Оптимальный аутсорсинг для небольших и средних банков
Проблема информационной безопасности небольших банков с каждым днём становится всё острее. Тем более, что ущерб грозит и другим игрокам рынка, взаимодействующими с ними. Эксперты уже неоднократно отмечали, что небольшие расходы на безопасность и высокая уязвимость маленьких банков — комплексная проблема, требующая решения уже сейчас. Аутсорсинг в этом контексте становится заметным трендом как для организаций, так и для поставщиков услуг.
Согласно исследованию Ассоциации банков России (АБР) за 2019 год, банки − лидеры цифровизации выделяют значительные бюджеты на работу с малым и средним бизнесом. Они активно трансформируют свои бизнес-модели: внедряют технологии больших данных и искусственного интеллекта, используют ИТ для обучения и нефинансовых услуг МСБ, смелее отдают на аутсорсинг решение отдельных задач,
Ассоциация уже продолжительное время ведёт активный диалог с Банком России относительно проекта по аутсорсингу для небольших и средних банков, в том числе услуг информационной безопасности. Вице-президент АБР Алексей Войлуков, модератор сессии «Аутсорсинг услуг информационной безопасности для средних и малых банков» XII Уральского форума, рассказал важные подробности проекта.
СОЗДАТЬ ПРИЕМЛЕМОЕ РЕШЕНИЕ
Крупные банки и часть средних относительно легко справляются с реализацией требований Банка России к обеспечению информационной безопасности. У них значительно более широкое поле деятельности, им намного проще открыть дополнительный штат и найти квалифицированных профессионалов. Крупные банки могут выделять достаточные ресурсы, чтобы выполнять требования регулятора, поскольку заинтересованы обезопасить значительные ресурсы, включая предоставленные их клиентами.
Для небольших банков, где общий штат не более 30 сотрудников, нанять ещё 2-3 человек для обеспечения информационной безопасности − существенные дополнительные затраты. Независимо от используемой бизнес-модели. К тому же для этих новых штатных работников нет достаточного объёма работ для полной загрузки.
Поэтому небольшие и средние банки обратились с просьбой к Ассоциации помочь решить эту проблему. Либо просить Банка России дифференцировать нормативы для банков разной величины, либо выработать приемлемый формат передачи банками некоторых функций на аутсорсинг.
Возможное решение − кооперация небольших банков, чтобы поручить выполнение некоторых задач внешнему исполнителю. Аутсорсинг является оптимальной бизнес-моделью, делающей приемлемыми затраты на обеспечение информационной безопасности для малых и средних банков.
МОДЕЛИ ВНЕДРЕНИЯ АУТСОРСИНГА
Идя навстречу пожеланиям банков, Ассоциация разработала три модели внедрения аутсорсинга:
Первая модель: компания-аутсорсер обслуживают оборудование банков − «железо» и сервера, что позволяет снизить финансовые затраты.
Вторая модель – передача на аутсорсинг и сопровождения операционного дня, а не только «железа». Этот вариант централизует, оптимизирует и унифицирует работу аутсорсера с программным обеспечением банков-заказчиков. С них снимается забота о выполнении требований регулятора в этой части.
Третья модель − единое облачное решение с разделением прав доступа. Оно позволяет значительно быстрее внедрять и распространять новые решения/ проекты всем банкам-пользователям, а тем самым − оптимизировать свой штат. Аутсорсинг откроет возможность для малых и средних банков внедрять новые сервисы на основе некого открытого интерфейса. При этом даже небольшие банки смогут успешно конкурировать по уровню IT и информационной безопасности с крупными. Пока что у малых банков нет возможности самостоятельно внедрять новые бизнес-продукты. Для этого чаще всего они вынуждены подключаться к сервисам крупных банков.
Когда один из участников проекта реализует свою идею, её можно распространять на других, на партнёрской или коммерческой основе. Вопрос будет только в оформлении договоров и возможности комиссионной оплаты. Технически возможность подключения реализуется в считанные часы, учитывая работу всех участников на однотипном программном обеспечении.
КАКОЙ ВАРИАНТ ОПТИМАЛЕН
Банка России рассматривает несколько вариантов определения порядка того, как банки могут передавать на аутсорсинг функции обеспечения информационной безопасности. Предложение АБР заключается в том, что на аутсорсинг банк сможет отдать сопровождение операционного дня, которое будут осуществлять штатные сотрудники не банка, а компании-аутсорсера.
Такое решение не только улучшит качество и оперативность, оптимизирует трудовые и финансовые затраты на IT и обеспечение информационной безопасности. Также появится возможность объединять усилия для создания современных решений, продуктов, конкурировать с крупнейшими участниками финансового рынка.
Банк России в целом одобрил наш проект, поставив ряд вопросов, которые сейчас обсуждаются, прорабатываются и решаются. Один из существенных − о том, кто наиболее оптимален в качестве аутсорсера. Есть вариант, что эту функцию возьмет на себя крупный банк, но у других банков могут возникнуть серьезные опасения, связанные с конкуренцией. Возможна реализация аутсорсинга ИБ банков и на базе Банка России, но сам регулятор такого решения пока не готовит, и даже более – не заинтересован делать это у себя.
