Передача внешней компании не только функций управления ИТ, но и информационной безопасности помогла «Лето Банку» развернуть бизнес с нуля, причем в рекордно короткие сроки. Именно этот проект и стал темой нашего разговора с Сергеем Чиковым, руководителем службы информационных технологий «Лето Банка».
Intelligent Enterprsie: Можно ли было бы и без аутсорсинга развиваться с той скоростью, как развивался ваш банк?
Сергей Чиков: Решение об открытии нашего банка руководство Группы ВТБ приняло в начале 2-го квартала 2012 года. На старте в ИТ-службе было всего два сотрудника, к маю 2012-го — трое. Все они выполняли исключительно управляющие функции. Они должны были спроектировать ИТ банка таким образом, чтобы выдержать запланированные сроки запуска сервисов, установленные акционерами. Согласно планам кредитование в розничных торговых точках (или POS-кредитование) должно было быть запущено к августу того же года, а кредитование в офисах банка — к октябрю. Если бы мы строили ИТ-инфраструктуру и ИТ-архитектуру традиционно, своими силами, то не смогли бы выдержать эти сроки. Да и никто не смог бы. Успешных примеров тому ни в России, ни в мире к тому времени не было, нет их и сейчас. Иного выхода, кроме как использовать аутсорсинговую модель ИТ, мы просто не видели.
Именно выбор аутсорсингового решения позволил запустить сервисы в заданные сроки. Первый POS-кредит был выдан 23 августа 2012 года, а первый кредит наличными — 1 октября. Так что модель полного аутсорсинга на ранней фазе развития была единственно возможной.
И мы не стали менять эту стратегию. На пике развития мы открывали по клиентскому центру в день. Это самый высокий темп развития филиальной сети в России и один из самых высоких в мире, причем не только в банковской сфере.
А к настоящему моменту что-то изменилось?
Если на момент открытия банка во главу угла ставилась задача справиться с крайне агрессивными сроками открытия сети клиентских центров, развертывания информационных систем и разработки кредитных продуктов, то в настоящее время значительное внимание уделяется вопросу эффективности и стабильности предоставляемых бизнесу ИТ-сервисов. Мы тщательно отслеживаем результативность бизнес-процессов и там, где аутсорсинг дает наибольший эффект, применяем его.
Например, филиальная сеть уже приобрела более-менее законченный вид, и аутсорсинговая модель позволяет нам управлять филиалами с достаточной гибкостью. Открытие нового клиентского центра с точки зрения ИТ занимает не более двух дней. При использовании традиционной модели на это порой уходило не меньше времени, чем на поиск помещения и подготовку его к использованию. Да, в кризисное время мы реже открываем новые клиентские центры, однако сейчас более остро встала проблема оптимизации размещения офисов. Этот процесс, называемый на нашем сленге перелокацией, также необходимо выполнять в максимально короткие сроки. Мы укладываемся в те же один-два рабочих дня. При традиционной ИТ-модели эта процедура занимает не просто в разы, а даже на порядок больше времени и ресурсов, прежде всего людских. Положение усугубляется тем, что идёт постоянная ротация персонала, а новых сотрудников необходимо переобучать. А ведь это дополнительные расходы.
Аутсорсинговая модель позволяет нам полностью сосредотачиваться на дальнейшем развитии, что было бы проблематично при традиционной модели, когда 80% сил и средств тратится на поддержку работоспособности ИТ-инфраструктуры. Мы от этого полностью избавлены, хотя контроль за деятельностью аутсорсеров и оценка их эффективности как по сравнению с конкурентами на рынке, так и сравнительно с ИТ-отделом банка ведется постоянно. Примеры отказа от аутсорсинга в пользу собственных компетенций у нас также есть.
