IT Security Outsourcing การเอาต์ซอร์สระบบความปลอดภัย
จากกระแส "IT Outsourcing" ทั่วโลกในช่วงสองสามปีที่ผ่านมาจนถึงวันนี้ "IT Outsourcing" มีการพัฒนาไปถึง "IT Security Outsourcing" หลายคนถามว่าในปัจจุบัน ทำไมองค์กรทั้งภาครัฐและเอกชนหันมาให้ความสนใจกับเรื่องการ Outsource ระบบความปลอดภัยขัอมูลคอมพิวเตอร์ให้กับหน่วยงานมืออาชีพภายนอก คำตอบก็คือ องค์กรสมัยใหม่นิยมที่จะไม่จัดซื้ออุปกรณ์ทั้งฮาร์ดแวร์ และซอฟแวร์มาใช้ในแบบเดิมๆ ซึ่งต้องใช้งบประมาณจำนวนมากในแต่ละปี รวมถึงค่าบำรุงรักษาอุปกรณ์เหล่านั้น ซึ่งในปัจจุบัน องค์กรมักจะ Outsource ระบบสารสนเทศให้กับหน่วบงานภายนอกเข้ามาบริหารจัดการระบบ ตลอดจนรวมถึงอุปกรณ์ฮาร์ดแวร์และโปรแกรมซอฟแวร์ต่างๆที่จำเป็นต้องนำมาใช้ในระบบงานซึ่งกลายเป็นต้นทุนของทาง Outsourcer ต้องคิดคำนวนเป็นค่าบริการรายเดือนหรือรายปีมาแบบเบ็ดเสร็จ โดยกำหนดข้อตกลง SLA (Service Level Agreement) ให้ชัดเจนระบุในสัญญาการให้บริการ Outsource ของ MSSP กับองค์กร
นอกจากเรื่องงบประมาณมหาศาลในการจัดซื้ออุปกรณ์ด้านการรักษาความปลอดภัยข้อมูล เช่น Firewall และ IPS (Intrusion Prevention System) การขาดแคลนบุคลากรผู้เชี่ยวชาญด้านระบบความปลอดภัยกับข้อมูล (Information Security Professional/Specialist) เช่น CISSP หรือ CISM ก็เป็นปัญหาใหม่ขององคกรในขณะนี้เช่นเดียวกัน เพราะ การพัฒนาผู้เชี่ยวชาญด้านระบบความปลอดภัยกับข้อมูลนั้นใช้เวลานาน และ เป็นเรื่องยากที่จะให้ผู้เชี่ยวชาญอยู่กับองค์กรในระยะยาว ซึ่งทำให้หลายๆองค์กรเลือกที่จะใช้บริการผู้เชี่ยวชาญจากหน่วยงานภายนอกมากกว่า ซึ่งองค์กรสามารถกำหนด SLA เพื่อควบคุมการทำงานของ Outsource ได้
ธุรกิจ MSSP (Managed Security Service Provider) จึงกลายเป็นทางเลือกให้กับองค์กร ในยามที่ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลขาดแคลน และ ยากที่จะให้ผู้เชี่ยวชาญอยู่กับองค์กรดังที่กล่าวมาแล้ว บริษัทที่ให้บริการ IT Security Outsourcing หรือ MSSP นั้นต้องมีการลงทุนพัฒนาบุคคลากรผู้เชี่ยวชาญด้านความปลอดภัย ไม่ว่าจะเป็นผู้เชี่ยวชาญที่ได้รับประกาศนียบัตร CISSP, CISA, CISMและ SANS GIAC ล้วนเป็นต้นทุนที่สูงมากโดย MSSP ต้องเป็นผู้ลงทุนอย่างหลีกเลี่ยงไม่ได้ หลายองค์กรพบว่าสามารถประหยัดค่าใช้จ่ายด้าน IT Security โดยรวมได้มากขึ้น หลังจากตัดสินใจ Outsource การเฝ้าระวังและบริหารจัดการระบบความปลอดภัยข้อมูลคอมพิวเตอร์ให้แก่ MSSP แต่เกณฑ์ในการตัดสินใจเลือกใช้บริการของ MSSP รายใดรายหนึ่งนั้นเป็นเรื่องสำคัญ เพราะ MSSP นั้นต้องไว้ใจได้ และ มีความเชี่ยวชาญอย่างแท้จริง ตลอดจนองค์กรจะเลือกใช้บริการเฉพาะ "Monitored" หรือ "Managed" นั้นก็มีความแตกต่างกัน ถ้าองค์กรต้องการ Outsourceเฉพาะการเฝ้าระวังแต่ไม่อนุญาตให้ MSSPเข้ามาจัดการเปลี่ยนแปลง Configuration ของอุปกรณ์ด้านการรักษาความปลอดภัยต่างๆ เช่น Firewall หรือ IPS/ IDS เราเรียกว่าเป็นการให้บริการแบบ "Monitored" แต่หากองค์กรต้องการให้ MSSP เข้ามาควบคุมดูแลอุปกรณ์ด้านการรักษาความปลอดภัยอย่างเต็มรูปแบบ เช่น อนุญาตให้ MSSP สามารถเข้าไปปรับเปลี่ยนแก้ไข Configuration หรือ Policy ใน Firewall ได้(โดยได้รับอนุญาตจากองค์กรก่อน) เราเรียกว่าเป็นการให้บริการแบบ "Managed" ซึ่งส่วนใหญ่แล้ว MSSPมักจะให้บริการในแบบแรกมากกว่า โดย MSSP จะมีหน่วยงานวิเคราะห์ Log File จากระบบ Centralized Log Management ที่ MSSPเป็นผู้ติดตั้งและดูแล และ MSSP จะต้องทำการวิเคราะห์ Log โดยวิธี Correlation Analysis และ ต้องแสดงรายงานระบุต้นเหตุของปัญหาความปลอดภัยในระบบเครือข่ายที่เราเรียกว่า "Root-cause Analysis" เพื่อให้องค์กรสามารถป้องกันการโจมตีจาก Internet Threat ต่างๆได้ทันท่วงที
ประเภทลักษณะของการให้บริการ IT Security Outsourcing ของ MSSP ในประเทศต่างๆและทั่วโลกได้10 ลักษณะ ดังนี้
1.Monitored and Managed Firewall Services
เป็นการให้บริการดูแลและเฝ้าระวังบริเวณ Network Perimeter ขององค์กร โดยปกติแล้วคือ บริเวณที่เชื่อมต่อกับระบบอินเตอร์เน็ต และ บริเวณของ Public Server Farm หรือ DMZ (Demilitarized Zone) ซึ่งโดยปกติแล้วเป็นที่ตั้งของ Web Server และ SMTP Mail Relay ขององค์กร การให้บริการของ MSSP ควรที่จะครอบคลุมถึงการวิเคราะห์ Log จาก Firewall ประจำวัน (Daily Report) และคอยสังเกตพฤติกรรมแปลกๆ (Suspicious Activity) หรือพฤติกรรมบุกรุก (Intrusion Activity) แล้วรีบแจ้งเตือนองค์กรโดยด่วน เพื่อที่จะเตรียมตั้งรับเหตุการณ์การโจมตีในทางอินเตอร์เน็ท หรือ ตรวจสอบข้อมูลที่อาจจะรั่วไหลออกจากองค์กรผ่านทาง Firewall ก็เป็นไปได้เช่นกัน นอกจากนี้ถ้ามีการปรับเปลี่ยน Policy ที่Firewall ทาง MSSP ควรต้องมีการแจ้งและบันทึกให้องค์กรได้รับทราบเช่นกัน
2. Automated/Manual Incident Response, Event Escalation and Digital Forensic Services
เป็นการให้บริการต่อเนื่องจากข้อที่หนึ่ง กล่าวคือ เมื่อผู้เชี่ยวชาญของ MSSP ตรวจพบความผิดปกติในระบบโดยวิเคราะห์จาก Log ของ Firewallแล้ว MSSPควรมีขั้นตอนในการแจ้งปัญหา (Event Escalation) ให้องค์กรทราบอย่างทันท่วงที ภายในเวลาที่สามารถจะป้องกันความเสียหายให้แก่ระบบสารสนเทศขององค์กรได้ทัน และ ควรมีระยะเวลาในการตอบสนอง หรือ การแจ้งปัญหาระบุไว้ใน SLA (Service Level Agreement) ให้ชัดเจน เช่นกำหนดไว้ ภายใน 1 ชั่วโมง หรือ 3 ชั่วโมงเป็นต้น
