Могат да възникнат значителни загуби, ако изборът ви на консултанти по информационна сигурност е случаен и нямате ясен план и стратегия за работа с тях. Ето процедура за избор на консултанти, работа с тях и контрол на тяхната работа по време на изпълнение на вашия проект.
Ефективната работа означава яснота на очакванията от двете страни и правилен контрол на всеки етап от проекта. Дори и да имат най-добрите намерения и вашите интереси на първо място, консултантите по информационна сигурност могат да причинят загуби дори в желанието си да помогнат.
Вместо да се фокусират върху вашите бизнес приоритети, те могат да се съсредоточат върху това, което смятат, че е най-добро от технологична гледна точка.
Резултатите могат да бъдат неоптимални, тъй като стриктните мерки за сигурност може да ви защитават от хакери, но да навредят на бизнеса.
Поставете ясни отговорности при работа с консултантите по информационна сигурност
- Кой какво прави и какви отговорности има? Опишете всички важни точки и въпроси от този блог пост на хартия. Не искате да откриете по-късно, че вашият системен администратор активно отказва да се съобрази с препоръките, дадени (и платени от вас!) от вашите консултанти по информационна сигурност, като се оправдава, че „не е в моята длъжностна характеристика да се занимавам със сигурност“. Знаете ли колко пъти сме се сблъсквали с подобни ситуации?
- Къде приключва отговорността на Вашия IT екип и къде започва тя за Вашият консултант по информационна сигурност? Ето един пример: вашият IT екип инсталира нов критичен сървър. Кога информират вашите консултанти по сигурността – преди да го инсталират, по време на инсталацията или след сървърът вече започне да работи и обработва заявки?
- Кой кому е подчинен? Вашите консултанти по информационна сигурност никога не трябва да докладват на вашия IT отдел и ето защо. Ако сигурността докладва на IT, администраторите на вашата система винаги ще избягват отговорност, като намират извинения. Тези извинения винаги ще заместват изискванията за сигурност на бизнеса. Изискванията за информационна сигурност трябва да идват направо от висшето ръководство на компанията, по-високо от мениджмънта на IT отдела. По този начин всички в компанията, включително IT отдела, ще ги следват еднакво.
- Кой контролира качеството в конфигурацията на защитата за всички устройства? Това включва и контрол на достъпа. Има ли вашият консултант по информационна сигурност достъп за проверка на препоръчаните контроли за сигурност, да провери дали присъстват и се прилагат, както твърди IT отделът? Често IT екипите пропускат спазването на указанията за сигурност и предоставят невярна информация. По-често, отколкото предполагате. В идеалния случай и за ваша безопасност проверката трябва да се извърши с помощта на трета страна. Нито вашият IT екип, нито вашите консултанти трябва да могат да променят документираните резултати от тази проверка.
- Кой има последната дума? Да предположим, че вашият IT екип и вашият консултант по сигурността спорят по даден въпрос. Трябва ли да има определен контрол на сигурността или трябва да тази настройка трябва да бъде изключена, защото IT администраторът казва така? В идеалния случай, последната дума трябва да бъде тази на вашите политики и процедури. Те трябва ясно да определят нивото на конфигурация на защитата за мрежови устройства, сървъри, работни станции и приложения. В този случай, когато IT администраторът реши да спори за нещо, насочете ги към политиката, с която са се съгласили предварително.
- Имате ли видимост за всичко, което се извършва всеки ден от всеки участник? Ние като правило инсталираме дашборд за всеки клиент, където всеки може да види всички аспекти на всеки проект и всеки, който работи по него.
- Има ли KPI за всички участващи? Ако даден участник няма ключови показатели за ефективност на сигурността, те няма да се интересуват от нейното осигуряване и изпълнение. Като собственик на бизнес или изпълнителен директор може да ви интересува, защото това е вашият бизнес, но служителите обикновено следват това, което се изисква от тях и се ограничават с тези изисквания (в най-добрия случай). Ако тяхното месечно или тримесечно възнаграждение не зависи от изпълнение на изисквания за сигурност, те няма да ги изпълнят. От друга страна, ако вашият консултант няма договорни задължения да донесе определена стойност за определен период от време, той може също да се провали в работата си. Ние помагаме на нашите клиенти чрез създаване на изисквания за KPI към себе си и техния IT екип.
Фирмите за сигурност на информационните технологии трябва да следват всички указания по-горе, преди да можете дори да обмислите да работите с тях. Всички споменати точки са критични и липсата на дори една от тях може да означава загуба на инвестицията ви в сигурност.
Рискове при работа по консултантски проекти за информационна сигурност
Има ежедневни оперативни подробности, които също могат да изградят или да разрушат вашия проект за киберсигурност.
Нека вземем за пример среден проект и да го разделим на съставните му части. Страхотен пример би бил Оценката на информационната сигурност. Обикновено това отнема две седмици. Но не можем просто да ограничим обхвата на двуседмичния проект и да го разглеждаме като двуседмичен проект. Преди да започне самото изпълнение на проекта обикновено се провеждат няколко срещи и се обменят множество имейли и телефонни обаждания. Има и срещи след проекта, за да се обсъдят резултатите от оценката. И разбира се, по време на оценката трябва да бъдат отделени човешки ресурси за това от страна на клиента.
Какви са рисковете за средно голям проект за информационна сигурност?
Има рискове и за двете страни. Вие като клиент рискувате време и пари, защото отделяте хора и ресурси за него и ако проектът се представя лошо, вие губите както инвестираното време, така и платените пари. Съществува и рискът вашия IT екип да предостави невярна информация по време на проекта, което ще означава, че целият проект и неговите резултати могат да бъдат изопачени. Друга опасност е, ако имате много добри резултати по време на оценката, но хората работещи по резултатите от нея (вместо просто доклад, ние създаваме цяла програма за информационна сигурност) могат да скрият или просто забравят за доклада от нея. Вместо да използват това, за което са платили, много компании дават приоритет на горещи проблеми и отлагат работата по сигурността. Когато IT контролира сигурността, горното се случва по-често. Ако коригирате този проблем и поставите сигурността директно под изпълнителния директор, ще имате по-добри резултати.
Съществуват рискове и за консултантския екип за информационна сигурност, например когато срещат значителна съпротива от страна на клиента. Същото се случва и ако има политически проблеми, за които консултантите не са наясно, които биха могли да повлияят на започването и завършването на проекта.
Опитните консултантски екипи умеят да задават правилните въпроси, но вие като клиент трябва да се подготвите да дадете добри отговори на тях, за да сте сигурни в резултатите от съвместната работа.