Когда появились задачи, которые потребовали знания наших систем и процессов изнутри, понимания особенностей работы банковской сферы и конкретно продуктов «Лето Банка», мы набрали профессиональную команду. Они постоянно погружены в динамически изменяющиеся процессы банка. Сейчас у нас в ИТ-службе около 50 человек. Из них одну половину составляют менеджеры, архитекторы и аналитики, а вторую — сотрудники, отвечающие за поддержку прикладных систем. Это то, что называется второй линией. Сотрудники аутсорсера в такой ситуации будут действовать с заведомо меньшей эффективностью.
Возникали ли при использовании аутсорсинговой модели ИБ регуляторные риски? Какие участки были наиболее проблемными? Как эти риски закрывались?
Могу открыть тайну, которая, впрочем, не является секретом для банковского ИТ-сообщества: аутсорсинг в той или иной форме используют все без исключения банки, по крайней мере из первой сотни. Другое дело, что не все об этом открыто говорят. Наш случай уникален лишь тем, что мы передали не часть ИТ-инфраструктуры, а всю ее.
Что касается соблюдения формальных требований регуляторов, то и здесь нет никаких препятствий. Все нормативы и стандарты исполнимы при использовании аутсорсинга, и мы им полностью удовлетворяем, что показала, например, недавняя проверка, проведённая Центробанком, которую мы успешно прошли. Все возможные риски — доступ аутсорсера к коммерческой тайне или к персональным данным — в нашем случае полностью закрыты. Обслуживанием бизнес-приложений занимается команда банка, поскольку в них содержится информация, не подлежащая разглашению. Аутсорсер эти данные просто не видит, что, однако, не препятствует его эффективной работе. Он фиксирует сами факты атак, попытки нелегитимного доступа к ресурсам и прочие инциденты, о которых оповещает банк. Дальнейшие действия по этим инцидентам предпринимает уже наша служба безопасности. Таким образом, на аутсорсинг отдан весь оперативный уровень и часть тактического. Деятельность по расследованию инцидентов и формирование стратегии развития ИТ остаются на стороне банка.
В целом же разговоры о рисках аутсорсинга имеют вполне человеческую природу. Сотрудники ИТ-служб просто опасаются за свое будущее в том случае, если участок, за который они отвечают, будет передан на аутсорсинг. А руководители боятся, что им урежут ресурсы и тем самым понизится их административный вес. Да, по-человечески их можно понять, но их интересы не всегда в одной плоскости с интересами компании.
Как выбирали оператора? Насколько сложно решать эту задачу за пределами больших городов?
Оператора выбирали исходя из анализа реализованных проектов. Мы ознакомились с примерами претендентов и приняли решение о сотрудничестве с компанией «Инфосистемы Джет».
Задачи развертывания и обслуживания клиентских центров за пределами больших городов удалось упростить благодаря типизации ИТ-инфраструктуры, в первую очередь сетевой, самих клиентских центров банка, административных офисов и точек продаж. Проще говоря, оборудование однотипных точек продаж ничем друг от друга не отличается. Это касается конфигурации рабочих мест, требований к каналам связи и сетевой аппаратуре и прочих параметров. На рабочих местах никакие системы локально не устанавливаются, и никакие данные там не хранятся. Пожалуй, единственной прикладной программой является Web-браузер, что позволяет закрыть множество потенциальных проблем с безопасностью, которые приходится разрешать при использовании локального ПО и баз данных. При этом данные, передаваемые по сети, шифруются с помощью стандартного протокола SSL. И такая типизация позволяет быстро открывать точки даже в весьма отдаленных местах, лишь бы была связь хотя бы уровня 3G.
Каналы связи мы, к слову, тоже арендуем, а не строим сами. Это позволяет нам обеспечивать необходимый уровень мобильности, что важно в условиях довольно частой перелокации наших точек. И именно со связью больше всего проблем, особенно в небольших и средних городах, не говоря уже о поселках. Там далеко не редкость ситуации, когда работает лишь один оператор связи, который, пользуясь своим монопольным положением, устанавливает очень высокие цены. Однако таких мест становится все меньше, и в большинстве регионов нашего присутствия есть конкуренция, а соответственно и цены на связь вполне разумные. Но и подбор оператора также не является для нас головной болью: этим занимается наш интегратор исходя из требований к пропускной способности и стабильности работы канала связи.
