Две неплохие, на первый взгляд, идеи. Аутсорсинг в области безопасности и хранения данных. Хранение -- это абсолютно необходимый элемент, поскольку компании набирают все больше и больше данных, и все настаивают на том, чтобы эти данные были доступны в онлайн-режиме 24 часа в сутки 7 дней в неделю и 365 дней в году. С безопасностью дело обстоит аналогично. Но можно ли доверять внешним компаниям управление безопасностью и хранение вашей информации?

Аутсорсинг функций безопасности

Идея платить кому-то за то, чтобы он следил за безопасностью вашей информации, -- это, по мнению подавляющего большинства экспертов, разумная бизнес-стратегия. Практически все предприятия, большие и маленькие, могут выиграть от аутсорсинга некоторых функций безопасности. Однако чем меньше ваша компания, тем больше шансов, что вам понадобятся услуги третьих фирм при управлении значительной частью ваших функций безопасности.

Сейчас существуют десятки специализированных компаний по аутсорсингу безопасности, которые также называются провайдерами управляемых услуг безопасности (MSSP, managed security service providers). Среди ведущих MSSP-компаний - Riptech (www.riptech.com), Internet Security Systems (www.iss.net), Counterpane Internet Security (www.counterpane.com), Foundstone (www.foundstone.com) и Guardent (www.guardent.com). Их услуги, как считает старший аналитик IDC Аллан Кери, пользуются определенным, хотя и не очень большим спросом. Несмотря на тяжелые удары в 2001 году, IDC прогнозирует, что спрос на услуги управления безопасностью будет расти, причем средний годовой прирост его составит 28%. По словам Кери, объем американского рынка в этом секторе в 2000 году составлял $720 млн, а в 2005 году он должен вырасти до $2,4 млрд.

Наиболее популярные комплексы услуг MSSP-компаний включают выбор, установку и мониторинг трех ключевых систем: корпоративной firewall-защиты, виртуальной частной сети и системы отслеживания вторжений. Все более популярными становятся также антивирусные услуги и фильтрация веб-контента. Все эти услуги могут приобретаться как по отдельности, так и в комплекте в зависимости от потребностей компании. Цены, как привило, строятся на одной из двух моделей: плата либо базовая помесячная, либо зависит от количества систем и устройств.

При заключении контракта эксперты советуют в первую очередь обратить внимание на следующие моменты: производит ли MSSP-компания мониторинг ваших систем 24 часа 7 дней в неделю, в любое ли время готова разрешить возникшие проблемы, сколько людей в центре MSSP будут готовы предложить вам свою помощь как для повседневной полдежки, так и при возникновении проблем, а также в какой срок поставщик услуг обязуется отреагировать на проблемы безопасности. Кроме того, к сожалению, во взаимоотношениях с MSSP-компаниями довольно много деликатных моментов, в которых вам предстоит разобраться. Например, не исключено, что все ваши контрольные журналы будут предоставляться вам в неотредактированном виде. Тогда вам придется самим просматривать их и выяснять, где находятся уязвимые звенья вашей сети. Или же ваша MSSP-компания будет сама собирать и анализировать эти журналы, предоставляя вам лишь краткий отчет, в котором собрана сводная информация по уязвимым точкам сети. Аналогично при возникновении проблем.. их разрешением (нахождением и устранением неисправности в вашем помещении или за его пределами) будет заниматься либо MSSP, либо вы сами. Вы должны очень внимательно изучить, что именно вы покупаете (и это должно быть включено в контракт), и разобраться, на кого ложится ответственность в случае возникновения проблем - на поставщика услуг или на клиента.

