Omnient este o companie românescă, specializată pe managementul riscului și securitate cibernetică, care activeză pe piața românescă de zece ani. Dan Broască, directorul general al firmei, a discutat cu revista Club IT&C pe tema propriei oferte adresate pieţei, o ofertă care pleacă de la o filozofie mai puţin întâlnită.
Club IT&C: Se poate vorbi, pentru zona de securitate date, în mod similar cu zona de tipărire, de pildă, despre oferirea unor servicii de outsourcing de securitate la sediile clienţilor?
Dan Broască: Da, similar zonei de tipărire, toate soluțiile și serviciile noastre vin să susțină afacerea de bază a antreprenorilor sau a corporațiilor cu care lucrăm. Desigur că nu se calculează „prețul pe pagină” ca în cazul tipăririi, în cazul nostru „pe vulnerabilitate”, dar paralela Dvs. este foarte bună. În Omnient am aplicat intern același lucru, astfel încât tot ce nu este domeniu pricipal de activitate este subcontractat.
Fie că vorbim de audit de sistem informatic, test de penetrare, proiectare de arhitectură de securitate IT sau serviciu de tip managed services venim în spijinul managementului companiilor private, cu o redistribuire lunară a costurilor asociate securității pe perioada contractuală de până la 5 ani.
Club IT&C: De fapt, ce înseamnă oferirea de servicii pentru Omnient?
Dan Broască: Unul din primele servicii propuse pieţei încă din 2006 este denumit Security Infrastructure as a Service (SIaaS), cu o diferenţiere clară faţă de Security as a Service sau Infrastructure as a Service care au abrevieri cunoscute pe piaţă cu altă
conotaţie.
Club IT&C: Despre ce este vorba?
Dan Broască: SIaaS este o abordare inovativă a firmei Omnient de subcontractare completă, ce combină avantajele unui contract de tip managed services, cu un plan financiar pentru închirierea infrastructurii de securitate hardware sau software, la care se adaugă expertiza noastră în proiectarea și implementarea unei arhitecturi de securitate personalizate.
Toate acestea elimină efortul financiar asociat unei achiziții noi, reduc riscul în zona de cybersecurity prin eliminarea rapidă a breșelor de securitate și conduc la menținerea unui nivel de securitate ridicat prin asistență tehnică specializată pe toată perioada contractată. Acolo unde există o infrastructură IT și de securitate funcțională, finanțăm îmbunătăţirea sau dezvoltarea ei pe segmentul securității informatice, echipa noastră întreține infrastructura de securitate ca o extensie a departamentului IT al clientului.
În spate există, desigur, un produs financiar, asigurat din surse proprii sau după caz din surse atrase, un contract de managed services în regim de SLA(Service Level Agreement) pentru un sistem de securitate care se potrivește cel mai bine cerințelor clienților noștri.
Sub același contract de SLA (Service Level Agreement) se oferă și accesul la un centru de suport la incidente, cu un timp de răspuns de la distanță de maxim 1 oră și o intervenție la sediul clientului de maxim patru ore. Am înregistrat succes cu această ofertă de servicii de securitate gestionate de la distanţă deoarece, cred eu, balanţa costurilor implicate înclină cert în favoarea unor astfel de servicii prin comparație cu costurile asociate personalului specializat intern. Există opțiunea de cumpărare a echipamentelor vechi sau reînnoirea lor într-un contract nou.
Club IT&C: Care ar fi reticenţa legată de răspândirea adoptării serviciilor de securitate?
Dan Broască: În cadrul culturii de securitate, pentru anumite standarde sau coduri de bune practici, externalizarea figurează ca factor de risc. Dincolo de avantajele evidente legate de costurile mai mici și eliminarea problemelor cu recrutarea personalului IT, există o mână străină care are grijă de infrastructura funcțională IT, de informațiile și documentele electronice ale firmei.
În altă ordine de idei, cred că ţine de mentalitate, în România există cultura specifică a persoanei tehnice care se pricepe la toate; de la fotbal şi maşini, acest modus vivendi s-a extins ușor și la IT și securitate.
Apăsăm toate butoanele din meniu, iar dacă nu merge sunăm la un specialist sau, eventual, la final citim documentația tehnică. Trebuie spus însă că pentru firmele care vin de afară, cu o cultură occidentală solidă, astfel de reticenţe nu există.
Club IT&C: Multe companii, şi există astfel de exemple şi în România, îşi mută fluxurile de activitate IT în cloud, în special într-un cloud privat. Cum poate o firmă precum Omnient să asigure zona de securitate şi pentru astfel de firme?
Dan Broască: În timp ce cloud computingul are numeroase beneficii, există o serie semnificativă de riscuri potențiale legate de confidențialitatea datelor în cloud.
Protecţia datelor nu este sută la sută garantată nici de furnizorii de servicii de cloud public, existând excepții de responsabilitate încă de la contractare, prin acceptarea termenilor și conditiilor de utilizare.
Este nevoie de o cu totul altă abordare aici, iar noi încurajăm și susținem prin programul SIaaS dezvoltarea cloud-ului privat.