От оператора требовалось только обеспечить логистику оборудования типовых рабочих мест и найти субподрядчиков, которые занимаются вводом в эксплуатацию, поддержкой и ремонтом. А такие субподрядчики есть повсюду, и, надо сказать, для местных компаний это хороший заработок, поэтому они стараются соответствовать всем требованиям. Случаи отказа от услуг субподрядчиков вследствие ненадлежащего качества услуг были единичными.
Какие сервисы информационной безопасности переданы на аутсорсинг? Насколько велики отличия от того, как если бы эта инфраструктура строилась своими силами?
Оператор обеспечивает безопасность ИТ-инфраструктуры и прикладных систем согласно бизнес-требованиям банка. Разработка регламентов, подготовка документов, обучение сотрудников, проведение внутренних проверок остались в ведении нашей службы безопасности, а эксплуатация средств защиты, обеспечение их работоспособности, мониторинг инцидентов и реагирование на них, контроль защищенности переданы на аутсорсинг. В ведении аутсорсера находятся такие сервисы, как антивирусная защита, межсетевое экранирование, защита каналов связи, обнаружение сетевых атак, анализ защищенности, контроль удаленного доступа и доступа в Интернет. Это ядро, которое позволило, с одной стороны, соответствовать требованиям регуляторов, а с другой — обеспечить хороший базовый уровень безопасности. Только в этом году банк подвергся нескольким атакам, которые удалось успешно отразить.
Сервисы информационной безопасности предоставляются из первого российского коммерческого центра мониторинга ИБ — JSOC, использование которого позволяет реагировать на угрозы и ИБ-инциденты, выявлять и предотвращать их в круглосуточном режиме. JSOC дает возможность управлять состоянием ИБ из единого окна, а значит, чуть глубже смотреть на ИТ- и бизнес-процессы банка, в том числе отслеживать инциденты, обнаружить которые не способны средства защиты.
Если делать все это своими силами, то только для обработки запросов нам пришлось бы создать службу из пяти-шести специалистов, а это довольно ощутимые затраты. Сейчас за информационную безопасность в банке отвечает лишь один сотрудник. Инвестиции, которые банк тратит на услуги аутсорсинга, существенно ниже, при этом мы получаем доступ к самым разнообразным компетенциям. Плюс ко всему аутсорсинговый оператор, обслуживающий и других заказчиков, видит инциденты и тенденции в банковской сфере и может превентивно скорректировать ИБ-политики и оперативно дать больший уровень защиты, чем если бы этот анализ приходилось проводить самостоятельно. При этом часть информации для нас неизбежно остается недоступной.
Означает ли аутсорсинг полный отказ от создания своей инфраструктуры?
Такой отказ у нас заложен исходно, и в настоящее время банк развивается в соответствии с этим принципом. Инфраструктурные составляющие вычислительного центра и инфраструктура в клиентских центрах банка отданы на аутсорсинг. Физически эти ресурсы располагаются в двух коммерческих дата-центрах: всё оборудование принадлежит компании-оператору и используется для оказания услуг только нам.
Однако на текущем этапе развития наш банк более заинтересован в повышении эффективности всех своих процессов, и если собственная или смешанная инфраструктура окажется более выгодной для нас, мы будем реализовывать наиболее предпочтительное решение. Так, оборудование для рабочих мест (телефоны, ПК и другое) мы закупаем сами. Аутсорсинг этой части экономически невыгоден. Кроме того, аутсорсинговый контракт заключается на несколько лет. И если серверы могут столько проработать, то срок жизни персонального компьютера обычно меньше.
И, естественно, все стратегические функции мы оставляем за собой, аутсорсеру же отводится роль исполнителя.
С Сергеем Чиковым беседовал обозреватель Intelligent Enteprise Яков Шпунт