Консультантам по информационной безопасности нужен контроль, чтобы быть эффективными

information security consultants efficiency requirementsЕсли вы выберете своего специалиста по информационной безопасности без внимательного процесса подбора, могут возникнуть серьезные потери. Также необходимо иметь ясный план и стратегию по работе с ним. Ниже приводится процедура выбора консультанта, работы с ним и контроля его работы на протяжении всего срока действия вашего проекта.

Эффективная работа означает ясность ожиданий с обеих сторон и надлежащий контроль на каждом этапе пути. Даже имея самые лучшие намерения и ваши интересы в глубине души, консультанты по информационной безопасности могут сбиться с пути в своем стремлении помочь. 

Вместо того чтобы сосредоточиться на ваших бизнес-приоритетах, они могут сосредоточиться на том, что они считают лучшим с технологической точки зрения. 

Результаты могут быть неоптимальными, потому что строгие меры безопасности могут быть безопасны от хакеров, но вредят эффективности вашего бизнеса.

Установите четкие обязанности при работе с консультантами по информационной безопасности

Кто что делает?

Запишите все существенные моменты и вопросы из этой статьи. Вы же не хотите впоследствии обнаружить, что ваш ИТ-администратор активно отказывается выполнять рекомендации(работу, за которую вы оплатили!) ваших консультантов по информационной безопасности, ссылаясь на то, что «в мои должностные обязанности не входит заниматься безопасностью». Если бы вы знали, сколько раз мы сталкивались с подобными ситуациями!

  • Где заканчивается ответственность вашей ИТ-команды и где она начинается для вашего консультанта по информационной безопасности? Вот пример: ваша ИТ-команда устанавливает новый критический сервер. Когда они информируют ваших консультантов по безопасности-перед установкой, во время установки или после того, как он начнет работать в производстве?
  • Кто кому подчинен? Ваши консультанты по информационной безопасности никогда не должны отчитываться перед вашим ИТ-отделом, и вот почему. Если Служба безопасности отчитывается перед ней, ваши системные администраторы всегда будут уклоняться от ответственности, находя оправдания. Эти оправдания всегда будут заменять требования безопасности бизнеса. Требования к информационной безопасности должны исходить непосредственно от руководителей уровня С. Таким образом, все в компании, включая его, будут следовать им в равной степени.
  • Кто контролирует качество конфигурации безопасности для всех устройств? Это также сводится к доступу. Имеет ли ваш консультант по информационной безопасности доступ для проверки наличия и применения рекомендуемых средств контроля безопасности, как говорит ИТ-команда? Часто ИТ-команды не соблюдают правила безопасности и предоставляют ложную информацию. Гораздо чаще, чем вам хотелось бы думать. В идеале и для вашей безопасности проверка должна происходить с помощью стороннего инструмента. Его информационные отчеты должны быть неизменными-это означает, что ни ваша ИТ-команда, ни ваши консультанты не должны иметь возможности изменять его результаты.
  • Кому принадлежит последнее слово? Предположим, что ваша ИТ-команда и консультант по безопасности спорят по какому-то вопросу. Должен ли присутствовать элемент управления безопасностью или он должен быть отключен, потому что так говорит ИТ-администратор? В идеале последнее слово должно быть за вашей политикой и процедурами. Они должны четко определять уровень конфигурации безопасности для сетевых устройств, серверов, рабочих станций и приложений. В том случае, когда ИТ-администратор решит закатить истерику, обратитесь к политике, с которой они заранее договорились. 
  • Есть ли у вас видимость во всем, что делается каждый день всеми сторонами? У нас есть практика установки дашборда для каждого клиента, где каждый может видеть любые аспекты каждого проекта и всех, кто работает над ним.
  • Существуют ли ключевые показатели эффективности для всех участников? Если у одной из сторон нет ключевых показателей эффективности для обеспечения безопасности, они не будут заботиться об этом. Как владелец бизнеса или руководитель, вы можете беспокоиться, потому что это ваш бизнес, но сотрудники обычно следуют тому, что они должны. Если их ежемесячная или квартальная производительность не зависит от безопасности, они не будут этого делать. С другой стороны, если у вашего консультанта нет договорных обязательств принести определенную сумму стоимости за определенное время, они также могут проскочить в своем исполнении. Мы помогаем нашим клиентам, устанавливая требования KPI для себя и своей ИТ-команды.

Компании по информационной безопасности должны следовать всем вышеприведенным требованиям, прежде чем вам будет стоить думать о работе с ними. Все упомянутые пункты являются критическими, и отсутствие даже одного из них может означать потерю ваших инвестиций в безопасность.

Риски при работе над консалтинговыми проектами по информационной безопасности

Есть ежедневные оперативные детали, которые также могут построить или сломать ваш проект кибербезопасности.

Возьмем в качестве примера средний проект и разберем его на составляющие. Отличным примером был бы аудит информационной безопасности. Обычно это занимает две недели. Но мы не можем просто ограничивать двухнедельный объем проекта и рассматривать его именно так. Многочисленные предпродажные совещания требуют времени для руководителей, ИТ-специалистов и финансовых ресурсов. Кроме того, проводятся послепроектные совещания для обсуждения результатов оценки. И, конечно же, во время оценки должны быть назначены и выделены человеческие ресурсы со стороны клиента.

Каковы риски для проекта информационной безопасности среднего размера?

Есть риски для обеих сторон. Вы, как клиент, рискуете временем и деньгами, потому что назначаете на него людей, и если проект работает плохо, вы теряете как вложенное время, так и уплаченные деньги. Существует также риск того, что ваша ИТ-команда предоставит ложную информацию во время проекта, что будет означать, что весь проект испорчен. Другая опасность заключается в том, что вы имеете большой опыт во время оценки, но сметаете ее результаты (вместо простого отчета мы создаем целую программу информационной безопасности) под ковер или забываете о них. Вместо того чтобы использовать то, за что они заплатили, многие компании отдают приоритет насущным проблемам и откладывают работу над безопасностью. Когда он контролирует безопасность,это происходит чаще. Если вы устраните эту проблему и поставите безопасность под контроль исполнительной команды, вы получите лучшие результаты. 

Существуют риски и для команды консультантов по информационной безопасности. Что делать, если есть значительное сопротивление со стороны клиентов? Что делать, если есть политические вопросы, о которых они не знают, которые могут повлиять на начало и завершение проекта?

Опытные консультанты знают, как задавать подобные вопросы, но вы, как клиент, должны быть готовы и осведомлены о них.