Abordarea noastră pleacă de la procesul de migrare a datelor în cloud, unde specialiștii Omnient au dezvoltat o metodă de evaluare a oportunității de adoptare sau nu a unei soluții în cloud.
Argumentele sunt generate pe baza raportării la standardele internaționale de securitate sau a codurilor de bune practici, iar acestea urmăresc trei domenii specifice ale securității informațiilor:
În primul rând, pentru firmele multinaționale, am implementat deja cu succes în ultimii ani planuri de continuitate a afacerii și recuperare după dezastru precum și servicii de migrare a datelor sau a infrastructurii proprii în cloud public sau privat.
Prin intermediul SIaaS acoperim tehnologii de securitate multiple în cloud începând de la Securizarea Infrastructurii interne și a aplicațiilor în cloud, managementul identității, securizarea accesului, criptarea comunicațiilor și orice altă tehnologie necesară protecției personalizate și eficiente. Spre deosebire de soluțiile de cloud public, în care contractul acoperă nivelul operațional, la serviciile noastre SIaaS pentru cloud-ul privat, clientul își păstrează controlul total și direct asupra arhitecturii proprii.
O a treia componentă se referă la conformitatea cu reglementările în vigoare, la partea juridică și implicit la auditul de sistem informatic. Acest serviciu nu este unul specific doar modului de operare în cloud, ci este un serviciu pe care-l recomandăm ca prim pas în evaluarea oricărei infrastructuri. Efectuăm de peste 10 ani servicii de audit în secundă parte pentru Ministerul Comunicațiilor și Societății Informaționale din România, Sisteme de Internet Banking, Sisteme Electronice de Plată (SEP comandat de Transfond), Audit de Arhivă Electronică, Sisteme Public Key Infrastructure PKI și suntem în curs de avizare la Autoritatea de Supraveghere Financiară pe norma 6.
Club IT&C: În România există câţiva furnizori de servicii de cloud cu centre de date în proprietate. Există interes din partea dumneavoastră de a colabora cu astfel de furnizori?
Dan Broască: Până acum colaborările noastre s-au redus la audituri de arhivă electronică și teste de penetrare, pe care le efectuăm periodic pentru câteva din aceste centre de date.
Ajungem tot mai des la acești furnizori de servicii de cloud atunci când suntem solicitați contractual de clienții noștri și sperăm, ca pe viitor, să contractăm servicii recurente directe cu posesorii acestor centre de date.
Club IT&C: Revenind la zona de servicii gestionate de la distanţă, către ce se va îndrepta ea, având în vedere avansul cloudului?
Dan Broască: În principiu, pentru cei care vor să-şi păstreze controlul total asupra datelor, tendinţa va fi cea de cloud privat.
Iar acolo va fi în continuare nevoie de securitate, de administrare, şi servicii profesionale specializate. Ca atare, zona de servicii gestionate de la distanţă va rămâne de actualiate, oferită ca serviciu recurent.
Tendinţa tehnologiilor de securitate este de a deveni din ce în ce mai scumpe, deoarece se merge tot mai mult pe zona de analiză inteligentă a datelor de securitate, stocate și corelate sub umbrela „Big Data” peste care se rulează algoritmi analitici de complexitate mare. Iar dezvoltarea unor asemenea soluţii SOC( Security Operation Center) de securitate cibernetică costă foarte mulţi bani.
Club IT&C: Se va merge către dezvoltarea unor centre operaţionale de securitate, ca activitate de sine stătoare?
Dan Broască: Da, în mod cert aceasta este următoarea tendință în securitate cibernetică și pentru a putea oferi astfel de servicii am semnat un contract de parteneriat cu o firmă din Israel, iar împreună oferim și în România toate serviciile specifice unui astfel de centru operațional de securitate SOC ( Security Operation Center).
De pildă, partenerul nostru deține un astfel de centru operaţional de securitate funcțional, prin intermediul căruia oferă servicii complexe de securitate cibernetică. Aş vrea să se înţeleagă că activitatea din astfel de centre este aproape de tip militar, operatorii fiind în stare permanentă de alertă cibernetică, iar instruirea lor este una specifică.
Mai mult, în astfel de centre se lucrează la protecţia datelor și sistemelor critice de interes național, care se extind la echipamentele de comandă şi control al echipamentelor industriale de tip SCADA.
Acestea din urmă sunt sistemele folosite de utilităţi publice de tipul SmartGrid al furnizorilor de energie, în distribuția de gaz și apă, sau de regiile de transport.
După cunoștința mea, în România, cu excepția unor organizații de tip CERT și CYBERINT cu cunoștinte specializate pe atacurile IT, nu există soluţii specifice de contracarare a atacurilor cibernetice îndreptate împotriva unor astfel de sisteme industriale mari, dar există o preocupare crescută în acest sens.
Personal, mi-aş dori să înfiinţez sau să fiu parte la înființarea unui astfel de centru operaţional de securitate în România, însă costurile sunt uriaşe. În prezent suntem în discuţii cu partenerul nostru extern, dar rămâne de văzut ce se va concretiza în viitor.