Как стать автором
Обновить
1951.2
МТС
Про жизнь и развитие в IT

Как понять, что ИБ-компания вам подходит? Семь базовых критериев качественной услуги

Время на прочтение6 мин
Количество просмотров1.2K

Всем привет. Меня зовут Федор Трифонов, я руководитель отдела экспертной поддержки продаж в RED Security. За 12 лет в ИБ я успел пообщаться с сотнями заказчиков самых разных компаний и в целом научился понимать их запросы с полуслова. Хочу поделиться своим опытом, чтобы, во-первых, сами заказчики определяли, с кем им удобнее будет работать, а во-вторых, коллеги по службе лучше понимали боли клиентов и говорили с ними на одном языке.

При выборе услуг ИБ клиенты задают плюс-минус похожие вопросы. Я выделил семь основных критериев, по которым можно понять, что вендор или сервис-провайдер подходит именно вам.

В этом материале речь будет идти преимущественно о сервис-провайдерах. И хоть для ИБ-вендоров критерии выбора немного отличаются, в целом почти все рекомендации подойдут и для тех, и для других.

Опыт работы с вашей отраслью

Конечно, любой уважающий себя менеджер по продажам не скажет, что с вашей сферой они не работали. Поэтому обращайте внимание на имеющиеся кейсы и сами проверяйте, есть ли у данной ИБ-компании аналогичный опыт защиты организаций из вашей отрасли.

Может быть и такое, что публичных кейсов нет — в ИБ это нормальная практика. Поставщик, у которого действительно есть опыт реализации проектов в той или иной отрасли, хотя бы на словах, да поделится информацией. Вам не покажут подписанные договоры, однако подключат специалистов, которые принимали участие в аналогичном проекте.

В каждой отрасли есть своя специфика и центр экспертизы, с которым очень часто различные центры мониторинга и реагирования дружат и обмениваются какой-то информацией. Опыт работы того же SOC с вашей сферой делает его более релевантным. Например, в том же финсекторе есть своя регуляторика, уникальные события и больше чувствительных данных для хранения.

Хороший знак, если сервис-провайдер дает возможность выбора среди различных классов решений того, который лучше подойдет под специфику конкретной отрасли. Это косвенно указывает на то, что он работал с ней и понимает детали. Например, что производство, выбирая межсетевой экран, будет смотреть на возможность обработки не просто проприетарных протоколов, которые всем известны, а специализированных протоколов в технологической сети. И если Firewall поддерживает Modbus, то промышленная компания с большей вероятностью выберет именно его. Они также скорее предложат сканер CI/CD для безопасной разработки с использованием протоколов, которые поддерживаются при создании различных АСУ ТП, SCADA и так далее. Отсутствие у сервис-провайдера гибкости при выборе технологий, как правило, говорит о том, что он не понимает специфики отрасли, а значит, вряд ли имеет серьезный опыт работы с ней.

Стоимость услуг

Цена — это краеугольный камень любых переговоров. И это нормально. Но будьте очень осторожны, если представитель ИБ-компании слишком легко соглашается на дисконт.

Есть адекватная информационная безопасность, а есть бумажная, когда покупают решение, чтобы «закрыться» перед регулятором. В первом случае нет ни одного ИБ-решения, которое идеально с точки зрения функциональности и при этом дешевле остальных.

Понимаю, что у большинства компаний бюджеты на ИБ сильно ограничены и они ищут предложение, которое сможет удовлетворить их запросы в рамках определенной вилки. Однако вместо того чтобы соглашаться на самый низкий по цене вариант, лучше попросить вендора или сервис-провайдера более комплексно подойти к этапу подготовки коммерческого предложения и глубоко погрузиться в ваши задачи и потребности. Возможно, изначально заявленные требования окажутся излишними. Был кейс, когда нам клиент на брифе заявил, что ему в SOC нужно 2 500 EPS, а на пилоте мы видим, как он не дотягивает и до 400 EPS. Вот вам и экономия.

Конкретный результат работы

Например, в рамках обсуждения сервисов Security Operation Center многие спрашивают, как реализована линия реагирования и аналитики, как устроено профилирование, сколько на это тратится времени. Уточняют про SLA, хотя SLA сейчас почти у всех топовых сервис-провайдеров более-менее одинаковый.

А чтобы лучше понять, какой результат вы получите по итогам работы, напишите свои хотелки и вместе с вендором определите критерии успешности пилотных испытаний. Задавайте больше точечных вопросов.

Некоторые ИБ-компании могут на этапе пилота даже позволить клиентам выставлять свои требования и оказывать влияние на продукт или сервис. Если такая возможность есть, воспользуйтесь ею.

Наличие дополнительных услуг

Отличным критерием выбора ИБ-компании может стать наличие широкого портфеля ИБ-услуг на все случаи жизни, чтобы был не только SOC, а еще, например, возможность поставить тот же deception или EDR с точки зрения реагирования. А если вдруг произойдет инцидент (ну бывает же!), то жизнь станет чуточку проще, если у ИБ-компании уже есть опытная команда форензики.

