За словами Роба Страуда, представника ISACA, міжнародної асоціація професіоналів ІТ-аудиту, недолік стандартизації по цій частині є загальновідомою проблемою для індустрії. «Це те, чого бракує індустрії, і приблизно через рік, я думаю, сьогоднішні розмови трансформуються в щось конкретне, і з’явиться сертифікації в будь-якій формі, — пояснює експерт. — А поки я б радив ставити фахівцям з IT-компаній відкриті питання і дивитися, як вони реагують. Спочатку йдуть питання, відповідями на які може бути «так» чи «ні», потім краще поцікавитися, чи є у них сертифікат ISO 27001. Це стандарт безпеки. Далі можна поцікавитися про конкретні методи роботи, що дозволяють зберегти дані. Що станеться, якщо що-небудь піде не так, і чи можливо швидке відновлення даних».
Якщо ж на ці питання не вдається отримати зрозумілі відповіді, тоді, ймовірно, поміщати назва компанії в шорт-лист потенційних постачальників — погана ідея.
Малим і середнім підприємствам може знадобитися досить багато часу для вибору компанії, яка змогла б забезпечити безпеку комп’ютерних мереж.
«Якість програмного забезпечення або охоронного сервісу — це той аспект, встановити стандарти для якого індустрії вельми складно, — пояснює Расс Спітлер, представник AlienVault, компанії, що спеціалізується в забезпеченні захисту комерційних організацій. — Оскільки не існує «золотого стандарту» для вимірювання рівня безпеки, від постачальника послуг складно вимагати будь-яких достовірних підтверджень компетентності. Гарантій безпеки немає. Неможливо заздалегідь передбачити, що конкретна компанія зуміє надати надійний захист, можна лише дати оцінку використовуваному підходу і визначити, наскільки серйозно співробітники певної компанії відносяться до своїх професійних обов’язків. Зазвичай я питаю, чи можливо поговорити з командою фахівців? Якщо вони можуть надати контактні дані співробітників і розповідати, що саме вони роблять — надати повний огляд застосовуються заходів безпеки, тоді можна бути впевненим, що дана організація належить досить серйозно до своєї професійної діяльності».
Це ключові питання. Адже зараз все більше число підприємств використовують системи, засновані на хмарних технологіях, для виконання різного роду завдань — від складання фінансової звітності до управління кадрами. Всі ці сервіси функціонують через інтернет — без участі установників комп’ютерних програм. Так на багато зручніше, але складність у тому, що організаціям необхідно стежити за такими моментами, як конфіденційність даних, збереження інформації і, до всього іншого, ще звертати увагу на юридичні нюанси.
«Є необхідність у додаткових перевірках, які потрібно проводити організаціям — будь то онлайн-сервіс по частині безпеки або ж що інше, — каже Енді Хінксмен, директор Keybridge IT Solutions. — Радив би завжди перевіряти веб-сайти компаній, щоб переконатися в наявності відгуків клієнтів і в тому, що все виглядає професійно. Можна запитати сертифікат якості ISO 9001 та сертифікат безпеки ISO 27001. Також буде не зайвим поцікавитися щодо того, як проводиться підготовка персоналу — чи є у всіх відповідні сертифікати Microsoft, наприклад».
У Британії існує ліцензування G-Cloud, наявність якого передбачає можливість використання сервісу урядовими агентствами. Співробітник Keybridge IT Solutions радить запитувати про наявність такої ліцензії.
«Багато великих компаній проводять оцінку становища з безпекою в своїх ланцюгах постачальників, і деякі компанії можуть виявити, що упущення, що відносяться до інформаційної безпеки, можуть негативно позначатися на комерційні перспективи, — говорить Саймон Сендерс, консультант Portcullis Computer Security. — Моя порада керівникам підприємств — найняти експерта, який би проводив семінари з питань безпеки. І скласти певний перелік вимог. Безпека ніколи не можна буде оцінити як бездоганну, але видається цілком можливим домогтися належного рівня».
Навіть експерти визнають, що немає універсального способу знайти відповідну компанію в області IT-безпеки, без якої в епоху автоматизованих хакерських атак і шкідливих вірусів обійтися складно. При відсутності гарантій вибору потрібного партнера залишаються прості речі — перевіряти рекомендації і задавати потрібні питання. Загалом, доводиться виходити з тих же міркувань, що і в інших бізнес-рішеннях.