10 качества на отличните компании за информационна сигурност и как да ги намерите

Правилото 80/20 при работата с компании за информационна сигурност е да изберете тази, която съответства на вашия бизнес и стил, а не такава, която сте намерили в списък на "топ 10 компании за информационна сигурност". Това гарантира, че ще положите най-малко усилия и ще получите най-много ползи. Тази статия ще ви даде всички инструменти и техники за избор на правилната.

Какво са компаниите за информационна сигурност | Проблеми и решения | Управление на проекти | Управление на бюджета | Предотвратяване на неуспеха | Сигнали за успех | Работа с |

Общ преглед

Какво са компаниите за информационна сигурност?

Компаниите за информационна сигурност са тези, които помагат на бизнесите да станат и да останат сигурни. Те могат да продават продукти или услуги за информационна сигурност, да предоставят консултации или одити, или да препродават продукти срещу марж от всяка продажба. Третият тип е този, от който може да искате да се въздържите.

Какви са разликите между компаниите за информационна сигурност?

Основната разлика между компаниите за информационна сигурност е тяхната първична бизнес цел. Има три основни бизнес цели за компаниите за информационна сигурност:

1. Да продават своя софтуер за информационна сигурност
2. Да предоставят услуги за информационна сигурност
3. Да продават чужд софтуер за информационна сигурност

Основният проблем за по-малките бизнеси с до 500 служители е, че собствениците не знаят какъв софтуер да купят и защо. Те също не знаят как да изберат правилния продукт за информационна сигурност сред хилядите на пазара и лесно биват повлияни от продажбите на компаниите за информационна сигурност да вземат грешно решение. Изобщо нуждаете ли се да купувате нещо, когато нямате никакви защитни процеси?

След това има компаниите за информационна сигурност, предлагащи услуги.

Кой може да се нуждае от услугите на компания за информационна сигурност?

По-големите бизнеси имат вътрешен екип за информационна сигурност. Този екип решава кой софтуер за информационна сигурност да закупи и от кой доставчик въз основа на тестване и валидиране на различните им продукти.

По-малките бизнеси нямат лукса да имат собствен екип за информационна сигурност и разчитат на компания за информационна сигурност, която да им помогне правилно да изберат инструменти и услуги.

Ако сте малък бизнес, тогава най-вероятно трябва да работите с компания за информационна сигурност, за да:

1. Видите къде сте по отношение на текущите си защити
2. Откриете всички уязвимости във вашите ИТ практики и инфраструктура
3. Приоритизирате действията за отстраняване на уязвимостите въз основа на вашите бизнес цели
4. Планирате отстраняването на най-спешните открити уязвимости
5. Започнете изграждането на вашите защити в Превенция, Откриване и Реакция
6. Валидирате свършената работа
7. В крайна сметка може да се наложи да потърсите virtual CISO, който да ви помогне с вашите дългосрочни планове за защита.

Какви видове компании за информационна сигурност съществуват?

Има три основни типа компании за информационна сигурност, както беше изброено по-рано. Но дори те имат десетки подтипове. Например, компаниите за информационна сигурност, предлагащи услуги, могат да предлагат защитни или офанзивни услуги. Обикновено първо трябва да работите с компания за защита. След това, когато защитите ви са готови, можете да опитате помощта на офанзивна фирма, която да опита да заобиколи действащите защитни мерки. Без тестване на защитата си може никога да не разберете дали е ефективна или не.

Компании за информационна сигурност, предлагащи защитни услуги:

1. Одиторски компании: ISO 27001, CMMC, SOC 2, NIST 800-53. Одитът е необходима първа стъпка, преди да започнете работа с каквато и да е компания за информационна сигурност. В противен случай няма да имате рамка за сравнение или план и ще се окажете с хаотичен списък от защити.
2. Консултантски компании: помагат ви да се подготвите за официална сертификация, да изградите практични и ефективни защити или да решите конкретен проблем. Те обикновено комбинират десетилетия опит и могат да ви помогнат да решите предизвикателство за киберсигурност бързо и ефективно.
3. Високо специализирани: фокусирани върху конкретни области: ядрена, финансова, правна и други. Ако вашата бизнес област изисква специфични умения за сигурност, трябва да работите със специализирана компания за информационна сигурност. Генералистите не могат да работят добре в областта на ядрената енергетика например.
4. Препродавачи: избягвайте ги. Тяхната мотивация е да продадат най-скъпия продукт, а не най-ефективния или полезния за вас.

Компании за информационна сигурност, предлагащи офанзивни услуги:

1. Компании, предоставящи услуги за тестове за проникване и симулация на атаки:
   1. Тестове за проникване на API
   2. Тестове за проникване на уеб приложения
   3. Пълномащабни тестове за проникване на цялата ви инфраструктура
2. Компании, предлагащи услуги за симулация на атаки чрез социално инженерство
   1. Услуги за симулация на фишинг
   2. Услуги за симулация на социално инженерство
   3. Услуги за симулация на атаки върху физическата сигурност

Каква е разликата между компании за информационна сигурност и доставчици на софтуер за сигурност?

Проблеми и решения

Какви проблеми решават компаниите за информационна сигурност?

Колкото повече расте вашият бизнес, толкова по-сложна и уязвима става ИТ инфраструктурата ви. Добавяте нови услуги, нови сървъри, компютри, устройства, хора, облачни услуги и всички те добавят нови слаби елементи. Колкото повече уязвимости има вашият бизнес, толкова по-лесно ще бъде за хакерите да проникнат. Ако го направят, могат да откраднат данните на клиентите ви, да ви изнудват вас и клиентите ви, да пренасочат пари от банковите ви сметки. Всички тези проблеми са предотвратими с помощта на правилната компания за информационна сигурност.

• Незащитени облачни услуги: Ако използвате Google Workspaces или Microsoft 365 услуги, шансовете са, че само 2% до 5% от всичките им настройки за сигурност са конфигурирани правилно.
• Незащитени крайни точки: ако компютърът има само антивирус, който го защитава, той е незащитен. Антивирусът е само една от повече от 450 настройки, необходими на лаптопа, за да бъде считан за сигурен. Помислете за това: операционната система има стотици настройки, Office пакетът - също. Браузърите ви имат десетки настройки за сигурност, които обикновено остават непроверени и т.н.
• Незащитени акаунти: имейл акаунти, акаунти за облачни услуги, локални системни акаунти и акаунти за услуги - всички се нуждаят от настройка и внимателна защита.

Компанията за информационна сигурност трябва да е наясно с всички тях - затова винаги трябва да минете през одит, преди да продължите с каквито и да е поправки.

Управление на проекти

Как управлявате проекти при работа с компания за информационна сигурност?

Проектите за сигурност могат да продължат дни или месеци. Използването на подходящи техники за управление на проекти би увеличило вероятността за успех.

• Винаги започвайте всеки нов бизнес проект, като включите компанията си за информационна сигурност в него.
• Не забравяйте да получите одобрение от компанията за сигурност, преди проектите ви да бъдат пуснати.
• Използвайте kanban като система за управление на проекти - открихме, че е най-ефективният инструмент за управление на проекти при работа с компании с различни размери.

Управление на бюджета

Какви са капаните на бюджетните разходи при работа с компания за информационна сигурност?

Има три части от всеки бюджет за информационна сигурност:

1. Бюджетът за вашия екип: заплати, обучение, инструменти
2. Цената на работата с компания за информационна сигурност
3. Цената на инструментите и софтуера, от които се нуждаете, за да поддържате ефективна защита. С други думи, ефективна програма за информационна сигурност.

Нека предположим, че имате 500 служители и един инженер по информационна сигурност. Вие аутсорсвате ролята на CISO на Virtual CISO и трябва да купите инструменти и софтуер, за да активирате функциите си за Превенция, Откриване и Реакция.

Средно бихте плащали около $6000-$8000 на месец за инженера по информационна сигурност, добавете към това данъците и другите държавни разходи за служител на пълен работен ден, разходите ви биха били около $10 000 на месец за този един инженер по сигурността, или $120 000 годишно.