Да, все понимают, что это стоит отдельных денег, но это не просто удобно или интересно, это может сэкономить кучу сил и нервов. В момент инцидента искать абсолютно нового поставщика, который сможет предоставить услуги форензики, — значит терять драгоценное время. И тут также обращайте внимание на накопленную экспертизу — опытная команда сможет быстро сориентироваться и найти нужное решение.

Хороший знак, если поставщик не ограничивается только SOC, а может дать вам другие технологии и смежную экспертизу. Как правило, это говорит о том, что он сможет в целом улучшить уровень зрелости вашей компании в части ИБ и предложить комплексный подход к общему повышению защищенности, а не только решение точечной задачи.

Клиентоориентированность

Если у вас пока что слабо выстроены ИБ-процессы, то будет здорово иметь возможность задавать вендору много вопросов, получать объяснения и экспертные рекомендации по оптимизации в доступной и понятной форме.

Плохо, если ИБ-компания работает в формате «вот мы вам лицензии выписали, а дальше сами разберетесь». Грамотный провайдер будет составлять отчеты, проводить оценки, готовить аналитику и делать выводы по работе своих сервисов. Например, если после подключения WAF эксперты определили, что атак уровня L7 нет, а трекер ботов зашкаливает, то они могут предложить перейти на Antibot, который стоит дешевле.

Просите отчеты и внимательно их читайте. Если анализ первых месяцев работы или пилота показал, что какие-то предустановленные опции не используются, добросовестный провайдер предложит их отключить или переключиться на более дешевый продукт. А вот если представитель ИБ-компании никак это не комментирует, будьте осторожны.

Соответствие пиара действительности

Популярные и уважаемые в ИБ-сообществе личности играют важную роль в формировании доверия. Это амбассадоры, евангелисты, публичные люди, которые инвестируют свое время в подготовку широко доступных материалов по кибербезопасности и открыто делятся экспертизой. В мире ИБ таких людей не так много, их ценят и им доверяют.

Однако когда вы выбираете вендора или сервис-провайдера, старайтесь объективно подойти к этому вопросу и не симпатизировать без повода — только потому, что вам понравился чей-то пост в каком-нибудь телеграм-канале. Или, наоборот, отказываться от сотрудничества, потому что чья-то публичная фигура вам неприятна. Тут нужно быть объективным и не принимать решения на основе личных симпатий.

Уровень безопасности и надежности работы с сервисами

Часто заказчики боятся передавать свои данные, например во внешний облачный SOC сервис-провайдера. Но сегодня вся облачная инфраструктура российских компаний находится на территории России и является объектом критической информационной инфраструктуры, а значит, они обладают усиленными мерами безопасности — как физической, так и информационной. Кроме того, на этот случай есть гибридный формат поставки сервисов, когда данные о событиях ИБ не покидают пределов вашей компании.

Нужно понимать, что любой серьезный сервис-провайдер всегда дает «красную кнопку» на экстренный случай. Это значит, что если ЦОД по каким-то причинам остановит свою работу, то у вас, как заказчика, в личном кабинете всегда есть кнопка «отключить сервис», пока сервис не восстановит свою работу. Так что внимательно подойдите к вопросу о времени восстановления.


Факторов выбора в таком сложном направлении, как ИБ, намного больше, чем я описал в этом материале. Кому-то будет важно, есть у ИБ-компании офис или нет. Кого-то волнует, какой вуз окончили сотрудники. Однако даже ответы на эти семь вопросов уже дадут вам ясную картину и помогут более фокусно сформировать свой запрос, понять возможности сервис-провайдеров и вендоров, сделать взвешенный выбор и не потратить деньги впустую.

Теги:
Хабы:
Всего голосов 11: ↑11 и ↓0+13
Комментарии4

Полезные ссылки

FreeIPA: как обнаружить атаку злоумышленника на любом этапе Kill Chain

Время на прочтение13 мин
Количество просмотров1.5K
Всего голосов 11: ↑11 и ↓0+15
Комментарии0

Jetpack Compose для Android TV: как происходит перемещение фокуса

Время на прочтение10 мин
Количество просмотров1.2K
Всего голосов 10: ↑10 и ↓0+14
Комментарии0

Обходим подводные камни работы с UDA в коде на Lua для ScyllaDB: дружим Java-драйвер и пустые значения

Уровень сложностиСредний
Время на прочтение5 мин
Количество просмотров564
Всего голосов 6: ↑6 и ↓0+11
Комментарии0

Интеграция виджета обратного звонка МТС Exolve в документацию на MkDocs

Время на прочтение8 мин
Количество просмотров465
Всего голосов 6: ↑6 и ↓0+10
Комментарии0

Путь видео в онлайн-кинотеатрах от «стекла до стекла». Middleware — ядро, подписки, сервисы, витрина

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров887
Всего голосов 4: ↑3 и ↓1+4
Комментарии0

Информация

Сайт
www.mts.ru
Дата регистрации
Дата основания
Численность
свыше 10 000 человек
Местоположение
Россия