การเลือกเอาต์ซอร์ส MSSP อย่างถูกวิธี (Guide to outsourcing)

07 Nov 2007

กรุงเทพฯ--7 พ.ย.--แอทยัวร์เซอร์วิส

โดย Drew Savage, Global Alliances – MSSP Manager, Fortinet Inc

1. ผู้จัดการแผนกเทคโนโลยีสารสนเทศจำเป็นต้องถามอะไรก่อนที่จะมีการ เอาต์ซอร์สด้านความปลอดภัย? (คำถามที่ต้องการคำตอบอย่างชัดเจน)

การทำให้คุณสับสนด้วยการโหมกระหน่ำข้อมูลที่เกิดจากการโฆษณาเกินจริงและ กรณีที่เกิดการตื่นตัวกับการรักษาความปลอดภัยโดยทั่วๆไปกับคุกคามที่ปรากฏออกมา ความซ้บซ้อนของโครงสร้างพื้นฐานและเครื่องมือสำหรับธุรกิจทุกขนาดองค์กรมักจะเป็นสิ่งยากที่จะกำหนดว่าอะไรเป็นสิ่งที่ดีที่สุดสำหรับการพิจารณาตัดสินใจว่านี่ควรจะเป็น เอาต์ซอร์สสำหรับการรักษาความปลอดภัยของคุณ อันเป็นคำถามทั่วๆไปที่คุณควรจะถามตนเองก่อนทุกครั้ง ก่อนที่จะตัดสินใจเลือกว่านั่นคือ เอาต์ซอร์ส อย่างที่ต้องการ

อะไรเป็นส่วนสำคัญของเทคโนโลยีที่คุณต้องใช้ในการจัดการเรื่องบริการจัดการด้านความปลอดภัยที่จะช่วยปกป้องเราได้ในอนาคตหรือภัยคุกคามที่เข้ามาก่อกวนการดำเนินธุรกิจของเรา?

ขณะที่เกิดภัยคุกคามล่าสุดหรือกำลังระบาดอยู่ในระยะเวลานั้นๆจะถูกกันให้ห่างจากเราในแม้ขณะที่เรากำลังนอนหลับอย่างไม่รู้ตัว - แต่คุณแน่ใจหรือว่าเวลาที่ภัยร้ายเหล่านั้นได้เปิดเผยตัวออกมาขอมีส่วนร่วมกับธุรกิจของคุณกับอุปกรณ์รักษาความปลอดภัยที่คุณมีอยู่ในขณะนั้นมันสามารถแก้ปัญหาหรือบรรเทาความเสี่ยงลงได้ เป็นสิ่งที่ต้องพิจารณาให้รอบคอบและครบถัวนสำหรับเครื่องมือหรือโครงสร้างพื้นฐานที่ถูกกำหนดมาอย่างแน่นอนแล้วว่าสามารถให้บริการจัดการดังที่ต้องการได้

ความต้องการด้านการรักษาความปลอดภัยของเราถูกผลักดันโดยเครื่องมือเพียงไม่กี่ชิ้น ที่รวมชุดการบริการไว้สมบูรณ์อย่างที่เราต้องการ

ตัวอย่างเช่น ระบบมีการรองรับความต้องการและการเข้ามาของ VOIP– อันควรจะรวมอยู่ในระดับหนึ่งของระบบรักษาความปลอดภัย?โดยโครงการเริ่มต้นที่เป็นตัวอย่างของการปรับเปลี่ยนจาก VOIP เอาต์ซอร์สมักจะเป็นเวลาที่การรักษาความปลอดภัยมาทีหลัง ในช่วงแนะนำตัวนั้นสิ่งที่เพิ่มเข้ามาถือว่าเป็นความเสี่ยงที่ไม่ควรมาทีหลัง มันไม่กระทบกับต้นทุนมากเกินไปสำหรับการติดตั้งระบบที่มีทั้ง2 โซลูชั่นอยู่ด้วยกันจากผู้ผลิตเพียงรายเดียว หากมองกลับไปและทำการเพิ่มโซลูชั่นเข้ามาภายหลัง การกำหนดอะไรที่ถ้าหากเป็นการเพิ่มความเสี่ยงสำหรับระบบโครงสร้างและถ้าหากมีการรวมกันระหว่าง VoIP และ MSSP จะช่วยให้คุณประหยัดเวลาในการติดตั้งระบบได้มากกว่าค่าใช้จ่ายโดยรวมนัก ในโลกเดียวกันการประยุกต์สำหรับสิ่งที่ไม่ให้การบริการเรื่องรักษาความปลอดภัยนั่นเป็นสิ่งที่คุณต้องพิจารณา

ฉันหวังว่าการรักษาความปลอดภัยจากภายนอกจะดีเท่าๆกับส่วนอื่นๆในระบบที่มีอยู่ คุณสามารถนำเสนอโซลูชั่นที่เพียงพอกับความต้องการของเราได้จริงหรือ?

หลายๆครั้งที่มีส่วนประกอบมากมายสำหรับธุรกิจของคุณได้รับประโยชน์โดยตรงภายใต้การจัดการเพียงหนึ่งเดียวจากผู้ให้บริการรายเดียว สัดส่วนการทำงานทั้งหมดต้องมีการขยายไปรวมอยู่กับเอาต์ซอร์สรวมถึงต้นทุนในการติดตั้งชุดอุปกรณ์ที่นำมารวมไว้ด้วยกัน หลายๆครั้งที่การเข้ามาของรายได้มาจากการจัดการโดยเอาต์ซอร์สนำมากำหนดคุณสมบัติโดยทั่วๆไปของโครงสร้างพื้นฐานและส่วนประกอบมากมายที่คุณต้องการในระบบการรักษาความปลอดภัยจากหนึ่งผู้ผลิต ภาพรวมทั้งหมดนี้แสดงให้เห็นถึงการเปลี่ยนแปลงต้นทุนและการลดเวลาในการจัดหาอุปกรณ์ใหม่ๆ การยกระดับของระบบและแอพพลิเคชั่น

ตัวแปรสำคัญในการพิจารณา MSSP – ความไม่เอาใจใส่ถ้าหากว่าพวกเค้าไม่ได้เป็นผู้เชี่ยวชาญ MSSP หรือเป็นเพียงผู้ให้บริการรักษาความปลอดภัยที่เป็นเพียงส่วนหนึ่งของการรักษาความปลอดภัยแบบหลายระดับขั้นที่มากกว่ากว่าการนำเสนอโซลูชั่น – แล้วคุณจะไว้ใจพวกเขาได้แค่ไหน การไว้ใจเพื่อที่จะเข้ามาแทนที่ในหลายๆรูปแบบ – คุณสามารถไว้ใจว่าพวกเขาจะจัดเตรียมงบประมาณไว้ในระดับที่สามารถหลีกเลี่ยงความเสี่ยงได้ ในสถานการณ์ที่เกิดวิกฤตการณ์ขึ้นมา ความต้องการการรักษาความปลอดภัยที่มีความสามารถเพียงพอ มีบางอย่างที่เอาต์ซอร์สสามารถทำได้โดยไม่ต้องเป็นปรปักษ์หรือขัดแย้งกับธุรกิจของคุณ การทำงานโดยให้ความไว้วางใจผู้ร่วมงานด้วยการกำหนดคำตอบสำหรับคำถามสำคัญนี่เป็นสิ่งสำคัญก้าวแรกที่จะนำไปสู่ประสบการณ์ที่ดีเมือคุณต้องการเอาต์ซอร์สที่เชี่ยวชาญด้าน MSSP

2. พวกเขาจะสามารถทำการทดสอบกับผู้จัดจำหน่ายถึงขนาดและความสามารถที่แท้จริงก่อนที่จะทำการติดตั้งได้อย่างไร?

