Правилото 80/20 за работа с компании за информационна сигурност е да изберете тази, която отговаря на вашия бизнес и стил, а не тази, която сте намерили в списък с „10-те най-добри компании за информационна сигурност“. Това гарантира, че ще изразходвате най-малко усилия и ще получите най-много ползи. Тази статия ще ви даде всички инструменти и техники за избор на правилния.
Какво представляват компаниите за информационна сигурност | Проблеми и решения | Управление на проекти | Управление на бюджета | Предотвратяване на неуспехи | Сигнали за успех | Работа с |
Преглед
Какво представляват компаниите за информационна сигурност?
Компаниите за информационна сигурност са тези, които помагат на предприятията да станат и да запазят сигурността си. Те могат да продават продукти или услуги в областта на информационната сигурност, да предоставят консултации или одити или да препродават продукти срещу печалба от всяка продажба. Третият тип е този, който е добре да избягвате.
Какви са разликите между компаниите за информационна сигурност?
Основната разлика между компаниите за информационна сигурност е тяхната основна бизнес цел. Компаниите за информационна сигурност имат три основни бизнес цели:
- Да продават своя софтуер за информационна сигурност
- Предоставяне на услуги за информационна сигурност
- Да продавате чужд софтуер за информационна сигурност
Основният проблем за по-малките предприятия с до 500 служители е, че собствениците не знаят кой софтуер да купят и защо. Те също така не знаят как да изберат правилния продукт за информационна сигурност сред хилядите на пазара и лесно се поддават на влиянието на продажбите на компаниите за информационна сигурност, за да вземат погрешно решение. Нужно ли е изобщо да купувате нещо, когато нямате никакви защитни процеси?
След това има компании за информационна сигурност, които предлагат услуги.
Кой може да се нуждае от услугите на компания за информационна сигурност?
По-големите предприятия разполагат с вътрешен екип по информационна сигурност. Този екип решава кой софтуер за информационна сигурност да закупи и от кой доставчик да закупи въз основа на тестване и валидиране на различните им продукти.
По-малките предприятия не разполагат с лукса да имат свой екип по информационна сигурност и разчитат на компания за информационна сигурност, която да им помогне да изберат правилно инструменти и услуги.
Ако сте малък бизнес, най-вероятно трябва да работите с компания за информационна сигурност:
- Вижте къде се намирате по отношение на текущите си защити
- Открийте всички уязвимости във вашите ИТ практики и инфраструктура
- Приоритизиране на действията за отстраняване на уязвимостите въз основа на бизнес целите ви
- План за отстраняване на най-неотложните открити уязвимости
- Започнете да изграждате защитата си в областта на превенцията, откриването и реагирането
- Потвърждаване на извършената работа
- В крайна сметка може да се наложи да потърсите виртуален CISO, който да ви помогне с дългосрочните планове за защита.
Какви видове компании за информационна сигурност има?
Съществуват три основни вида компании за информационна сигурност, както беше посочено по-горе. Но дори и те имат десетки подтипове. Например компаниите, предлагащи услуги в областта на информационната сигурност, могат да предлагат отбранителни или нападателни услуги. Обикновено първо трябва да работите с отбранителна компания. След това, когато защитата ви е готова, можете да се опитате да използвате помощта на офанзивна фирма, за да заобиколите всички защитни мерки. Без да тествате защитата си, може никога да не разберете дали тя е ефективна или не.
Фирми за информационна сигурност, предлагащи защитни услуги:
- Одиторски дружества: ISO 27001, CMMC, SOC 2, NIST 800-53. Одитът е необходима първа стъпка, преди да започнете работа с която и да е компания за информационна сигурност. В противен случай няма да имате референтна рамка или план и ще се окажете с хаотичен списък от защити.
- Консултантски компании: помагат ви да се подготвите за официално сертифициране, да изградите практични и ефективни защити или да решите конкретен проблем. Обикновено те съчетават десетилетия опит и могат да ви помогнат да разрешите бързо и ефикасно предизвикателството, свързано с киберсигурността.