Но, наверное, самая большая проблема, -- это надежность компании. Например, неожиданно закрылись, даже не предупредив своих клиентов, две компании, специализировавшиеся на услугах безопасности, -- Pilot Network Services и Salinas Group. «А ведь компании Pilot и Salinas работали на рынке довольно долго, - говорит Кери. - Поэтому многие из потенциальных клиентов требуют у MSSP-компаний предъявления не только рекомендаций клиентов, но и финансовых отчетов, чтобы убедиться в их финансовой стабильности». Большинство поставщиков, даже частные компании, готовы предоставить финансовую информацию потенциальным клиентам при условии ее неразглашения.

Но и этого, видимо, может оказаться недостаточно. Эксперты советуют, никогда не осуществлять аутсорсинг всех ваших функций безопасности. «Компании по аутсорсингу не должны быть вашей единственной защитой, - предупреждает Кейт Куирк, аналитик компании AMR Research. - Вы должны хранить свою интеллектуальную собственность, инфраструктуру публичного ключа и схему идентификации под рукой - в ведении внутреннего администратора безопасности. Не нужно, чтобы у внешних лиц был полный и безграничный контроль над всем», - говорит она. Начинать аутсорсинг лучше понемногу - с одного или двух компонентов безопасности, затем следует оценить эффект, и, если результат вас удовлетворит, можно осуществлять аутсорсинг других компонентов. «Аутсорсинг управления безопасностью может быть проведен поэтапно», - считает Кери.

Аутсорсинг в области хранения данных

Хранение корпоративных данных - важнейшая из всех функций ИТ-отделов, расходы на которую составляют 60% от общих ИТ-расходов американских компаний. Но, даже несмотря на внимание, которое уделяется этой проблеме, согласно исследованию компании Intel, в 55% случаев виновным в простое IT-систем оказывается сбой систем хранения данных. Аналитики утверждают, что круг вопросов, связанный с хранением данных, требует больше времени и усилий, чем любые другие ежедневные задачи системных администраторов, за исключением разве что администрирования паролей. Впрочем, честно говоря, точных цифр на этот счет нет. Почти не проводилось исследований, в которых изучалось бы, кто отвечает за администрирование хранения, сколько платят этим людям и сколько усилий реально затрачивается на администрирование хранения.

Идея применить к области хранения данных подход аутсорсинга появилась около десяти лет назад. Цель очевидна -- снизить расходы, которые и без того являются одной из главных проблем индустрии хранения. Одного этого достаточно, чтобы аутсорсинг хранения и управления хранением данных приобрел бешеную популярность. Именно на волне этой идеи, а также жирных бюджетов 1990-х годов появились на сцене множество поставщиков услуг хранения (SSP, storage service providers) первого поколения. Однако, оказалось, что для большинства крупных корпораций, на которые нацелились молодые SSP-компании хранение данных имело слишком большую ценность, чтобы можно было кому-либо доверить эту задачу. Поэтому неудивительно, что сейчас большинство SSP-компаний 90-х уже успели исчезнуть. А такие компании, как Storability и StorageNetworks, поняв, что крупным компаниям интересны не они, а только их ПО, проводят реорганизацию с тем, чтобы начать предоставлять услуги SLA-управления хранением.

Потребность крупных компаний в аутсорсинге услуг хранения была явно переоценена. Но и ИТ-компании вели себя далеко не лучшим образом. Представители ИТ-индустрии до сих пор не могут договориться относительно общей модели хранения, поэтому каждую платформу нужно администрировать по отдельности. Поставщики оборудования не могут прийти к соглашению в отношении общих методов хранения и предлагают фирменные и несовместимые с другими функции, которые вынуждают поставщиков программ управления тратить массу времени на создание драйверов устройств, вместо того чтобы заниматься автоматизацией функций управления, которая действительно позволила бы сэкономить деньги. Они постоянно спорят по мелочам, обсуждая реализации тех или иных стандартов, в то время как компании тратят огромные средства на управление хранением.

Но неужели компаниям совсем не интересно осуществлять аутсорсинг управления хранением?