ต้องถามถึงการทดลองใช้

ต้องมีการทดสอบการทำงานของผลิตภัณท์

มีทดสอบผ่านระบบการรายงานผล

มีการทดสอบความสามารถในการแจ้งเตือน

มีความชัดเจนในเรื่องข้อกำหนดของระดับการให้บริการ

ทุกวันนี้การจัดการรักษาความปลอดภัยที่ผู้ผลิตได้นำเสนอนั้นแทบจะทุกรายต้องมีเวอร์ชั่นให้ทดลองใช้หรือมีการจัดสัมมนาทางด้านเทคนิคให้ผู้ใช้ได้มีการทดสอบบริการก่อนที่จะเซ็นต์สัญญาหรือออกแบบสอบถามผู้ใช้ถึงอนาคตข้างหน้ากับโอกาสในการทดลองใช้ออฟชั่นอื่นๆจากบริการการจัดการรักษาความปลอดภัย

หัวใจสำคัญของการจัดการด้านการรักษาความปลอดภัย มีหลากหลายรูปแบบ ทั้งในเรื่องของการรายงานผล, ช่องทางส่งผ่านข้อมูลและการแจ้งเตือนผ่านการลงทะเบียนที่เป็นส่วนหนึ่งของการบริการ คูณต้องถามถึงสัดส่วนที่ MSSP ได้จัดเตรียมไว้ว่าสำหรับการทดสอบการรายงานผลต้องเป็นส่วนประกอบในการนำเสนอด้วยเพื่อเพิ่มความมั่นใจว่านี่จะเป็นข้อมูลจริงๆ สำหรับ MSSP การรายงานผลต้องสะดวก เข้าใจได้ง่ายและในบางกรณีการจัดการต้องดีพอๆเหมาะกับสัดส่วนในแต่ละท้องถิ่นรับบริการรักษาความปลอดภัยที่ MSSP ได้จัดไว้ให้ – และในรายงานฉบับเดียวจากหลายๆแห่งต้องแสดงให้เห็นทั้ง 10 เหตุการณ์วิกฤตที่เกิดขึ้น เกิดที่ไหน ระหว่างเหตุการณ์ที่เป็นอยู่ใน ณ. ที่นั้นและขณะนั้น

การวิพากย์วิจารณ์การทำงานของ MSSP ตัวอย่างคอนเทนท์ฟีเจอร์ การแจ้งเตือนสำหรับบริการจัดการรักษาความปลอดภัย มีเหตุการณ์มากมายที่บริการไม่ได้เป็นสิ่งที่ผู้ใช้งานให้ความสนใจถึงการสื่อสารอย่างทันทีทันใดกับผู้ให้บริการ ตัวอย่างเช่น ถ้ามีการโจมตีด้วย DoS เข้าไปที่ศูนย์กลางเครือข่ายในขณะที่มีการเฝ้าระวัง และยังคงต่อเนื่องไปยังเว็บเบสที่เป็นแอพพลิเคชั่นของคุณด้วย นี่เป็นสิ่งจำเป็นที่ต้องเรียกหา MSSP เพื่อที่จะได้มีผู้มาเตือนเราอย่างเหมาะเจาะพอดีในเวลาที่องค์กรของคุณไม่มีความแน่ใจว่าจะโดยเข้าโจมตีเมื่อไหร่ การลงทะเบียนสมาชิกเพื่อขอรับข้อมูลและสามารถที่จะตอบสนองสิ่งที่อยู่นอกเหนือจากขั้นตอนการบรรเทาปัญหาที่เป็นที่ต้องการ

ช่องทางเข้าที่เปิดอยู่ทุกเวลา ทุกที่ โดยการเลือกทรัพยากรที่มีความเสี่ยงสำหรับการทำงานที่ลื่นไหลจากการจัดการรักษาความปลอดภัยที่อยู่ภายนอก เมื่อมีการถามถึงการทดสอบในเรื่องของการรายงานผลและการแจ้งเตือนภัยและความสามารถในการทะลวงเข้าไปยังช่องทางอื่นๆรวมทั้งความสามารถทั้งหมดที่มีอยู่

SLA (Service Level Agreement) เมื่อเกิดวิกฤตขึ้นมาในระบบ ต้องถามคุณว่า MSSP ที่กำหนดระดับของการให้บริการไว้นั้นได้นั้นได้ให้อธิบายรายละเอียดอะไรๆได้ไม่ครอบคลุม MSSP จะต้องสามารถอธิบายได้อย่างชัดเจนถึงกระบวนการแนะนำต่างๆและการขยายระเบียบวิธีปฏิบัติออกไป

