достижимую цель экономического эффекта. Этот показатель нужно рассчитать заранее, еще перед обращением к компании-аутсорсеру. Важно учитывать не только прямые затраты на заработную плату ИТ-специалистов, а включать в расчет полный спектр прямых и косвенных затрат: стоимость рабочих мест (включая площади), затраты на поиск и подбор персонала, его обучение и развитие. А также множество других параметров, которые компании зачастую упускают при определении себестоимости владения ИТ-службой, среди них – затраты на управление рисками, организацию, коммуникации, инфраструктуру.

В дальнейшем данные, полученные в результате экономического анализа, используются при расчете стоимости сервиса, подбираются соответствующие уровни обслуживания, оптимизируется состав работ для удовлетворения потребностей в качестве и стоимости сервиса. Все это фиксируется в договоре, и заказчик получает прозрачную и гибкую ценовую модель, которая позволяет легко прогнозировать расходы. Кроме того, в контракте часто фиксируется такой механизм, как productivity gain, позволяющий снижать стоимость сервиса в каждый следующий год обслуживания.

ICL Services оказывает помощь в проведении экономического анализа, так как заказчик не всегда способен самостоятельно произвести правильные расчеты. И, опираясь на наш опыт, можно утверждать, что переход на ИТ-аутсорсинг несет выгоду, в том числе и с экономической точки зрения.

CNews: Если ИТ-аутсорсинг несет экономическую выгоду банку, что сдерживает заказчиков от передачи процессов и функций ИТ на аутсорсинг?

Руслан Вагизов: Если говорить о российской специфике ведения бизнеса, то снижение затрат на поддержку ИТ-инфраструктуры не всегда является ключевой целью при принятии решения о переходе на аутсорсинг. Сдерживающим фактором является боязнь потери части персонала, а также незнание технологических новинок и их удобства для функционирования систем банка.

Руслан Вагизов: Экономия – это одна из возможностей аутсорсинга

Нам приходилось сталкиваться с жесткой политикой информационной безопасности банков. Например, накладывались ограничения на передачу некоторых компонентов ИТ-инфраструктуры. Случается и такое, что ИТ-аутсорсинг полностью запрещен системой безопасности. У заказчиков часто присутствует страх потери контроля над деятельностью ИТ-подразделения. Помимо прочего, руководство банка может полностью устраивать уровень зрелости собственного ИТ-подразделения как по цене, так и по качеству, поэтому острой необходимости в передаче сервисов аутсорсеру у них нет.

CNews: Банкам какого масштаба наиболее выгоден переход на ИТ-аутсорсинг?

Руслан Вагизов: Все компании без исключения могут рассматривать ИТ-аутсорсинг, как эффективную замену локальному ИТ-сервису. Но для перехода необходимо предварительно оценить зрелость: понять главные процессы управления ИТ-услугами, сформулировать конкретные и выполнимые цели преобразований, а также ответить на вопрос: удовлетворяет ли вас текущее управление ИТ-потребностями в компании?

На практике, к ИТ-аутсорсингу чаще всего обращаются крупные банки, имеющие большое количество филиалов. Они отдают на аутсорсинг ИТ-сферу полностью или частично, поддерживая остальную часть собственными силами. Модель «частичной передачи», по которой в настоящий момент и работает ICL Services с большинством заказчиков из банковского сектора, позволяет наглядно сопоставить преимущества и недостатки работы внутреннего ИТ-департамента банка и аутсорсера.

CNews: Работа банка всегда связана с необходимостью предоставлять быстрый и качественный сервис в каждом из офисов. Как решается этот вопрос в случае с их широкой территориальной распределенностью?

Руслан Вагизов: Географическая удаленность филиалов и дополнительных офисов банков сегодня не играет роли при управлении единой ИТ-инфраструктурой, поскольку большинство операций по обслуживанию выполняется удаленно через защищенную корпоративную сеть передачи данных. На техническом уровне скорость доступа к данным и системам может быть повышена с использованием WAN оптимизаторов, распределенной DFS структуры для хранения файлов, локальных кэширующих серверов/прокси. Что касается скорости предоставления сервиса и уменьшения времени на решение задач, то этот вопрос можно решить за счет оптимизации инфраструктуры и внедрения стандартных процессов ITSM, по которым ведется работа.

CNews: Что вы можете посоветовать банкам перед переходом на ИТ-аутсорсинг?

Руслан Вагизов: Работая на международном рынке ИТ-аутсорсинга с 2006 года, мы можем утверждать, что решение о передаче на аутсорсинг внутренних ИТ-сервисов банка, как и любой другой организации, связано с серьезным пересмотром устоявшихся политик безопасности и ключевых понятий, таких как «Периметр информационной безопасности». Банку необходимо четко понимать риски ИТ-аутсорсинга и выбирать адекватные меры по их снижению, используя современные стандарты и лучшие практики управления безопасностью. Отношения с ИТ-аутсорсером должны быть четко регламентированы соглашением об уровне предоставления услуг (SLA). При этом необходимо предусмотреть порядок пересмотра указанных в SLA условий с целью их актуализации с учетом изменений в технологиях и бизнесе банка.

Это позволит снизить риски за счет более четкой регламентации деятельности по обеспечению безопасности, а также более высокой ответственности аутсорсера, закрепленной в сервисном контракте. Также советуем оценить готовность банка, уровень зрелости управленческих и технологических процессов и выбрать опытную и надежную компанию ИТ-аутсорсера, которая сможет эффективно и безопасно поддерживать ИТ-инфраструктуру.