- Високоспециализирани: фокусират се върху специфични области: ядрена, финансова, правна и други. Ако бизнесът ви изисква специфични умения в областта на сигурността, трябва да работите със специализирана компания за информационна сигурност. Генералистите не могат да работят добре в областта на ядрената енергетика, например.
- Прекупвачи: избягвайте ги. Тяхната мотивация е да продадат най-скъпия билет, а не най-ефективния или най-изгодния за вас.
Компании за информационна сигурност, предлагащи офанзивни услуги:
- Фирми, предоставящи услуги за тестване за проникване и симулация на атаки:
- Тестване за проникване в API
- Тестване за проникване в уеб приложения
- Пълномащабно тестване за проникване в цялата ви инфраструктура
- Фирми, предлагащи услуги за симулация на социално-инженерни атаки
- Услуги за симулация на фишинг
- Услуги по симулация на социално инженерство
- Услуги по симулация на атаки срещу физическата сигурност
Каква е разликата между компаниите за информационна сигурност и доставчиците на софтуер за сигурност?
Проблеми и решения
Кои проблеми решават компаниите за информационна сигурност?
Колкото повече се разраства бизнесът ви, толкова по-сложна и уязвима става ИТ инфраструктурата ви. Добавяте нови услуги, нови сървъри, компютри, устройства, хора, облачни услуги и всички те добавят нови слаби елементи. Колкото повече уязвими места има вашият бизнес, толкова по-лесно е за хакерите да проникнат в него. Ако го направят, те могат да откраднат данните на клиентите ви, да изнудват вас и клиентите ви, да пренасочат пари от банковите ви сметки. Всички тези проблеми могат да бъдат предотвратени с помощта на правилната компания за информационна сигурност.
- Незащитени облачни услуги: Ако използвате услугите на Google Workspaces или Microsoft 365, има вероятност само 2-3% от всички настройки за сигурност да са зададени правилно.
- Незащитени крайни точки: ако компютърът е защитен само с антивирусна програма, той е незащитен. Антивирусната програма е само една от повече от 450-те настройки, които трябва да има лаптопът, за да се счита за сигурен. Помислете за това: операционната система има стотици настройки, пакетът Office – също. Браузърите ви имат десетки настройки за сигурност, които обикновено не са маркирани, и т.н.
- Незащитени акаунти: имейл акаунти, акаунти за услуги в облака, акаунти на локалната система и акаунти за услуги – всички те се нуждаят от адаптиране и внимателна защита.
Компанията за информационна сигурност трябва да е наясно с всички тях – затова винаги трябва да се извършва одит, преди да се пристъпи към каквито и да било поправки.
Управление на проекти
Как управлявате проекти, когато работите с компания за информационна сигурност?
Проектите за сигурност могат да продължат дни или месеци. Използването на подходящи техники за управление на проекти ще увеличи вероятността за успех.
- Винаги започвайте всеки нов бизнес проект, като включвате в него компанията си за информационна сигурност.
- Преди да стартирате проектите си, не забравяйте да получите одобрение от компанията за сигурност.
- Използвайте kanban като система за управление на проекти – установили сме, че това е най-ефективният инструмент за управление на проекти при работа с компании от различен мащаб.
Управление на бюджета
Какви са капаните на бюджетните разходи, когато работите с компания за информационна сигурност?
Всеки бюджет за информационна сигурност се състои от три части:
- Бюджет за вашия екип: заплати, обучение, инструменти
- Цената на работата с компания за информационна сигурност
- Цената на инструментите и софтуера, необходими за поддържане на ефективна защита. С други думи, ефективна програма за информационна сигурност.
Да предположим, че имате 500 служители и един инженер по информационна сигурност. Възлагате ролята на CISO на виртуален CISO и трябва да закупите инструменти и софтуер, които да ви позволят да изпълнявате функциите по предотвратяване, откриване и реагиране.
Средно ще плащате около 6000-8000 долара на месец за инженер по информационна сигурност, като към това се добавят данъците и другите държавни разходи за служител на пълен работен ден, разходите ви ще бъдат около 10 000 долара на месец за този един инженер по сигурността или 120 000 долара на година.