3. อะไรที่เป็นกระบวนการยึดติดในระหว่างการแลกเปลี่ยนความรู้

สิ่งสำคัญอันดับแรก จากรายละเอียดของการดำเนินธุรกิจที่ซับซ้อนในแต่ละที่ได้มีการออกแบบระบบที่เป็นการรวมจุดการเชื่อมต่อจาก MSSP ได้ดีพอๆกับการที่ผู้ใช้งานจะส่งผลที่เกิดขึ้นเพื่อประสานออกไปยังเอาต์ซอร์สภายนอก โดยทั่วไปแล้วการกระทำเช่นนี้มักเป็นโดยธรรมชาติตามโปรแกรมที่วางไว้ ขณะเดียวกันการรักษาความปลอดภัยหรือผู้เชี่ยวชาญจะต้องรู้ในเรื่องนี้เป็นอย่างดี โดยวิธีที่จะนำไปสู่เป้าหมายที่วางไว้นั้นจะต้องได้รับการจัดเตรียมเอาไว้แล้วทั้งสองด้านซึ่งเป็นตัวแปรสำคัญที่จะนำไปสู่ความสำเร็จระหว่างคุณกับเอาต์ซอร์สด้านความปลอดภัย จากระดับบนลงมาตามเป้าหมายที่วางไว้

การพัฒนาโซลูชั่น

การพิจารณาแนวคิด

การยอมรับโซลูชั่น

การกำหนดระดับความสำคัญในแต่ละที่ด้วยตารางการทำงานทั้งหมด

การยอมรับตารางงาน

นำไปใช้

นี่เป็นจุดมุ่งหมายหลักที่ต้องทำให้ชัดเจนในการสื่อสารระหว่างทีมงาน ทีมต้องประกอบด้วย MSSP และการลงทะเบียนสมาชิกเพื่อที่จะได้เข้ามาประชุมประจำอาทิตย์เพื่อให้แน่ใจว่าไม่มีช่องว่างให้เห็นหรือปิดช่วงว่างนั้นได้

4. การเลือกที่ปรึกษาจากภายนอกนั้นมักจะอยู่ในระยะบังคับ จำเป็นต้องเลือกด้วยระยะเวลาบังคับหรือสามารถที่จะทำได้สบายๆโดยไม่ต้องให้เป็นเรื่องใหญ่โต?

มีตัวแปรต่างๆที่เป็นสิ่งขับเคลื่อนในการผลักดันหรืออาจมีหมายกำหนดการในการทำสัญญาการรักษาความปลอดภัย ระยะเวลาของความต้องการตามมาด้วยตัวแปรที่รวมอยู่ในข้อเสนอ

ส่วนประกอบของโซลูชั่น เมื่อธุรกิจหลายๆแห่งได้เพิ่ม VPN เข้าไป ตัวอย่างของระยะที่เข้าใกล้ความต้องการ “Head End” สิ่งที่ต้องจัดการเป็นอย่างแรก คือเมื่อเราทำการสั่งการไปยังแต่ละที่ด้วยคำสั่งสำคัญ

ถ้ามีโครงการแทนที่ไฟล์วอล์หนึ่งกับไฟล์วอล์อื่นๆและไม่ต้องการให้เกิดการล่มของวินโดว์ หากเกิดการตรวจพบถือว่าเป็นขั้นวิกฤตในการทำงานตามติดมากับโซลูชั่นใหม่และการเปลี่ยนไปเป็นโซลูชั่นใหม่ที่อยู่ในระยะที่ยังไม่สามารถแทนที่ได้ทำให้เกิดการกระทบกระเทือนต่อตัวอุปกรณ์และการบริการที่คุณพยายามจะปกป้อง

หากว่าเทคโนโลยีรักษาความปลอดภัยหรือความสามารถในการติดตั้งระบบเป็นหน้าที่ของผู้ผลิตที่ต้องแน่ใจในความสามารถการทำงานร่วมกัน ตัวอย่างเช่น ถ้ามีโซลูชั่นที่รวมเอาการป้องกันไวรัส การกรองเนื้อหาเว็บไซด์ การป้องกัน ไฟล์วอลล์ และการป้องกันสแปม ผู้ผลิตมักจะต้องจัดเตรียมชุดของโซลูชั่นไว้อย่างครบถ้วนบริบูรณ์ในเวลาเดียวกับที่มีการลดเวลาในการรวมกันในแต่ละเฟส