เมื่อตรวจพบหลักฐานการบุกรุกหรือการโจมตีระบบจากการวิเคราะห์ข้อมูลที่ได้มาจากระบบ Centralized Log Management แล้ว การพิสูจน์หลักฐานทางคอมพิวเตอร์ หรือ Digital Forensics ก็ควรเป็นบริการที่ MSSP ควรมีให้แก่องค์กร เพื่อเชื่อมโยงหลักฐานไปสู่การติดตามจับกุมผู้กระทำผิดทางคอมพิวเตอร์ ซึ่งในประเทศไทยกำลังจะมีกฎหมายออกมาในอนาคตอันใกล้นี้
3. Monitored and Managed IDS/IPS (Real-Time Intrusion Monitoring) Services
เป็นการให้บริการเฝ้าระวังการบุกรุกโดยใช้อุปกรณ์ IDS/ IPS ซึ่งเป็นส่วนสำคัญที่สุดของการให้บริการจาก MSSP โดย MSSP มีหน้าที่ในการวิเคราะห์ข้อมูลรายงานจากอุปกรณ์ IDS/ IPS ซึ่งปกติแล้วมักจะไม่มีคนอ่าน หรือ ยากที่จะหาคนที่เชี่ยวชาญมาวิเคราะห์รายงานดังกล่าว จึงทำให้รายงานจากอุปกรณ์ IDS/ IPS ไม่ค่อยจะมีประโยชน์ต่อองค์กรนักหากองค์กรเป็นผู้ดูแลเอง แต่ถ้าใช้บริการผู้เชี่ยวชาญด้าน Intrusion Analysis ของ MSSP ทางผู้เชี่ยวชาญจะมีหน้าที่ให้การวิเคราะห์เจาะลึก และ รายงานข้อมูลที่มีประโยชน์ให้กับองค์กรได้ทราบภายในเวลาที่กำหนดใน SLA ผู้ให้บริการ MSSP บางรายจะนำ อุปกรณ์ IDS/ IPS มาติดตั้งให้กับองค์กร โดยที่องค์กรไม่ต้องซึ้อ IDS /IPS แต่ขณะเดียวกัน MSSP หลายรายก็มักใช้ IDS/ IPS ที่องค์กรมีอยู่แล้ว โดยดึงเฉพาะรายงานมาวิเคราะห์ในลักษณะ Daily Intrusion Analysis Report สรุปก็คือ รายงานจาก IDS/ IPSในรูปแบบ Raw Report จะถูก MSSP นำมาวิเคราะห์ในเชิงลึก (In-Depth Event Analysis) ดังนั้นความแตกต่างของการวิเคราะห์โดยผู้เชี่ยวชาญจึงเป็นปัจจัยสำคัญในการเลือกใช้บริการของ MSSPหมายเหตุ: (การ Block ผู้บุกรุกโดยใช้ IPS โดยอัตโนมัตินั้น ปกติแล้ว MSSP จะไม่ทำทันที แต่จะแจ้งให้องค์กรเป็นผู้ตัดสินใจเองว่าจะ Block หรือไม่ ภายในเวลาที่กำหนดใน SLA)
4. Managed and Monitored VPN Services
เป็นการให้บริการของ MSSP เฝ้าระวังการใช้ VPN โดยสังเกตจาก Log File ของอุปกรณ์ VPN จากการใช้งาน VPN ในแต่ละวัน เทียบกับการใช้งาน VPN ในช่วงเวลาปกติว่ามีสิ่งผิดปกติเกิดขึ้นหรือไม่ ตลอดจนคอยสังเกตว่ามีไวรัส เวิร์ม หรือ โทรจัน รวมทั้งโปรแกรมจำพวก P2P ใช้งานผ่าน VPN หรือไม่ โดยปกติแล้วข้อมูลผ่าน VPN จะถูกเข้ารหัสทำให้ IDS/ IPS ไม่สามารถตรวจสอบได้ MSSP จึงต้องมีวิธีการในการเฝ้าระวังตรวจสอบการใช้งาน VPN ขององค์กรโดยเฉพาะ ซึ่งก็ขึ้นกับ รุ่นและประเภทของอุปกรณ์ VPN ที่องค์กรเลือกใช้งานอยู่ สำหรับการบริหารจัดการ Policy ใน VPN นั้น ทางองค์กรเป็นผู้กำหนด Policy แต่ MSSP เป็นผู้ปฎิบัติ โดย MSSP ต้องทำ "Change Management" ให้แก่องค์กรด้วย
5. Monitored and Managed ANTI-Virus (ANTI-MalWare) Services