Виртуалният CISO за компания от този размер ще струва приблизително толкова, така че добавяме още 120 000 долара годишно.
Тогава ще ви е необходимо:
- Сигурност на крайните точки: EDR или XDR, около 12 долара на машина, 500 – 6000 долара годишно
- SIEM: ако приемем, че разполагате с около 30 сървъра и 20 облачни услуги, използвани от 500 служители, разходите ви ще бъдат около 30 000 USD годишно като абсолютен минимум.
- Инструменти за реагиране и разследване: в зависимост от използваните операционни системи и възможностите за разследване може да похарчите около 5000 USD годишно за лицензи.
Засега за компания с 500 служители средните разходи за адекватна програма за информационна сигурност са около 281 000 USD годишно.
Звучи като много пари, нали?
Сега нека направим обратна математическа операция.
281 000 / 500 / 12 = 46,83 USD на служител на месец, за да се гарантира сигурността на този служител и на всички данни, с които работи. Този служител вероятно пие кафе за толкова, ако не и повече.
Все още ли ви се струва, че това е значителна инвестиция?
Сега помислете за следното. Ако имате 500 служители, вероятно имате десетки, ако не и стотици клиенти, всеки от които ви е поверил ценни данни. Само един пробив може да разкрие данните на всички ваши клиенти и служители.
Рискове за бюджета ви за информационна сигурност:
- не проверявате неутралността на компанията за сигурност: тя може да препоръчва софтуер заради връзките си с доставчиците, а не заради стойността и ползите от софтуера. Цена: цената на лицензите.
- Наемане на неподходящ инженер по сигурността: може да се окаже, че за една година сте наели и уволнили няколко души, без да имате инженер по сигурността, на когото да плащате заплата. Как да го избегнете: доверете се на компанията си за информационна сигурност, за да ви помогне да намерите подходящия човек за вашия бизнес и изисквания. Разходи: 120 хил. долара
- Наемане на неправилен виртуален CISO чрез наемане на неправилна компания за сигурност: ако сте прочели тази статия, би трябвало да имате повече от достатъчно данни, за да изберете правилната. Цена: 120 хил. долара
Как да изберете подходящата за вас компания за информационна сигурност?
Изборът на партньор, с когото да работите, е процес, който сте следвали и преди, но е по-лесен, когато търсите в област, която познавате добре. Информационната сигурност вероятно е област, която е напълно чужда за повечето собственици на фирми. Ето защо сме подготвили кратък списък с правила, които да следвате, когато избирате сред хилядите компании за информационна сигурност.
Предотвратяване на неуспех
Вашата отговорност е също толкова важна, колкото и тази на компаниите за информационна сигурност, с които работите.
Това са областите, на които може да искате да обърнете повече внимание:
- Винаги уточнявайте изискванията си предварително и с възможно най-много подробности. Ако се нуждаете от помощ в тази насока, помолете компанията за информационна сигурност да ви помогне да съставите изискванията си, преди да приеме да работи по тях.
- Очаквайте планина от работа, която ще постъпи от компанията за сигурност към вашия ИТ екип. Екипът ви вече е натоварен, така че може да помислите дали да не добавите още хора към него.
- Парите, които плащате на компанията за информационна сигурност, са незначителни в сравнение с тези, които ще трябва да похарчите в човекочасове и пари, за да превърнете цялата си компания в сигурен и устойчив бизнес. Едно е да продаваш на пазар, а съвсем друго е да изградиш крепост около този пазар. Не забравяйте да назначите и да отделите достатъчно ресурси, за да се подсигурите. В противен случай всички ще се изтощят и ще се откажат.
- Комуникацията и дипломацията са от ключово значение. Докато всеки екип и бизнес процес в компанията ви се трансформира, хората несъмнено ще се съпротивляват на промяната. Те дори саботират промените и нарочно предизвикват неуспехи, за да докажат, че сигурността не е добра идея. И всичко това, защото хората не обичат промените. Подгответе ги предварително за това, което предстои, и ги подкрепете в борбата за промяна.