MSSP ก้าวสู่ตลาด

ไม่นานมานี้ยุคที่ MSSP ได้ก้าวไปสู่ความต้องการของตลาดด้วยวิธีการที่เมื่อคุณมีความประสงค์อยากจะให้ MSSP เข้ามาสู่องค์กรของคุณด้วยการปรับปรุงรูปแบบให้เป็นหนึ่ง ด้วยการจัดเตรียมที่รวมเป็นฟีเจอร์เริ่มต้นของบริการและถูกต้องตามความต้องการ การตรวจสอบอย่างใกล้ชิดด้วยตารางการทำงานและการเลือกวิธีการในการนำเสนอ การขยายตัวอย่างรวดเร็วหรือ การแสดงออกอย่างรุนแรง นี้เป็นวิธีการที่ MSSP นำมาใช้เพื่อนำเสนอตัวเอง ท กำหนดการทำงานของคุณเอง

บ่อยครั้งที่การกำหนดระยะเวลาการทำงานสำหรับการจัดเตรียมความพร้อม ถ้าเวลาที่วางไว้สำคัญสำหรับการเลือก MSSP ของคุณแล้วล่ะก็คุณต้องมั่นใจว่านี่เป็นทิศทางที่จะใช้พิจารณาทุกๆครั้งก่อนที่คุณจะเข้าสู่กระบวนการคัดเลือก

การไม่มีส่วนประกอบของโซลูชั่นการรักษาความปลอดภัย

อย่างเช่นว่า ถ้าหากว่าคุณเปลี่ยนจาก Wan ไปยังการเข้าอินเตอร์เน็ตโดยเพิ่ม MPLS หรือ IPSec VPN ที่เป็นเครือข่ายส่วนตัวเข้าไปยังวงจรของการติดตั้งและกระจายไปทั่วโลกด้วยระยะเวลาประมาณ 35 วันหลังจากการสั่งซื้อ ขญะที่ถ้าหากยังมีการไหลออกมาของการใช้งานในขญะเดียวกับที่คุณกำลังเลือก MSSP ที่เสนอแต่เพียงการจัดการรักษาความปลอดภัยเพียงอย่างเดียว และไม่เกี่ยวกับการบริการด้านไอทีที่เหมาะสม ขณะเดียวกับที่โครงสร้างพื้นฐานอันเป็นส่วนประกอบสำคัญ ตัวอุปกรณ์รักษาความปลอดภัย การสมัครขอใช้บริการ และการสั่งซื้อยังต้องรอเวลาอยู่

การจัดเตรียมข้อมูลที่ต้องการไปยัง MSSP

บ่อยครั้งที่การจัดการทรัพยาการให้ตรงตามความต้องการกับการจัดเตรียมข้อมูลเพื่อไปยัง MSSP นั้นมาในรูปแบบที่หลากหลายตามสภาพแวดล้อมและมีภูมิหลังที่แตกต่าง โดยทั่วไปการเก็บรวบรวมข้อมูลอนุญาตให้ MSSP ทำได้อย่างรวดเร็วและมีการสร้างสรรค์อย่างระมัดระวังด้วยโซลูชั่นที่เป็นมาตรฐานสำหรับคุณในการกำหนดกฏเกณท์ของผู้ที่จะเข้ามาทำโครงการรักษาความปลอดภัยจากภายนอก เป็นจุดวิกฤตที่จะจัดให้ MSSP มีข้อมูลทุกๆความต้องการได้ดีพอๆกับการให้ข้อมูล MSSP ที่แยกตามความต้องการ หรือการกำหนดคุณลักษณะเฉพาะสำหรับองค์กรของคุณหรือสิ่งที่พวกเขาต้องนำมาพิจารณาเป็นอันดับแรกเพื่อหามุมมองใหม่ให้สามารถบรรลุวัตถุประสงค์ที่ต้องการ

5. ผู้จัดการด้านเทคโนโลยสารสนเทศและทีม ตัดสินอะไรในการเลือกที่ปรึกษาจากภายนอกและอะไรที่จะรักษาระบบภายใน? อะไรเป็นพื้นฐานที่ใช้ในการตัดสินใจให้เหมือนกัน?