В том виде, как это понимали SSP-компаний 90-х, - нет. За 10 лет крупные компании так и не пришли к аутсорсингу в этой области. Но это совсем не значит, что подход аутсорсинга вообще неприменим к задачам хранения данных. Необходимо только изменить две ключевые вещи - рыночную нишу и содержание услуги.

Таким образом, во-первых, аутсорсинг функций хранения гораздо важнее для средних компаний, чем для крупных. Компании среднего бизнеса, мечтающие стать членами списка Fortune 500, работают в других экономических условиях. Им, как правило, не хватает персонала и ресурсов для того, чтобы эффективно управлять разрастающимися хранилищами. Для них пара умелых рук -- большое подспорье, и здесь идея аутсорсинга находит отклик. И, во-вторых, этим фирмам необходим выборочный аутсорсинг отдельных задач, а не всей функции хранения данных.

Компания StorNet, уже более 10 лет предлагает услуги по разрешению проблем и оптимизации использования своих программных продуктов Legato и Veritas, предназначенных для хранения данных. Изюминка в том, что StorNet позволяет клиентам осуществлять выборочный аутсорсинг отдельных, наиболее дорогостоящих компонентов: мониторинг состояния данных и разрешение проблем с ПО. StorNet использует приложение собственной разработки для сбора информации по состоянию систем, установленных на платформах хранения пользователя. В одном варианте эта информация хранится у клиента и обрабатывается персоналом технической поддержки StorNet, когда клиент просит сообщить о возможных проблемах. В другом варианте клиент может открыть постоянное окно из своей системы хранения в операционный центр StorNet, доверяя поставщику услуги решение профилактических задач по предотвращению возможных проблем.

Услуги StorNet не панацея, компания не дает всеобъемлющего решения проблем хранения данных, но предлагает лишь более совершенные функции управления и поддержки. Тем не менее, как это ни странно, аутсорсинг услуг StorNet оказывает серьезное влияние на один из параметров TCO, а именно на время простоя. При правильной реализации и использовании данных, предоставляемых функциями отчетности и мониторинга, можно предотвращать стандартные ошибки, а следовательно и время простоя.

Аутсорсинг отдельной задачи

Услуги StorNet, а также услуги по аутсорсингу отдельных компонентов системы безопасности -- примеры того, что обозначают термином out-tasking - аутсорсинг отдельной задачи. Подход out-tasking, сейчас только зарождается, но, по мнению части аналитиков, имеет большое будущее. В отличие от полного аутсорсинга всех операций он не революционен, не глобален и не требует от ИТ-директоров сложных расчетов. Аналитики на сомневаются, что скоро появится значительное количество фирм, предлагающих услуги out-tasking. Оценивая предложения фирм - поставщиков такого рода услуг, следует помнить несколько вещей.

Хранение корпоративных данных - важнейшая из всех функций ИТ-отделов, расходы на которую составляет 60% от общих ИТ-расходов компаний. Однако, согласно исследованию компании Intel, в 55% случаев виновным в простое IT-систем оказывается сбой систем хранения данных.

1. Сформулируйте для себя, что именно вы хотите получить с помощью подхода out-tasking. Установите желаемое значение экономии средств или другой измеримый показатель успешности, который поможет вам оценить эффективность выбора после достаточно короткого испытания.

2. Подготовьте пути отступления. На тот случай, если что-то будет работать не по плану, включите в сервисное соглашение условие, предусматривающее передачу услуг либо другому провайдеру, либо персоналу вашей компании.

3. Уделите пристальное внимание безопасности. Учитывая различные уязвимые точки, которые ежедневно обнаруживаются в веб-серверах, браузерах и протоколах, вам следует оставлять для хакеров как можно меньше путей для взлома.

4. И наконец, не ожидайте чудес. Если у вас возникали проблемы при управлении вашей разрозненной инфраструктурой хранения, не думайте, что аутсорсинговая компания сумеет сразу же их разрешить. Такого рода ожидания гарантируют взаимное недопонимание и взаимное недовольство.