- Предоставете на охранителната фирма достатъчно правомощия за прилагане на всяка промяна. Това означава, че те трябва да работят с правомощията на главния изпълнителен директор на вашата компания. Звучи плашещо, но представете си, че всеки мениджър във вашия бизнес може да попречи или направо да спре проекта за сигурност? Не позволявайте това да се случи.
- Сигурността е маратон, а не спринт. Дори и да се нуждаете от работа само за няколко месеца поради малкия размер на вашата компания, хакерите ще продължат да се опитват да проникнат чрез различни и все по-сложни методи. Ако не разполагате с подкрепата на компания за информационна сигурност, която да подобрява постоянно защитните ви мерки, хакерите ще успеят да ви превърнат в своя жертва.
Добрите компании за информационна сигурност вече знаят своите отговорности – не забравяйте да се вслушате в начина, по който подхождат към вашия проект и към вас по време на първата ви среща и по време на целия процес на предварителна продажба.
Сигнали за успех
Какви са признаците за успешен проект с компания за информационна сигурност?
Това са сигналите за потенциален успех още преди да сте започнали да работите с компания за информационна сигурност:
По време на процеса на подбор забележете признаците на уважение и внимание към детайлите. Записват ли си, когато говорите за бизнеса си? Задават ли въпроси? Винаги предпочитайте да проведете видеоразговор като първи контакт с охранителната фирма. Вижте изражението на лицето им. Представете си, че работите с този човек в продължение на месеци или години. Бихте ли искали да го направите? Ако отговорът е „да“, това е сигнал за потенциално успешен проект.
Колко бързо отговарят на имейли и въпроси?
Дори не сте започнали работа с дадена компания, а отговорът по телефона или по имейл отнема цяла вечност. И това е в процеса на предварителна продажба! Ако ви е трудно да се свържете с тях, в бъдеще ще имате още по-големи проблеми с тази компания за информационна сигурност.
Кога започват да говорят за пари?
Ако веднага започнат да ви питат за бюджета ви, това е всичко, което ги интересува. В този случай стартирайте. Вие сте този, който трябва да зададе въпроса за парите, а не те.
Работа с
Кога трябва да се обадя на компания за информационна сигурност?
Трябва да се обадите на компания за информационна сигурност още при първите признаци, че клиентите ви ще поискат отговори за мерките ви за информационна сигурност. Може да искате да направите това и ако преживеете кибератаки, дори и да са неуспешни. Опитният хакер ще се опитва да влезе, докато не успее. Влизането обаче не е тяхната цел – крайната им цел може да бъде печеленето на пари чрез изнудване или кражба на пари от банковите ви сметки.
Обадете се на компания за информационна сигурност, ако имате опит:
- Увеличен брой фишинг имейли с връзки към фалшиви страници за влизане, които се опитват да откраднат потребителските имена и паролите на служителите ви.
- Увеличен брой зловреден софтуер, изпратен като прикачен файл
- Клиентите започват да ви изпращат въпросници за сигурността
- Преди да се появи правителствена регулация, която може да изисква от вас да прилагате най-добрите практики за сигурност в целия си бизнес.
Какви въпроси трябва да задам по време на първия разговор с фирма за информационна сигурност?
Може да попитате доставчика си на услуги:
- С какво се различавате от другите компании за информационна сигурност?
- Как да разбера дали имате нужния опит за моя бизнес?
- Колко време ще е необходимо, за да защитим бизнеса си от заплахи за киберсигурността?
- Колко трябва да очакваме да инвестираме в софтуер?
- Колко трябва да похарчим за услуги?
- Какъв е процесът на работа с вас?
Бележка от Atlant Security
Всяка година хакерски атаки и вътрешни заплахи водят до загуби на стойност около … милиарда евро. Повечето хора и фирми рано или късно стават жертва на хакерска атака. Компания за информационна сигурност като нашата може да ви помогне да изградите защитата си и да намалите значително риска от хакерски атаки. Тогава, когато хакерите атакуват, вие ще сте готови и въздействието ви ще бъде много по-малко, отколкото върху конкурентите ви, които не са се защитили.