Stale rosnące wymagania dotyczące zabezpieczenia danych i infrastruktury IT sprawiają, że firmy coraz częściej rezygnują z instalacji on-premise na rzecz modelu usługowego. Daje on wsparcie wykwalifikowanych pracowników w monitorowaniu i utrzymaniu infrastruktury, a w razie potrzeby odpowiednią reakcję na incydenty.
Każdy model sprzedaży usług bezpieczeństwa, by stał się atrakcyjny dla firm, musi odpowiadać na ich potrzeby i jednocześnie rozwiązywać konkretne problemy. Przy stale zwiększającym się niedoborze wykwalifikowanej kadry, a tym samym rosnącym koszcie zatrudnienia specjalistów, przedsiębiorstwa coraz częściej decydują się na wybór dojrzałego modelu usługowego. W obecnej sytuacji rynkowej wygrają dostawcy, którzy w ramach usługi dostarczą kompleksowe wsparcie, a nie jedynie pudełko opłacane ratalnie.
Korzyści modelu usługowego
Model sprzedaży, w którym rozwiązania ochronne są dostarczane w formie usługi, cały czas się rozwija i zyskuje na znaczeniu. Wynika to zarówno z sytuacji rynkowej, a więc braku odpowiedniej liczby specjalistów i czasu na szkolenie ludzi, jak i z rosnącej liczby potencjalnych zagrożeń oraz ich coraz większej złożoności. Wielu klientów decyduje się na współpracę w modelu MSS (Managed Security Service) z powodu dodatkowych korzyści, które mogą uzyskać, a więc rozliczania kosztów inwestycji w zabezpieczenia jako OPEX czy minimalnego kosztu inwestycji początkowej i planowania projektu w taki sposób, by niezbędne środki rosły wraz ze zwiększającą się liczbą klientów. Zarządzane usługi bezpieczeństwa to szansa dla integratorów na zbudowanie unikatowej oferty, w której mają realną możliwość kreowania własnego produktu. Nawet jeśli korzystają z narzędzi tego samego producenta, to ich usługi mogą znacząco się różnić.
– Zarządzane usługi bezpieczeństwa to nie tylko komercyjne narzędzia i produkty użyte jako szkielet do ich budowy, ale przede wszystkim skuteczna umiejętność implementowania i utrzymywania procesów ochronnych i reakcji na występujące incydenty – wyjaśnia Grzegorz Szałański, Product Manager Fortinet w Veracompie.
Ponadto integratorzy skupieni na takiej formie prowadzenia biznesu budują bliskie i trwałe relacje z klientami, dzięki czemu lepiej rozumieją ich potrzeby. Zapewnia to tworzenie zarówno nowych usług, jak i zwiększanie wartości dotychczasowych.
– Istotnym elementem jest także rola doradcza, która może obejmować o wiele więcej niż tylko oferowane usługi. Duże znaczenie ma tutaj praktyczna wiedza partnera, dzięki której będzie on w stanie rozwiązywać problemy klientów, oferując najbardziej dopasowane produkty w przystępnej formie – twierdzi z kolei Michał Jurczak, Product Manager marki WatchGuard.
Standardowe podejście bazujące na wdrożeniu systemu, jego utrzymaniu i rozwiązywaniu ewentualnych problemów migruje w stronę proaktywnych i reaktywnych usług. W miarę wprowadzania nowych zaawansowanych technologii klienci oczekują, że świadczone im usługi zostaną rozszerzone o ciągły monitoring, raportowanie, zarządzanie i automatyzację procesów związanych z bezpieczeństwem sieci, co z kolei umożliwia partnerom zwiększanie i generowanie nowych dochodów.
Sposoby finansowania
Ogromną zaletą zarządzanych usług bezpieczeństwa są elastyczne formy finansowania, które najczęściej mają formę miesięcznego abonamentu dla klienta końcowego. Podejście producentów do tego zagadnienia jest bardzo różne i może obejmować zarówno standardowe formy przedpłaty na określony okres (np. rok lub trzy lata), jak i coraz bardziej popularny system pay-as-you-go.
– Sposób finansowania w dużej mierze zależy od producentów, którzy w różnym stopniu wspierają model MSS. Veracomp jako dystrybutor często uczestniczył w skutecznym budowaniu modeli hybrydowych, w których dzięki wykorzystaniu standardowych produktów udawało się znacznie ograniczyć koszt inwestycji inicjującej i przesunąć dużą część kosztów na subskrypcję. W tym przypadku sporo zależy od tego, w jakim stopniu usługodawca jest w stanie optymalizować model kosztowy w oparciu o instytucje finansowe, dystrybucję lub producenta – wyjaśnia Grzegorz Szałański.
Odpowiedź na potrzeby odbiorców
Analizując produkty i technologie dostępne na rynku, można wyciągnąć mylny wniosek, że nie wszystkie są gotowe na to, by korzystać z nich w modelu MSS. Tymczasem nie zawsze sposób licencjonowania, możliwość podziału systemu na pojedynczych klientów usługi i centralne zarządzanie odzwierciedlają potrzeby, które mogą mieć krytyczne znaczenie dla uruchomienia produktu.
– Tworząc przez lata takie usługi, nauczyliśmy się, że sposób implementacji ma drugorzędne znaczenie. Kluczowe jest określenie, jakie korzyści ma ona dostarczać, jakie problemy będzie rozwiązywać, co nowego wniesie oraz jak elastycznie będzie skonstruowana, by finalnie docierać do klientów o różnych potrzebach. Przeprowadzając taką analizę, w pierwszej kolejności bierzemy pod uwagę to, jak uniwersalna ma być usługa, a następnie jak możemy ją dostosować do specyficznych potrzeb odbiorców – wyjaśnia Grzegorz Szmigiel, dyrektor techniczny w Veracompie.
