„A siker kulcsa a tudatos védekezés.”
A cégek számára elengedhetetlen, hogy megfelelő IT biztonsági szolgáltatót válasszanak, azonban a döntés sokszor nem is olyan egyszerű. A szolgáltatók különböző háttérrel, szakmai tapasztalattal és ajánlással rendelkeznek, így alaposan át kell gondolni, hogy kire esik végül a választásunk.
Íme néhány általános alapelv, melyeket érdemes jobban megfontolni, mielőtt elköteleződünk egy szolgáltató mellett:
Anyagi költségek
A legelső, ami alapján összehasonlítást végzünk egy terméknél vagy egy szolgáltatásnál, az nem más, mint az ára. Jelen esetben számunkra releváns szolgáltatókat, például penteszter cégeket hasonlítunk össze, és megpróbáljuk leszűkíteni azokra a lehetséges jelöltekre, akik beleférnek a költségvetési keretünkbe.
Tapasztalat, referencia
Érdemes megbizonyosodni arról is, hogy milyen szakmai tapasztalatokkal, korábbi munkákkal, referenciákkal rendelkeznek. Azonban nem szabad csak erre hagyatkozni. Sokan beleesnek abba a hibába, hogy a nagyobb céget, a „nagy nevet” választják, és csak később derül ki, hogy nem megfelelő számukra. Kisebb cégek lehet, hogy kevesebb tapasztalattal rendelkeznek, de a lelkesedésük, az elkötelezettségük miatt mégis jobb választásnak bizonyulhatnak.
Apró részletek
A kiválasztás időbe telik, hiszen minden részletről pontosan meg kell bizonyosodni. Ilyen lehet például a cég financiális hátterének ellenőrzése, all inclusive árképzésről való meggyőződés, garantált gyors problémamegoldás, felmondási feltételek stb.
Minden apró részlet megvizsgálásával kellemetlen csalódásoktól kímélhetjük meg magunkat.
Ha nincs a látóterünkben IT biztonsági cég, mi alapján válasszunk?
A nagyobb cégekre jellemzőbb, hogy tendert írnak ki, így a számukra legjobbnak, legelőnyösebbnek tűnő ajánlatot választhatják.
Leggyakrabban azonban az ajánlatkérést szokták választani a cégek. Leírják, hogy mi az elképzelésük, mi az, amit szeretnének, és kérnek egy árajánlatot. Ez sem mindig a legjobb megoldás, hiszen konkrét információk, egyeztetett tervek, célok nélkül nem lehet pontos, cégre szabott árat mondani.
Ha biztosra szeretnénk menni, hogy jó szolgáltatót fogunk választani, akkor érdemes lehet a baráti körben, ismerősök között körbe kérdezni. Hiszen, ha ők meg voltak elégedve a választott szolgáltatóval, akkor talán nekünk is megfelelő lehet.
Egy másik hasonló lehetőség a különböző szakmai fórumokon való tájékozódás, ahol szintén lehet az adott cégről visszajelzéseket olvasni.
Ha ezek közül egyik opcióval sem jártunk sikerrel, utolsó lehetőségként még mindig ott van a Google. Rákeresünk az adott szolgáltatásra, és rengeteg találat közül válogathatunk. Ezután még érdemes körültekintően utánajárni, majd pedig felkeresni őket.
Előny egy hazai cég a kiválasztás folyamán?
Természetesen egy magyarországi szolgáltató kiválasztása mindenképpen csak előny lehet. Ahogy minden országnak, így Magyarországnak is megvannak a saját rendeletei, előírásai, törvényei, és egy külföldi szolgáltatótól nem várható el, hogy ezekkel tisztában legyen. Ezen kívül pedig könnyebb a kapcsolattartás, közvetlenebb a kommunikáció és sok esetben az ár is kedvezőbb.
Előfordulhat, hogy vannak átfedések a jogszabályokra vonatkozóan, és ha egy külföldi szolgáltató biztosítani tudja azt, aminek nekünk meg kell felelni, akkor jó választás lehet ő is. Illetve, ha az országunkban nincs olyan szolgáltató, akire nekünk szükségünk lenne, akkor érdemes külföldön keresgélni.