Virtual CISO за компания с такъв размер би струвал приблизително същото, така че добавяме още $120 000 годишно.

След това ще ви трябва:

• Сигурност на крайните точки: EDR или XDR, около $12 на машина, по 500 - $6000 годишно
• SIEM: предполагайки, че имате около 30 сървъра и 20 облачни услуги, използвани от вашите 500 служители, разходите ви биха били около $30 000 годишно абсолютен минимум.
• Инструменти за реакция и разследване: в зависимост от използваните операционни системи и вашите разследващи способности, може да похарчите около $5000 годишно за лицензи.

Засега, за компания с 500 служители, средните разходи за адекватна програма за информационна сигурност биха били около $281 000 годишно.

Звучи като много пари, нали?

Сега нека направим малко математика наобратно.

281 000 / 500 / 12 = $46.83 на служител на месец, за да гарантирате, че този служител и всички данни, с които работи, са в безопасност. Този един служител вероятно пие кафе за приблизително толкова, ако не и повече.

Все още звучи ли като значителна инвестиция?

Сега помислете за това. Ако имате 500 служители, вероятно имате десетки, ако не и стотици клиенти, всеки от които ви се доверява с ценни данни. Само един пробив може да разкрие всички данни на всичките ви клиенти и всичките ви служители.

Рискове за вашия бюджет за информационна сигурност:

• непроверяване на неутралността на вашата компания за сигурност: те биха могли да препоръчват софтуер заради връзките си с доставчиците, а не заради стойността и ползите на софтуера. Цена: цената на лицензите.
• Наемане на грешния инженер по сигурността: можете да наемате и уволнявате множество хора за година, без всъщност да имате инженер по сигурността, докато им плащате заплата. Как да го избегнете: доверете се на вашата компания за информационна сигурност да ви помогне да намерите правилния човек за вашия бизнес и изисквания. Цена: $120K
• Наемане на грешния Virtual CISO чрез наемане на грешната компания за сигурност: е, ако прочетете тази статия, трябва да имате повече от достатъчно данни, за да изберете правилната. Цена: $120K

Как да изберете правилната компания за информационна сигурност за вас?

Изборът на партньор за работа е процес, който сте следвали и преди, но е по-лесен, когато търсите в познато поле. Информационната сигурност вероятно е поле, напълно чуждо за повечето собственици на бизнес. Затова сме подготвили кратък списък с правила, които да следвате при избор сред хилядите компании за информационна сигурност.

Предотвратяване на неуспеха

Вашата отговорност е еднакво важна, колкото и тази на компаниите за информационна сигурност, с които работите.

Това са областите, на които може да искате да обърнете повече внимание:

1. Винаги изяснявайте изискванията си предварително, с колкото е възможно повече подробности. Ако се нуждаете от помощ за това, помолете компанията за информационна сигурност да ви помогне да изготвите изискванията си, преди да ги приемат за работа.
2. Очаквайте планина от работа, идваща от компанията за сигурност към вашия ИТ екип. Екипът ви вече е зает, така че може да помислите за добавяне на повече хора към него.
3. Парите, които плащате на компанията за информационна сигурност, са незначителни в сравнение с това, което ще трябва да похарчите в човеко-часове и пари, за да трансформирате цялата си компания в сигурен, устойчив бизнес. Едно е да продаваш на пазар и съвсем друго е да изградиш крепост около този пазар. Не забравяйте да отделите и ангажирате достатъчно ресурси, за да станете сигурни. В противен случай всички просто ще се изтощят и ще се откажат.
4. Комуникацията и дипломатичността са ключови. Докато всеки екип и бизнес процес в компанията ви се трансформира, хората несъмнено ще се съпротивляват на промяната. Те дори ще саботират промените и ще причиняват неуспехи нарочно, за да докажат, че сигурността не е добра идея. Всичко, защото хората не харесват промяната. Подгответе ги предварително за предстоящото и ги подкрепете в борбата към промяната.
5. Предоставете на компанията за сигурност достатъчно авторитет, за да внедри всяка промяна. Това означава, че те трябва да оперират с авторитета на CEO на вашата компания. Звучи плашещо, но представете си, ако някой мениджър в бизнеса ви може да действа като препятствие или направо да спре проекта за сигурност? Не позволявайте това да се случи.
6. Сигурността е маратон, не спринт. Дори ако имате нужда само от няколко месеца работа поради малкия размер на компанията ви, хакерите ще продължат да се опитват да проникнат чрез различни и все по-усъвършенствани методи. Ако нямате подкрепата на компания за информационна сигурност за последователно подобряване на защитните ви мерки, хакерите ще успеят да ви направят своя жертва.