เป็นการให้บริการเตือนข่าวสารเกี่ยวกับไวรัสใหม่ๆ เพื่อให้องค์กรเตรียมรับมือกับการแพร่กระจายของไวรัสซึ่งในปัจจุบันการแพร่ของไวรัสจะมีลักษณะ Zero-day Outbreak ที่ยังไม่มีการออก Patch หรือ Virus Signature ออกมาแก้ไข ดังนั้นการเฝ้าระวังการแพร่กระจายของไวรัสอย่างทันท่วงที จึงเป็นเรื่องสำคัญที่มองข้ามไม่ได้ และ จำเป็นที่จะต้องมีผู้เชี่ยวชาญคอยเฝ้าระวังตลอด 24 ชั่วโมง ส่วนการบริหารจัดการกำจัดไวรัสนั้นขึ้นกับข้อตกลงระหว่างองค์กรกับ MSSP ว่าใครจะเป็นผู้รับผิดชอบ แต่โดยปกติแล้วทาง MSSP จะให้บริการเฝ้าระวัง Zero-day Outbreak และ คอยเตือนองค์กรให้ตั้งรับอย่างทันท่วงทีเท่านั้น แต่จะไม่รวมถึงการกำจัดไวรัส ซึ่งจริงๆ แล้วทาง MSSP ก็สามารถทำได้ แต่มีราคาที่ค่อนข้างแพง ไม่คุ้มกับการลงทุนขององค์กรขนาดเล็ก ถ้าเป็นองค์กรขนาดใหญ่ การ Outsource บริหารจัดการปราบไวรัสคอมพิวเตอร์ก็เป็นอีกทางเลือกหนึ่งขององค์กร โดย CIO จะต้องตัดสินใจว่าองค์กรเหมาะสมกับการ Outsource ดังกล่าวหรือไม่
6. Monitored and Managed Content Filtering Services
โดยปกติแล้ว Content ที่ต้องเฝ้าระวังมีอยู่3 ประเภทใหญ่ๆ ได้แก่ HTTP content, FTP content และ SMTP (Mail) Content แต่ในปัจจุบัน IM (Instant Messaging) Content และ P2P Content ก็มีความจำเป็นต้องเฝ้าระวัง และ ตรวจสอบเช่นกัน เนื่องจากเป็นตัวการในการนำไวรัสเข้าสู่องค์กร ตลอดจนการนำข้อมูลออกจากองค์กรอย่างไม่ถูกต้องด้วย ดังนั้น MSSP จึงมีบทบาทในการเฝ้าระวังและตรวจสอบ Content ดังกล่าว ปัญหาก็คือ การตรวจสอบ Content เหล่านี้ต้องใช้อุปกรณ์ฮาร์ดแวร์ และซอฟแวร์ที่มีประสิทธิภาพสูง ดังนั้นการลงทุนกับอุปกรณ์ดังกล่าวจึงต้องมีการตกลงกันระหว่างองค์กรกับ MSSP ว่าใครจะเป็นผู้รับผิดชอบ ถ้าทาง MSSP รวมมูลค่าอุปกรณ์เข้าไปกับการบริการ ค่าบริการก็จะสูงขึ้นเป็นเงาตามตัวเช่นกัน
7. Monitored and Managed Vulnerability Assessment and Penetration Testing Services
เป็นส่วนหนึ่งของการบริหารจัดการความเสี่ยงระบบสารสนเทศขององค์กรซึ่งถือว่าเป็นเรื่องสำคัญที่ทุกองค์กรควรทำ ปัจจุบันการทำ Vulnerability Assessment and Penetration Testing กลายเป็นกฎข้อบังคับในหลายๆองค์กร เช่น Internet Banking ของธนาคารพานิชย์เป็นต้น การประเมินความเสี่ยง (Risk Assessment) ด้วยการทำ Vulnerability Assessment และการตรวจสอบความเสี่ยงเชิงลึกในลักษณะ Ethical Hacking ที่นิยมเรียกว่า Penetration Testing กำลังได้รับความนิยมเพิ่มขึ้น โดยเฉพาะองค์กรที่ใช้ Web Server และมี Web Application ทำงานอยู่ ไม่ว่าจะเป็น IIS Web Server หรือ Apache Web Server ที่ใช้ภาษา