ในเรื่องนี้จะแสดงให้เห็นถึงสิ่งที่ท้าทายสำหรับผู้จัดการของทีมกับสมาชิกที่มาจากภายนอก

ผู้จัดการฝ่ายสารสนเทศ

คำถามแรกที่คุณต้องตอบ ทำอย่างไรหากโครงการรักษาความปลอดภัยโดยเอาต์ซอร์ส นั้นไม่สอดคล้องกับแผนกลยุทธ์ ? ตัวอย่างเช่น ถ้าคุณมีการทำงาน 20 ชั่วโมงต่อหนึ่งสัปดาห์ในการทดสอบการทำงานของ ไฟล์วอลล์ หรือ ISP และการแจ้งเตือน จะทำอย่างไรให้องค์กรของคุณใช้ประโยชน์ได้ดียิ่งขึ้นสำหรับทรัพยากรทั้งหมดที่มีเมื่อทุกสิ่งทุกอย่างเป็นอิสระต่อกันโดยหน้าที่

– คุณมี VOIPที่มีอิสระพอจะนำออกมาเป็นหนึ่งในทรัพยากรในการเร่งรัดโครงการได้หรือไม่?

– การยึดถือตัวเองจะทำให้องค์กรเสียหายได้จากจุดที่เมื่อคุณต้องสูญเสียงบประมาณด้วยการเลือกใครบางคนที่เป็นเด็กอ่อนหัดเข้ามาใช่หรือไม่?

– ถ้าคุณสูญเสียเท่ากับก่อให้เกิดช่องโหว่ที่ส่งผลกระทบต่อกลยุทธ์และเทคนิคในการไปให้ถึงจุดมุ่งหมายด้านสารสนเทศ ? และท้ายที่สุดเมื่อถึงวันที่ต้องตัดสินใจเลือกเอาต์ซอร์สที่มีพื้นฐานทั้งหมดทั้งมวลขึ้นอยู่กับความเสี่ยงที่บุกรุกเข้ามาสู่องค์กรของคุณด้วยผลจากการตัดสินใจจากต้นทุนเช่นนั้นหรือ ?

ทีมงาน

หนึ่งงาน = ความเห็นที่ถูกต้องตรงกันตามลำดับความสำคัญ แต่ละคุณลักษณะที่ต้องการจะต้องมี “ข้อจำกัด” และต้องมีการพูดออกมาอย่างชัดเจนในขณะนั้น หลายครั้งที่องค์กรด้านเทคโนโลยีสารสนเทศมักจะมองเห็นภัยจากด้านนอกชัดเจน “ไปหามาซิว่าใครหรืออะไร” ที่เป็นสิ่งรุกรานและทำให้ต้องเกิดการตัดสินใจทางธุรกิจอันจะเป็นหลักพื้นฐานที่นำเข้ามา นี่ไม่ใช่สิ่งที่จะพูดได้ว่า เพราะว่าคุณ A ผู้ดูแลระบบต้องการที่จะปกป้องไฟล์วอลล์ของเขาซึ่งทีมเองยอมรับแล้วก็ผ่านเรื่องนี้ไปแต่วัตถุประสงค์ที่แท้จริงมักจะต้องมีการอภิปรายโดยทีม ด้วยความมีเหตุมีผล และยอมรับในการตัดสินใจร่วมกัน

ท่านสื่อมวลชนสามารถสอบถามหรือขอข้อมูลเพิ่มเติมได้เพื่อนำไปจัดทำข้อเขียนหรือบทความเพื่อเผยแพร่เป็นความรู้แก่สาธารณะชนทั่วไปได้ที่

บ. แอทยัวร์เซอร์วิส สุพพัต พลอินทร์

Tel .0-2735-6408 ต่อ 2201 Fax. 0-2735-6467 Mobile: 081-772-0424

E-mail: [email protected]

สามารถคลิกดูภาพประกอบได้ที่ www.thaipr.net