Добрите компании за информационна сигурност вече знаят своите отговорности - не забравяйте да слушате как подхождат към вашия проект и към вас по време на първата ви среща и през целия предпродажбен процес.

Сигнали за успех

Какви са сигналите за успешен проект с компания за информационна сигурност?

Това са сигналите за потенциален успех дори преди да започнете работа с компания за информационна сигурност:

По време на процеса на подбор забележете знаците на уважение и внимание към детайлите. Водят ли си бележки, когато говорите за бизнеса си? Задават ли въпроси? Винаги предпочитайте да имате видео разговор като първи контакт с компанията за сигурност. Наблюдавайте изражението на лицето им. Представете си да работите с този човек месеци или години. Бихте ли искали? Ако да, това е сигнал за потенциално успешен проект.

Колко бързо отговарят на имейли и въпроси?

Все още не сте започнали работа с компанията и отнема цяла вечност да получите отговор по телефона или имейла. И това е по време на предпродажбения процес! Ако ви е трудно да ги хванете, ще имате още по-големи проблеми с тази компания за информационна сигурност в бъдеще.

Кога започват да говорят за пари?

Ако веднага започнат да питат за бюджета ви, това е единственото, което ги интересува. В този случай бягайте. Вие сте този, който трябва да зададе въпроса за парите пръв, не те.

Работа с

Кога трябва да се обадя на компания за информационна сигурност?

Трябва да се обадите на компания за информационна сигурност при първия знак, че клиентите ви ще поискат отговори за мерките ви за информационна сигурност. Може също да искате да го направите, ако преживеете кибератаки, дори ако са неуспешни. Опитен хакер ще опитва, докато успее да проникне. Проникването не е тяхната цел обаче - печеленето на пари чрез изнудване или кражба от банковите ви сметки може да е крайната им цел.

Обадете се на компания за информационна сигурност, ако преживеете:

• Увеличен брой фишинг имейли с линкове към фалшиви страници за влизане, опитващи се да откраднат потребителските имена и паролите на вашите служители
• Увеличен брой зловреден софтуер, изпратен като прикачени файлове
• Клиентите започват да ви изпращат въпросници за сигурност
• Преди предстояща правителствена регулация, която може да изисква от вас да приложите най-добрите практики за сигурност в целия си бизнес

Какви въпроси трябва да задам по време на първия си разговор с компания за информационна сигурност?

Може да искате да попитате доставчика на услуги:

• По какво се различавате от другите компании за информационна сигурност?
• Как да разбера дали имате опита, от който бизнесът ми се нуждае?
• Колко време ще отнеме защитата на нашия бизнес от заплахи за киберсигурността?
• Колко трябва да очакваме да инвестираме в софтуер?
• Колко трябва да похарчим за услуги?
• Какъв е процесът на работа с вас?

Бележка от Atlant Security

Приблизително ... милиарда се губят всяка година от хакерски атаки и вътрешни заплахи. Повечето хора и бизнеси страдат от хакерска атака рано или късно. Компания за информационна сигурност като нашата може да ви помогне да изградите защитите си и значително да намалите риска от хакерски атаки. След това, когато хакерите атакуват, ще бъдете готови и въздействието ви ще бъде много по-ниско, отколкото на конкурентите ви, които не са се защитили.