O tym, które systemy czy produkty posłużą do budowy usługi, decyduje przede wszystkim ich jakość, potwierdzona przez raporty, opracowywane przez niezależne instytucje. Na podstawie testów rozwiązań, a następnie porównywania ich wyników z wiedzą ekspercką dokonują one ich oceny.
Do takich produktów możemy zaliczyć zintegrowane systemy bezpieczeństwa typu Next Generation Firewall, które – wyposażone w wiele różnorodnych funkcji ochronnych – pozwalają zabezpieczać punkt styku sieci z internetem. Oprócz tradycyjnej kontroli dostępu przeprowadzają one analizę komunikacji w warstwie 7, obejmującej kontrolę antywirusową, ochronę przed atakami, rozpoznawanie i kontrolę aplikacji czy filtrowanie URL. Wszystkie te elementy, połączone z analizą komunikacji szyfrowanej protokołem SSL i mechanizmami bezpiecznego zdalnego dostępu do firmy z wykorzystaniem szyfrowanych połączeń VPN, stanowią solidną podstawę, umożliwiającą realizację procesu bezpieczeństwa zgodnie z dobrymi praktykami w każdej sieci.
W modelu MSS są dostarczane zróżnicowane technologie, m.in. mechanizmy SD-WAN, uwierzytelnianie wieloskładnikowe, ochrona i kontrola poczty elektronicznej, portali i aplikacji, a także analiza zagrożeń i zarządzanie podatnościami – przeznaczone dla standardowego środowiska teleinformatycznego firmy i dla środowisk OT. Innymi funkcjami są: analiza zachowań w sieci, audyt polityki bezpieczeństwa i zarządzanie politykami w środowisku heterogenicznym, security awareness, czyli kampanie szkoleniowe uświadamiające zagrożenia, a także raportowanie i zarządzanie incydentami.
Prawne aspekty modelu MSS
Jednym z obszarów, który wymaga bardzo precyzyjnego podejścia, jest aspekt prawny świadczonej usługi. W szczególności dotyczy on zarządzania ryzykiem (compliance), zachowania poufności informacji i zapisów umów licencyjnych stosowanych technologii.
W obszarze zachowania poufności najczęściej temat zostaje wyczerpany przez tzw. umowę NDA (Non-Disclosure Agreement), która definiuje samo pojęcie informacji poufnych i zakres, w jakim strony umowy udostępniają sobie dane i odpowiedzialność na wypadek wycieku.
Compliance z kolei można rozpatrywać w dwóch kategoriach. Pierwsza z nich to zgodność świadczonych usług z aktami prawnymi, regulującymi kwestie ochrony danych na terenie Unii Europejskiej. Ma to szczególne znaczenie, gdy przykładowo w trakcie świadczonej usługi mamy dostęp do danych osobowych w rozumieniu RODO i je przetwarzamy. Drugi obszar zgodności odnosi się do zapisów umów licencyjnych stosowanych technologii (tzw. EULA – End-User License Agreement). Omawiany model biznesowy sprowadza się do tego, że integrator nabywa wybrane technologie na własne potrzeby, a następnie, opierając się na ich funkcjonalnościach, świadczy usługę dla jednego lub kilku swoich klientów. Bardzo często producenci z góry zastrzegają w EULA zakaz korzystania z ich produktów w modelu usługowym, chyba że integrator przystąpi do specjalnego programu typu service provider (o ile jest on w ogóle dostępny). W przeciwnym wypadku pozostaje negocjowanie z producentem możliwych odstępstw od zapisów EULA.
Stawiamy na doradztwo
Veracomp od kilku lat uczestniczy w projektach typu MSS, doradzając i współtworząc produkty dostarczane w modelu usługowym. Jest to proces wieloetapowy, uwzględniający m.in.: opracowanie koncepcji, określenie grupy docelowej, zdefiniowanie zakresu i wariantów usługi, opracowanie projektów HLD i LLD, finansowanie i wycenę, wdrożenie, szkolenia techniczne i handlowe oraz działania marketingowe.
– Uczestniczymy w każdym etapie tego procesu, dzieląc się naszymi doświadczeniami, uzyskanymi w czasie prawie 30-letniej działalności firmy. Mając szeroką wiedzę z zakresu produktów i technologii, łącząc je oraz znając potrzeby klientów, możemy wnieść do tego typu produktów nowe wartości, które będą wyróżniały oferowane usługi pośród innych dostępnych na rynku – podkreśla Grzegorz Szmigiel.
Praktyka pokazuje, że w firmach rosną potrzeby funkcjonalne i jakościowe, wynikające niejednokrotnie z różnego rodzaju regulacji i rozporządzeń. W tym wypadku zwiększa się znaczenie specjalizowanych usług, dostarczanych w formie precyzyjnie dopasowanej do potrzeb odbiorcy.
Potwierdzają to badania pokazujące, że zainteresowanie zarządzanymi usługami bezpieczeństwa będzie dynamicznie wzrastać. Według analityków z firmy badawczej Market Research Engine do 2024 r. przedsiębiorstwa na świecie planują wydać ponad 58 mld dol. na korzystanie z Managed Security Service.
Charakterystyka technologii w modelu MSSP:
Technologie w ramach modelu managed security service
Link do artykułu w portalu CRN: