Как выбрать компанию, специализирующуюся в области IT-безопасности?

Когда необходим бойлер, люди знают, к какому поставщику оборудования обратиться, если нужен бухгалтер, управляющие компании могут быть относительно спокойны за то, что человек с соответствующими рекомендациями справится со своими профессиональными обязанностями. Выбор же человека, который бы гарантировал безопасность компьютерной сети, более сложен, и не только потому, что не каждый владелец среднего или малого предприятия является системным аналитиком. Ведь в отличие от поисков технического оборудования или специалиста в другой сфере, никакой знак качества или рекомендательное письмо не станет гарантией безопасности данных.

По словам Роба Страуда, представителя ISACA, международной ассоциация профессионалов ИТ-аудита, недостаток стандартизации по этой части является общеизвестной проблемой для индустрии. «Это то, чего недостает индустрии, и примерно через год, я думаю, сегодняшние разговоры трансформируются во что-то конкретное, и появится сертификации в какой-либо форме, - поясняет эксперт. -

А пока я бы советовал задавать специалистам из IT-компаний открытые вопросы и смотреть, как они реагируют. Вначале идут вопросы, ответами на которые может быть «да» или «нет», затем лучше полюбопытствовать, есть ли у них сертификат ISO 27001. Это стандарт безопасности. Дальше можно поинтересоваться о конкретных методах работы, позволяющих сохранить данные. Что произойдет, если что-либо пойдет не так, и возможно ли быстрое восстановление данных».

Если же на эти вопросы не удается получить вразумительные ответы, тогда, вероятно, помещать название компании в шорт-лист потенциальных поставщиков - плохая идея.

Отсутствие золотого стандарта

Малым и средним предприятиям может понадобиться достаточно много времени для выбора компании, которая смогла бы обеспечить безопасность компьютерных сетей.

«Качество программного обеспечения или охранного сервиса - это тот аспект, установить стандарты для которого индустрии весьма сложно, - поясняет Расс Спитлер, представитель AlienVault, компании, специализирующейся в обеспечении защиты коммерческих организаций. - Поскольку не существует «золотого стандарта» для измерения уровня безопасности, от поставщика услуг сложно требовать каких-либо достоверных подтверждений компетентности. Гарантий безопасности нет. Невозможно заранее предугадать, что конкретная компания сумеет предоставить надежную защиту, можно лишь дать оценку используемому подходу и определить, насколько серьезно сотрудники определенной компании относятся к своим профессиональным обязанностям. Обычно я спрашиваю, возможно ли побеседовать с командой специалистов? Если они могут предоставить контактные данные сотрудников и рассказывать, что именно они делают - предоставить полный обзор применяющихся мер безопасности, тогда можно быть уверенным, что данная организация относится достаточно серьезно к своей профессиональной деятельности».

Это ключевые вопросы. Ведь сейчас все большее число предприятий используют системы, основанные на облачных технологиях, для выполнения различного рода задач - от составления финансовой отчетности до управления кадрами. Все эти сервисы функционируют через интернет – без участия установщиков компьютерных программ. Так на много удобнее, но сложность в том, что организациям необходимо следить за такими моментами, как конфиденциальность данных, сохранность информации и, ко всему прочему, еще обращать внимание на юридические нюансы.

Дополнительные проверки

«Есть необходимость в дополнительных проверках, которые нужно проводить организациям - будь то онлайн-сервис по части безопасности или же что другое, - говорит Энди Хинксмен,  директор Keybridge IT Solutions. - Советовал бы всегда проверять веб-сайты компаний, чтобы убедиться в наличии отзывов клиентов и в том, что все выглядит профессионально. Можно спросить сертификат качества ISO 9001 и сертификат безопасности ISO 27001. Также будет не лишним поинтересоваться насчет того, как проводится подготовка персонала - есть ли у всех соответствующие сертификаты Microsoft, к примеру».

В Британии существует лицензирование G-Cloud, наличие которого предполагает возможность использования сервиса правительственными агентствами. Сотрудник Keybridge IT Solutions советует спрашивать о наличии такой лицензии.

«Многие крупные компании проводят оценку положения с безопасностью в своих цепях поставщиков, и некоторые компании могут обнаружить, что упущения, относящиеся к информационной безопасности, могут негативно сказываться на коммерческих перспективах, - говорит Саймон Сендерс, консультант Portcullis Computer Security. - Мой совет руководителям предприятий - нанять эксперта, который бы проводил семинары по вопросам безопасности. И составить определенный перечень требований. Безопасность никогда нельзя будет оценить как безупречную, но представляется вполне возможным добиться должного уровня».

Даже эксперты признают, что нет универсального способа найти подходящую компанию в области IT-безопасности, без которой в эпоху автоматизированных хакерских атак и зловредных вирусов обойтись сложно. При отсутствии гарантий выбора нужного партнера остаются простые вещи - проверять рекомендации и задавать нужные вопросы. В общем, приходится исходить из тех же соображений, что и в прочих бизнес-решениях.