ASP, JAVA หรือ PHP ในการพัฒนาก็พบว่ามีช่องโหว่เกิดขึ้นให้แฮกเกอร์สามารถเข้ามาโจมตีได้อยู่เป็นประจำ ถ้าทาง Web Application Developer ไม่มีความรู้ด้านระบบความปลอดภัยของ Web Application ดีพอ ดังนั้นงานประเมินความเสี่ยงโดยวิธีดังกล่าวจึงเป็นอีกบริการหนึ่งที่ MSSP ควรมีให้บริการ และ ควรมีการบริการในลักษณะการรายงานเป็นรายเดือน หรือ รายปี ขึ้นกับ SLA ที่จะตกลงกัน การลองเจาะระบบด้วยวิธี Penetration Testing นั้นจะทำให้องค์กรได้ทราบถึงระดับของความปลอดภัยที่องค์กรสามารถต้านรับการโจมตีของแฮกเกอร์และไวรัสต่างๆ ซึ่งถ้าทาง MSSP ตรวจสอบก่อนล่วงหน้า องค์กรก็สามารถแก้ปัญหาโดยการ Hardening ระบบได้ทันก่อนที่ระบบจะถูกโจมตี
ลักษณะของการตรวจสอบแบบ Penetration Testing จำเป็นต้องใช้ผู้เชี่ยวชาญที่เป็น Penetration Tester โดยเฉพาะและ ไม่สามารถใช้แค่เพียง Vulnerability Scanner ตรวจสอบ ดังนั้นการใช้บริการ Penetration Testing จาก MSSP จึงถือเป็นสิ่งจำเป็น แต่ต้องเลือก MSSP ที่มีความสามารถเฉพาะด้าน Penetration Testing มาดูแลระบบให้เรา และ ให้คำแนะนำในการป้องกันระบบที่ถูกต้องแก่องค์กรด้วย เช่น จัดฝึกอบรมเรื่อง Web Application Security ให้แก่ผู้พัฒนาระบบ Web Application เป็นต้น
8. Security Awareness Training Services
เป็นการให้บริการของ MSSP ที่ควรครอบคลุมถึงการฝึกอบรมประจำปีเกี่ยวกับเรื่อง Security Awareness ซึ่งโดยปกติควรจัดอบรมประมาณ 2-4ครั้งต่อปี เพื่อเตือนให้ผู้ใช้คอมพิวเตอร์ทุกระดับตั้งแต่ผู้ใช้คอมพิวเตอร์ทั่วไปจนถึงผู้บริหารระดับสูง ให้ตระหนักถึงภัยจากอินเตอร์เน็ต และ เรียนรู้การใช้งานระบบคอมพิวเตอร์อย่างปลอดภัย ซึ่งจะเป็นส่วนสำคัญในการบริหารจัดการด้านระบบความปลอดภัยอย่างมีประสิทธิภาพ และได้ผลตามที่องค์กรต้องการ
9. On-site Security Consulting Services
เป็นการบริการให้คำปรึกษาปัญหาด้านความปลอดภัยข้อมูลที่สำนักงานขององค์กร MSSP ควรจะเข้าประชุมร่วมกับเจ้าหน้าที่ฝ่ายสารสนเทศ และ ฝ่ายควบคุมความปลอดภัยข้อมูลขององค์กรอย่างสม่ำเสมอ โดยปกติแล้ว ควรจะมีการประชุมทุกสัปดาห์ (เดือนละ 4ครั้ง) เพื่อเข้าไปช่วยเหลือ และ ติดตามงานด้านความปลอดภัยข้อมูลต่างๆที่ทาง MSSP ได้แจ้งเตือนองค์กรโดยเป็นการร่วมประสานงานกับทีมงานระบบสารสนเทศขององค์กร และควรมีการประชุมใหญ่กับผู้บริหารระดับสูงอย่างน้อยเดือนละหนึ่งครั้ง เพื่อรายงานสถานการณ์ด้านความปลอดภัยกับข้อมูลให้กับผู้บริหารระดับสูงให้ทราบถึงความปลอดภัยของระบบสารสนเทศขององค์กรโดยรวม
10. Policy Compliance Monitoring Services
หลังจากองค์กรได้ประกาศใช้ Security Policy แล้ว ควรมีการตรวจสอบว่าผู้ใช้คอมพิวเตอร์ได้ปฎิบัติตาม Security Policy ที่กำหนดไว้หรือไม่ ซึ่งจำเป็นต้องมีการตรวจสอบ (Audit) ทั้ง Internal IT Audit และ External Audit ซึ่งตรวจสอบโดยผู้เชี่ยวชาญของ MSSP ที่สามารถทำหน้าที่เป็น External Auditor เพื่อให้ความเห็นในมุมมองของคนภายนอกองค์กร และ นำเสนอแนวทางในการปรับปรุงเรื่อง Policy Compliance ให้แก่องค์กรต่อไป
การเอาต์ซอร์สระบบซิเคียวริตี้มีข้อควรคำนึงอย่างไรบ้าง
เราต้องรู้ว่าทำไมถึงต้องเอาต์ซอร์สระบบซิเคียวริตี้เสียก่อน กล่าวคือ หากองค์กรต้องการลดค่าใช้จ่ายในการลงทุนกับฮาร์ดแวร์และซอฟท์แวร์ด้านความปลอดภัย ตลอดจนแก้ปัญหาขาดแคลนบุคคลากรผู้เชี่ยวชาญด้านความปลอดภัยเช่น CISSP หรือ CISA การเอาต์ซอร์สน่าจะเป็นทางออกที่เหมาะสมให้กับองค์กรสมัยใหม่ในยุคนี้ สำหรับข้อคำนึงนั้นมีรายละเอียด 6 ข้อ ดังนี้
1.1 ศักยภาพในการให้บริการของ MSSP (Managed Security Service Provider)
หมายถึง คุณภาพและประสบการณ์ของทีมงานเฝ้าระวังรักษาความปลอดภัยระบบสารสนเทศ โดยดูจากจำนวนบุคลากรที่ได้รับประกาศนียบัตรด้านไอทีต่าง ๆ ยกตัวอย่าง เช่น CISSP จาก ISC2, CISA จาก ISACA, หรือ GIAC จาก SANS เป็นต้น หรือ ถ้าเป็นการเฝ้าระวังระบบ Windows และ Network ก็ควรจะมีใบรับรองอย่างน้อย CCNA หรือ MCSE เพื่อความมั่นใจในการใช้บริการจาก MSSP เป็นต้น
1.2 คุณภาพของรายงานรายวันและรายเดือนของ MSSP
เราควรขอดูตัวอย่างรายงานการแจ้งเตือนผู้บุกรุกของ MSSP ว่าสอดคล้องกับความต้องการขององค์กรหรือไม่ และสามรถตอบสนองความต้องการในมุมมองของ Incident Response และ Incident Handling ได้ทันท่วงทีหรือไม่
รายงานควรมีลักษณะเป็นแบบ "Proactive" หรือ "Preventive" เพื่อให้องค์กรรู้ล่วงหน้าถึงภัยที่อาจจะเกิดขึ้นในอนาคตอันใกล้ เช่น ทราบว่ามีผู้ไม่หวังดีพยายาม "Brute Fore" รหัสผ่านของระบบ หรือ พยายามเจาะ Web Application โดยวิธี "SQL Injection" เป็นต้น
1.3 ตัวอย่างลูกค้าอ้างอิงที่เชื่อถือได้
เราควรโทรศัพท์สอบถามลูกค้าของ MSSP ที่ให้บริการอยู่ว่ามีความพึงพอใจ MSSP รายนั้นในระดับใด และ MSSP มีลูกค้าที่ให้บริการจริงอยู่กี่ที่ เพื่อความมั่นใจในการตัดสินใจเลือกใช้บริการจาก MSSP การสอบถามโดยตรงกับลูกค้าจึงเป็นข้อควรคำนึงที่ไม่ควรมองข้าม
1.4 เทคโนโลยีระดับสูงของ MSSP
MSSP ควรมีเทคโนโลยีด้านการวิเคราะห์ภัยคุกคามทางระบบสารสนเทศที่ค่อนข้างทันสมัย และ รู้เท่าทันเหล่าแฮกเกอร์ตลอดจนควรสามารถปรับแต่งได้ตามลักษณะฮาร์ดแวร์และซอฟท์แวร์ของลูกค้า
1.5 ราคาการให้บริการและเงื่อนไข
เป็นเรื่องสำคัญอีกเรื่องหนึ่ง ซึ่งถ้าราคาไม่เหมาะสมกับบริการที่ได้รับจาก MSSP แล้วคงเป็นเรื่องยากที่จะให้ผู้บริหารระดับสูงตัดสินใจใช้บริการเอาต์ซอร์สความปลอดภัยข้อมูล