Vannak olyan tanúsítványok, melyeknek a szolgáltatónak meg kell felelnie?
Minden iparágra más szabályok vonatkoznak, az autóiparnak például saját szabványai vannak. A minősítés hiánya azonban eldöntheti az együttműködés lehetőségét, ugyanis vannak olyan cégek, akik nem szerződhetnek tanúsítvány nélkül.
Ha egy szolgáltatót IT biztonsági szempontból akarunk megítélni, és azt tapasztaljuk, hogy rendelkezik ISO27001-es tanúsítvánnyal, akkor nagy valószínűséggel megnyugodhatunk. A tanúsítvány nem kötelező, de ha egy cég pénzt és időt fordít arra, hogy megszerezze, a folyamatait beállítsa, az emberei képzettek legyenek, az mindenképpen előnyt jelent. Ha valaki nem rendelkezik vele, az nem azt jelenti, hogy a cég nem jól működik vagy nem biztonságos, azonban kockázati szempontból érdemes lehet átgondolni.
Milyen gyorsan hívható életre biztonsági átvilágítást segítő program?
Mindig az adott programtól függ. A bug bounty program például a megbeszélést követően pár órán belül elérhető, azonban egy szimulált laborkörnyezetben indított program, ahol időpontot kell egyeztetni, a tesztelő kollégákat összehívni, több időt vehet igénybe. Ha az ügyfél minél gyorsabban szeretné, akkor legkésőbb két napon belül mindegyiknek el kell tudni indulni.
Szükséges projektmenedzser a szolgáltató részéről, aki összefogja az igényeket?
Természetesen ez szolgáltatás függő. Ha csak egy rendszergazdára van szükségünk, akkor nem, azonban egy komplexebb szolgáltatásnál mindenképpen. A projektmenedzser meghatározásával segítjük az együttműködést, tisztában leszünk vele ki a felelős a folyamatok irányításáért, probléma esetén kihez kell fordulni, tájékoztatást kaphatunk tőle, hogy a tervezett időhöz képest hol állunk, mennyit fogunk esetlegesen csúszni. Ő tehát végig kommunikál az ügyféllel, felügyeli a folyamatokat és kezeli a konfliktushelyzeteket.
Az ügyfél részéről szükséges lehet egy projektgazda?
Az ügyfél részéről is szükséges egy projektgazda, aki belülről ismeri a céget, és akihez kérdés esetén fordulni lehet. Határozzuk meg azt is, hogy ki miért felelős, kinek mi a feladata, különben idő- és pénzveszteségre számíthatunk.
Milyen gyakori kommunikációra számíthatunk? Érdemes zárt rendszeren kommunikálni?
Bármilyen projekt esetében érdemes legalább hetente egyeztetni. Ez a megrendelő számára is fontos, hiszen tájékoztatást kap a folyamatokról. Bizonyos projekteknél előfordulhat a napi szintű kommunikáció is, de általában a heti szintű kapcsolattartás a jellemző.
Manapság minden IT biztonsági szolgáltató fel van készülve különböző rendszerekkel, hiszen az ügyfélnek szeretne megfelelni. Sok lehetőség közül választhatunk, bug bountynál például érdemes a Gira vagy a Trello használata, ahová a riportokat lehet rögzíteni, követni lehet az állapotot, illetve az informatikussal is lehet egyeztetni. Ezek a rendszerek gyorsítják a kommunikációt, így érdemes egy számunkra megfelelőt választani.
Milyen fizetési konstrukció a legjobb az ügyfél szempontjából?
A fizetés általában az ügyfél igényei szerint történik, ez lehet óradíj, programdíj, hibánkénti díj. A bug bountynál például hibánkénti díjakra számíthatnak az ügyfelek, és ezeket összegyűjtve havonta számlázzuk az aktuális összeget.
Az IT biztonsági szolgáltató kiválasztása kulcsfontosságú, így érdemes több céget is megnézni, ellenőrizni, hogy megtaláljuk az optimális partnert.
Bug bounty program indításával kapcsolatban keress minket bizalommal!