22 04 2015

Як вибрати компанію, що спеціалізується в області IT-безпеки?

Як вибрати компанію, що спеціалізується в області IT-безпеки?
Коли необхідний бойлер, люди знають, до якого постачальника устаткування звернутися, якщо потрібен бухгалтер, керуючі компанії можуть бути відносно спокійні за те, що людина з відповідними рекомендаціями впорається зі своїми професійними обов'язками. Вибір же людини, який би гарантував безпеку комп'ютерної мережі, більш складний, і не тільки тому, що не кожен власник середнього або малого підприємства є системним аналітиком. Адже на відміну від пошуків технічного обладнання або спеціаліста в іншій сфері, ніякої знак якості або рекомендаційний лист не стане гарантією безпеки даних.

За словами Роба Страуда, представника ISACA, міжнародної асоціація професіоналів ІТ-аудиту, недолік стандартизації по цій частині є загальновідомою проблемою для індустрії. «Це те, чого бракує індустрії, і приблизно через рік, я думаю, сьогоднішні розмови трансформуються в щось конкретне, і з'явиться сертифікації в будь-якій формі, - пояснює експерт. - А поки я б радив ставити фахівцям з IT-компаній відкриті питання і дивитися, як вони реагують. Спочатку йдуть питання, відповідями на які може бути «так» чи «ні», потім краще поцікавитися, чи є у них сертифікат ISO 27001. Це стандарт безпеки. Далі можна поцікавитися про конкретні методи роботи, що дозволяють зберегти дані. Що станеться, якщо що-небудь піде не так, і чи можливо швидке відновлення даних».

Якщо ж на ці питання не вдається отримати зрозумілі відповіді, тоді, ймовірно, поміщати назва компанії в шорт-лист потенційних постачальників - погана ідея.

Відсутність золотого стандарту


Малим і середнім підприємствам може знадобитися досить багато часу для вибору компанії, яка змогла б забезпечити безпеку комп'ютерних мереж.
«Якість програмного забезпечення або охоронного сервісу - це той аспект, встановити стандарти для якого індустрії вельми складно, - пояснює Расс Спітлер, представник AlienVault, компанії, що спеціалізується в забезпеченні захисту комерційних організацій. - Оскільки не існує «золотого стандарту» для вимірювання рівня безпеки, від постачальника послуг складно вимагати будь-яких достовірних підтверджень компетентності. Гарантій безпеки немає. Неможливо заздалегідь передбачити, що конкретна компанія зуміє надати надійний захист, можна лише дати оцінку використовуваному підходу і визначити, наскільки серйозно співробітники певної компанії відносяться до своїх професійних обов'язків. Зазвичай я питаю, чи можливо поговорити з командою фахівців? Якщо вони можуть надати контактні дані співробітників і розповідати, що саме вони роблять - надати повний огляд застосовуються заходів безпеки, тоді можна бути впевненим, що дана організація належить досить серйозно до своєї професійної діяльності».

Це ключові питання. Адже зараз все більше число підприємств використовують системи, засновані на хмарних технологіях, для виконання різного роду завдань - від складання фінансової звітності до управління кадрами. Всі ці сервіси функціонують через інтернет - без участі установників комп'ютерних програм. Так на багато зручніше, але складність у тому, що організаціям необхідно стежити за такими моментами, як конфіденційність даних, збереження інформації і, до всього іншого, ще звертати увагу на юридичні нюанси.

Додаткові перевірки


«Є необхідність у додаткових перевірках, які потрібно проводити організаціям - будь то онлайн-сервіс по частині безпеки або ж що інше, - каже Енді Хінксмен, директор Keybridge IT Solutions. - Радив би завжди перевіряти веб-сайти компаній, щоб переконатися в наявності відгуків клієнтів і в тому, що все виглядає професійно. Можна запитати сертифікат якості ISO 9001 та сертифікат безпеки ISO 27001. Також буде не зайвим поцікавитися щодо того, як проводиться підготовка персоналу - чи є у всіх відповідні сертифікати Microsoft, наприклад».

У Британії існує ліцензування G-Cloud, наявність якого передбачає можливість використання сервісу урядовими агентствами. Співробітник Keybridge IT Solutions радить запитувати про наявність такої ліцензії.

«Багато великих компаній проводять оцінку становища з безпекою в своїх ланцюгах постачальників, і деякі компанії можуть виявити, що упущення, що відносяться до інформаційної безпеки, можуть негативно позначатися на комерційні перспективи, - говорить Саймон Сендерс, консультант Portcullis Computer Security. - Моя порада керівникам підприємств - найняти експерта, який би проводив семінари з питань безпеки. І скласти певний перелік вимог. Безпека ніколи не можна буде оцінити як бездоганну, але видається цілком можливим домогтися належного рівня».

Навіть експерти визнають, що немає універсального способу знайти відповідну компанію в області IT-безпеки, без якої в епоху автоматизованих хакерських атак і шкідливих вірусів обійтися складно. При відсутності гарантій вибору потрібного партнера залишаються прості речі - перевіряти рекомендації і задавати потрібні питання. Загалом, доводиться виходити з тих же міркувань, що і в інших бізнес-рішеннях.
Интересные материалы читать все
Вважається, що всі професійні системи відеоспостереження вартують досить великих грошей. Це дійсно так. Але повірте, що воно..
Комплект вуличного бездротового відеоспостереження
21 сентября 0 комментария
Різна відеоапаратура може бути доступна не тільки героям фільмів, але і цілком звичайним людям. Якщо ви хочете завжди бути в..
Комплект зовнішнього відеоспостереження
21 сентября 0 комментария
Забезпечити безпеку своєї квартири від непрошених гостей досить просто і легко в наш час. Це дозволяють зробити комплекти..
Комплекти відеоспостереження для квартири
21 сентября 0 комментария
Щоб бути впевненим у якісному контролі над своїм будинком або квартирою, а також будь-якими об'єктами, важливо не тільки..
Програми відеоспостереження ip
21 сентября 0 комментария