1.6 ความน่าเชื่อถือ และชื่อเสียงของ MSSP
น่าจะเป็นเรื่องที่สำคัญที่สุด เพราะระบบซีเคียวริตี้ของเราต้องอยู่ในสายตาของ MSSP ตลอดเวลา เราต้องฝากความหวังไว้กับ MSSP ในระดับหนึ่ง ความเชื่อถือและชื่อเสียงของ MSSP จึงเป็นเรื่องที่สำคัญมาก
ข้อดีของการเอาต์ซอร์ส มีทั้งหมด 10 ข้อ ดังนี้
2.1 ลดต้นทุนด้านฮาร์ดแวร์, ซอฟท์แวร์ และบุคลากร ทางด้านความปลอดภัยข้อมูลให้กับองค์กร
2.2 แก้ปัญหาจากการขาดแคลนบุคลากรผู้เชี่ยวชาญเฉพาะทางด้านความปลอดภัยข้อมูล
2.3 MSSP จะมีความเชี่ยวชาญมากกว่าองค์กร
2.4 MSSP มีสถานที่และอุปกรณ์พร้อมกว่าศูนย์ปฏิบัติการเฝ้าระวังของ MSSP เราเรียกว่า SOC หรือ "Security Operation Center"
2.5 MSSP มีความเป็นอิสระในการให้ความเห็นแบบมืออาชีพ
2.6 MSSP สามารถติดต่อประสานงานกับตำรวจหรือ DSI ในกรณีที่เกิดเหตุที่ไม่พึงประสงค์ในระบบ
2.7 การแจ้งเตือนของ MSSP ทำให้องค์กรลดผลกระทบจากภัยที่อาจเกิดขึ้นได้อย่างทันท่วงที
2.8 MSSP มีข้อมูลที่รู้ลึก รู้ก่อน เช่น ข้อมูล Zero-Day Exploit เป็นต้น
2.9 MSSP มีบริการที่เตรียมพร้อมอยู่เสมอตาม SLA (Service Level Agreement) ที่ให้ไว้กับองค์กร และมีความรับผิดชอบในระดับหนึ่ง ซึ่งเราเรียกว่าเป็นการ "Transfer IT Risk" ให้กับ MSSP ด้วย
2.10 ผู้ว่าจ้าง MSSP ไม่ต้องคอยตามเทคโนโลยีใหม่ ๆ และช่องโหว่ ใหม่ ๆ ของระบบ โดย MSSP จะมีหน้าที่ในการ "Update" ข้อมูลต่าง ๆ ให้เราโดยอัตโนมัติทำให้เราไม่หลุด "Trend" ด้านความปลอดภัยข้อมูล
ข้อด้อยของการเอาต์ซอร์ส
ข้อด้อยของการเอาต์ซอร์สก็เป็นเรื่องที่ผู้บริหารต้องคำนึงถึงเช่นกัน ซึ่งมีรายละเอียดดังนี้
3.1 เราสามารถไว้วางใจ MSSP ได้แค่ไหน ทางออกก็คือการทำสัญญากับ MSSP โดยระบุ SLA ให้ชัดเจน3.2 การยึดกับ MSSP มากเกินไป จนองค์กรไม่มีบุคลากรที่สามารถแก้ไขปัญหาด้วยตนเองได้ การเอาต์ซอร์สนั้นเป็นเพียงการเอาต์ซอร์สการเฝ้าระวัง (Monitoring) ไม่ควรเป็นการเอาต์ซอร์สในลักษณะให้เข้ามาแก้ไขบริหารจัดการระบบ (Managing) ซึ่งในส่วนของการจัดการแก้ไขทางองค์กรควรมีบุคลากรทำเองจะดีกว่า
3.3 ความรู้สึกเป็นเจ้าของระบบที่แตกต่างกันระหว่าง MSSP กับผู้ว่าจ้างซึ่งควรกำหนด SLA ให้ชัดเจนก็จะช่วยแก้ปัญหาได้
3.4 ปัญหาการใข้ทรัพยากรร่วมกันระหว่างผู้ว่าจ้างกับ MSSP ควรมีการตกลงกันก่อนว่าใครใช้ทรัพยากรส่วนไหน และใครเป็นผู้รับผิดชอบค่าใช้จ่ายเช่น ค่าเช่า วงจรสัญญาณ จากผู้ใช้บริการมายัง MSSP เป็นต้น
3.5 ปัญหาเรื่องการติดตั้ง IDS / IPS และ Log Agent การติดตั้ง Agent และอุปกรณ์ดังกล่าวจำเป็นต้องมีผู้เชี่ยวชาญจาก MSSP มาติดตั้งและให้คำแนะนำ ตลอดจนผู้ว่าจ้างควรมีช่างเทคนิคหรือวิศวกรระบบคอมพิวเตอร์ที่เชี่ยวชาญรับผิดชอบอยู่มาช่วยทำงานในการติดตั้งร่วมกัน
3.6 ปัญหา SLA ไม่ชัดเจนทำให้เกิดความเข้าใจผิดระหว่างกัน
3.7 ปัญหาต้นทุนแฝงที่อาจเกิดขึ้นภายหลัง ซึ่งควรจะกำหนดไว้ล่วงหน้าใน SLA
3.8 ความเข้าใจ Scope of Work ที่แตกต่างกันระหว่างผู้ว่าจ้าง กับ MSSP ซึ่งควรจะตกลงสรุปกันให้ชัดเจนก่อนการให้บริการ
มาตรฐานของการเอาต์ซอร์ส
มาตรฐาน IT Service Management ก็คงหนีไม่พ้นมาตรฐาน ITIL (IT Infrastructure Library) ซึ่ง MSSP หลายที่ได้นำไปใช้ในการบริหารจัดการภายในและ การบริการลูกค้าอย่างเป็นระบบ สำหรับมาตรฐาน Information Security Management ได้แก่ มาตรฐาน ISO/IEC 27001 ก็เป็นอีกมาตรฐานหนึ่งที่ควรนำมาประยุกต์ใช้ เช่น การเก็บ Log แบบ Centralized Log System เป็นต้น
ประโยชน์ที่องค์กรได้รับจากการเอาต์ซอร์ส
ประโยชน์ให้เห็นได้ชัดที่สุดคือ ลด TCO (Total Cost of Ownership) และ เพิ่ม ROI (Return on Investment) ให้กับองค์กร
เพราะองค์กร ไม่ต้องลงทุนเองกับเทคโนโลยี SIM (Security Information Management) และ เทคโนโลยี SEM (Security Event Management) เพราะทาง MSSP จะต้องลงทุนในส่วนนี้ให้กับทางผู้จ้างอยู่แล้ว ซึ่งซอฟท์แวร์ทั้ง SIM และ SEM นั้นมีราคาค่อนข้างแพง มูลค่าหลายล้านบาท จึงไม่มีเหตุผลที่องค์กรต้องขี่ช้างจับตั๊กแตนกับซอฟท์แวร์ดังกล่าว ประโยชน์ที่ชัดเจนอีกเรื่องคือ องค์กรไม่ต้องปวดหัวกับการจัดหา บุคลากรผู้เชี่ยวชาญด้านการวิเคราะห์ Log ด้านความปลอดภัยเพราะ MSSP ต้องจัดหาบุคลากรเหล่านี้มาบริการองค์กรอยู่แล้ว และ ประโยชน์ข้อสุดท้าย คือ องค์กรสามารถควบคุม SLA ของ MSSP ได้ดีกว่าองค์กรควบคุมพนักงานของตนเองและ ไม่เป็นการเพิ่ม Head-Count ให้กับองค์กรอีกด้วย
ในเมื่อปัจจุบันองค์กรนิยมให้ความไว้วางใจกับ IT Outsourcer ในการบริหารจัดการระบบเครือข่ายและระบบสารสนเทศขององค์กรแล้ว การมอบหมายให้ IT Security Outsourcer หรือ MSSP เข้ามาดูแลระบบความปลอดภัยข้อมูลคอมพิวเตอร์ของ Server เช่น Windows และ UNIX/Linux รวมถึงอุปกรณ์เครือข่าย เช่น Router/Switching และ อุปกรณ์รักษาความปลอดภัยข้อมูลคอมพิวเตอร์ เช่น Firewall, VPN, IDS/ IPS, Anti-Virus System, Content filtering System ตลอดจนการประเมินความเสี่ยงด้วยการทำ Vulnerability Assessment และ Penetration Testing ก็คงจะไม่ใช่เรื่องแปลกสำหรับองค์กรอีกต่อไป แต่การเลือกใช้ MSSP รายใดรายหนึ่งนั้น กลับกลายเป็นปัจจัยสำคัญที่องค์กรต้องระมัดระวังในการเลือกใช้บริการ เพราะ MSSP ต้องไว้วางใจได้ในระดับหนึ่ง เพราะ MSSP นั้นมีหน้าที่ในการดูแลระบบความปลอดภัยขององค์กรโดยรวมซึ่งถือเป็นหัวใจสำคัญในการดำเนินงานขององค์กรวันนี้