Третий вариант − создание аутсорсинговой платформы на базе АБР. Самый оптимальный, по мнению и Банка России, и участников рынка. Ассоциация учреждена самими банками, является их доверенным лицом, основания для конфликта интересов отсутствуют. Такая платформа позволит банкам контролировать весь поток информации, совместно определять стоимость услуг и тарифы.
Решение отвечает нормативам Банка России, данные обрабатываются надёжной небанковской организацией, выводятся из-под рисков компрометации, утраты и недоступности, сопутствующих банкам. Регулятор может быть уверен, что выполняются все нормативные требования, обслуживаемые банки в этой части оказываются более прозрачными и открытыми.
На встрече с представителями банков с базовой лицензией Председатель Банка России Эльвира Набиуллина подчеркнула: без такой консолидации небольшим банкам будет сложно выживать. Рынок должен сам себя создавать и эту функцию должна взять на себя Ассоциация. А регулятор может помочь людскими ресурсами и участием в разработке.
Облегчит решение задачи ожидаемое введение для банков с базовой лицензией пропорционального регулирования информационной безопасности. Регулятор заинтересован в том, чтобы такие банки развивались достаточно активно и обеспечили достижение намеченных показателей для кредитования малого и среднего бизнеса.
РЕСУРСЫ ПРОЕКТА
Для разработки проекта в АБР создана специальная рабочая группа, в которую вошли малые и средние банки, а также крупные, способные предложить другим свои проекты, модули или сервисы. В составе группы работающие с банками вендоры и интеграторы − IT-, ИБ- и телекоммуникационные компании, операторы связи. Рабочая группа составила общую схему-описание концепции проекта, требований, задач и возможностей для заинтересованных сторон.
Следующий шаг − инвестиции в предложенное решение, добровольные для всех, включая членов АБР. Банки-участники готовы поддерживать проект разными способами: участвовать в финансировании, предоставить оборудование (сервера, ЦОДы и т.п.) и обслуживающий персонал − ИБ- и ИТ-специалистов.
Проект является перспективным, востребованным и окупаемым за относительно короткое время. Однако для запуска этого масштабного и долгосрочного начинания нужно довольно значительные стартовые финансовые ресурсы. Поэтому сейчас ведётся поиск якорного инвестора.
ФОРУМ − МОМЕНТ ИСТИНЫ
На XII Уральском форуме «Информационная безопасность финансовой сферы» традиционно обсуждаются не только достижения, но и актуальные задачи, перспективы будущей работы. Как расставить приоритеты, пути решений и последовательные шаги, направленные на повышение безопасности цифровых финансовых сервисов. Поэтому по договорённости с руководством и Департаментом информационной безопасности Банка России было решено вынести вопросы реализации проекта на ближайший Уральский форум.
Участники форума получат достоверную и полную информацию о проекте и о том, что уже сделано для его реализации. Будут представлены мнения малых банков о важности, востребованности и широких перспективах нашей инициативы. Обсуждение позволит «сверить часы»: проверить насколько ожидания банков соответствуют возможностям технических исполнителей. Узнать у них, какие они видят проблемы на путях реализации предложенного решения аутсорсинга ИБ для банков, и какие оптимальные пути решения.
АБР предлагает создать не просто ещё одну организацию для аутсорсинга. Проект предполагает единое комплексное решение с использованием современных решений, в том числе созданных с нуля . Поэтому для его дальнейшей оптимизации крайне важны мнения разработчиков и ИБ-специалистов.
Ни для кого не секрет: многие малые и средние банки используют в обеспечении IT старые решения, в том числе чуть ли не двадцатилетней давности. Необходимость их модернизировать и настраивать каждый раз отнимает немало сил и драгоценное время. Закупка коробочных решений по операционным дням лишь частично решает эту проблему. Поскольку приходится держать большой штат программистов и опять же тратить время на то, чтобы адаптировать и настроить его применительно к особенностям бизнес-процессов. Подобных неудобств у банков − пользователей предлагаемой единой платформе аутсорсинга ИБ не должно возникнуть.
Единая платформа аутсорсинга разом бы решила для банков основную проблему, освободив их от немалых затрат на комплексное обновление технических средств. Предлагаемое решение полностью соответствует потребностям банков в сфере ITи ИБ: обеспечивать сохранность и конфиденциальность информации, надёжность работы IT-инфраструктуры, но при этом оптимизировать затраты.
Обсуждение нашего проекта в Магнитогорске поможет предвидеть возможные сложности и заранее, ещё на стадии разработки, предупредить саму возможности их возникновения. И, что особенно важно, выработать максимально привлекательные для банков условия участия в нашем проекте. Особенно ценно вовлечение в проект новых партнёров, участников. Ценен любой вклад, от эффективной методологии до привлечения крупных инвестиций.
.jpg)
.png)