Общество изменилось за последний год, и то же самое касается и того, как мы работаем
Это приводит к новым проблемам безопасности или, как говорят хакеры, к новым возможностям. Даже без этого изменения мы знаем, что угрозы безопасности могут быть сложными. Они динамичны и требуют, чтобы линия обороны всегда была начеку.
Все больше компаний понимают, что это сложно, если не невозможно, для внутреннего ИТ-подразделения
Поэтому они приобретают услуги безопасности у производителей или местных поставщиков ИТ, которые продают их как услугу. А не забыли ли вы проверить сайт услуг в оренбурге, в порядке ли безопасность у самого поставщика? Или вы считаете само собой разумеющимся наличие возможностей и процессов обеспечения безопасности?
Мы видим, что среди государственных и крупных частных компаний все чаще спрашивают, есть ли у поставщика система управления информационной безопасностью, сертифицированы ли они по стандарту ISO27001, есть ли у них процедуры обработки инцидентов и так далее. Но делается ли это в такой же степени в небольших компаниях? Возможно нет.
Что следует делать при заказе охранной услуги?
Лучше всего начать с Управления национальной безопасности Норвегии (NSM) или органа безопасности вашей страны. В своих «Основных принципах безопасности ИКТ» они составили список из десяти основных мер контроля, которые следует изучить. Эти проверки следует проводить независимо от того, какую услугу предлагает провайдер. Ваш поставщик:
Иметь налаженную систему управления для обмена информацией и возможную сертификацию в соответствии с международными стандартами, например ISO/IEC 27001:2017.
Предоставьте представление об архитектуре безопасности, используемой для предоставления услуги.
Разрабатывать планы будущих функций безопасности в службах в соответствии с развитием технологий и картиной угроз с течением времени.
Иметь представление о том, кто должен иметь доступ к информации компании, где и как она должна обрабатываться и храниться, а также о степени механизмов сегрегации от других клиентов.
Иметь функциональные возможности безопасности, удовлетворяющие потребностям бизнеса.
Обеспечить мониторинг безопасности для обнаружения инцидентов безопасности, которые могут повлиять на бизнес.
Иметь процедуры обработки инцидентов и отчетности о несоответствиях и безопасности.
Иметь планы на случай кризиса и непредвиденных обстоятельств, которые должны гармонировать с собственными планами компании.
Иметь процедуры утверждения использования субподрядчиков и их использования субподрядчиков.
Уточнили, какие действия необходимо выполнить при расторжении договора, включая отмену/перенос/удаление информации компании.
Задача клиентов состоит в том, чтобы оценить ответы, поскольку это требует опыта. Но оценить реакцию поставщика может каждый. Если на все вопросы дан быстрый и четкий ответ, это говорит о том, что у поставщика все в порядке, а уклончивые ответы говорят об обратном. Это, конечно, слишком просто и дает лишь представление. Поэтому я рекомендую получить знающий ресурс, чтобы оценить ответы поставщиков.
Как выбрать между несколькими поставщиками?
Помимо этих требований, конечно, также важно учитывать, какой тип поставщика подходит вашей компании. Мы рекомендуем вам выбрать поставщика, соответствующего размеру вашего бизнеса. Это делает вас важным для вашего поставщика и может привести к тому, что вы сможете влиять на изменения, которые сделают услугу более подходящей для вашей компании.
Если ваша компания работает в сегменте малого и среднего бизнеса, нет уверенности, что у крупнейшего поставщика безопасности на рынке есть возможность или желание вносить такие изменения. Также выясните, что важно для вашего потенциального поставщика: можете ли вы быть рекомендателем, выступать на вебинаре и тому подобное? Это действия, которые могут быть важны для поставщика.
Наконец: если вы собираетесь выбрать службу безопасности, попросите пилотный проект или подтверждение концепции! Таким образом, вы узнаете, подходит ли вам поставщик и дает ли услуга те ценности, которые вы себе представляли.
