Управление взаимоотношениями с поставщиками решений по информационной безопасности

Управление взаимоотношениями с поставщиками решений по информационной безопасности
Вчерашняя заметка про потенциальное поглощение Stonesoft и в блоге и на Facebook вызвала оживленную дискуссию, которая оказалась далекой от первоначальной темы. Обсуждали все - кто и как не умеет читать список сертификатов ФСТЭК, какие сертификаты ФСБ есть у Cisco, как я в своем личном блоге рекламирую работодателя, как в список сертификатов на отсутствие НДВ попали компании, которые никаких исходных кодов не предоставляли, как плохо сработали PR-службы российских McAfee и Stonesoft, какие бывают акционеры, отказывающиеся от получения дохода, превышающего 10-кратный размер первоначальных активов, и т.д. И даже тема, Сделай правильный выбор" - про то, как выбирать средства защиты. Метод не новый, но до сих является одним из самых оптимальных. Вопрос только в критериях оценки, которые сильно зависят от конкретной ситуации, и от весовых коэффициентов, которые также меняются от компании к компании.

Но не продуктом единым... Необходимо учитывать и ряд других факторов; уже на уровне производителя. В статье шестилетней давности " Западный или российский производитель ИБ: кого выбрать " я показал разницу между двумя "школами", которую можно учитывать при выборе будущего партнера в области ИБ. Но вендор вендором, но, как правило, между ним и потребителем стоит партнер, а то и вовсем представитель, отстаивающий интересы западной компании, не пожелавшей открывать в России свой офис. И тут на сцену выходит третий набор критериев для оценки и попадания в чеклист - техподдержка (время, язык, скорость реагирования), наличие лицензий (если они являются обязательными), результаты оценки соответствия в форме обязательной или добровольной сертификации, легальность ввоза, скорость поставки и т.п. 9 лет назад я про эту сторону выбора вкратце упоминал в статье " Теория и практика выбора межсетевого экрана ".

Какие вопросы включают зарубежные CISO в свой чеклист? Например, такие:
  • финансовые показатели и корпоративные анонсы
  • ротация топ-менеджмента и организационные изменения
  • изменения в продуктовой линейке и направлениях бизнеса
  • истории успеха у заказчиков
  • уровень удовлетворенность заказчиков
  • структура и прозрачность ценообразования
  • партнерская сеть
  • инсталлированная база
  • roadmap и объем инвестиций в R&D.

К сожалению, в массе своей, к российским компаниям большинство этих показателей не применишь ввиду закрытости рынка. Но вот западным игрокам, представленным в России, эти вопросы вполне можно задать или просто оценить по их сайтам (большая часть критериев оценивается по открытой информации).

Да ну эту всю теорию, кому она нужна? Частично соглашусь. Многим не нужна. Многие руководители служб ИБ либо чисто интуитивно выбирают себе партнера на долгие годы, либо не сталкиваются с такой проблемой. А кто-то и вовсе считает ее нестоящей и выеденного яйца. Особенно если выбирается решение/компания для некритичного направления бизнеса.
 
Причем понятие "критичности" у всех тоже может быть разное и на его трактовку могут влиять:
  • Важность и число процессов, в которые могут быть вовлечены (а также глубина вовлечения) приобретаемые или просто выбираемаые ИБ-решения. Одно дело выбрать 2-3 токена для хранения ЭП бухгалтера и гендиректора и совсем другое дело выбирать полноценное IdM-решение в масштабе всего предприятия.
  • Уровень доступа к конфиденциальной информации. Этот критерий скорее важен при выборе консалтинговой компании, а не поставщика продуктов.
  • Уровень затрат на решения выбираемого вендора. Потратить/потерять 1-2% от своего бюджета и 35%... Это заставляет задуматься и более серьезно подойти к выбору компании-партнера.
  • Уровень интеграции внутри компании. Одно дело IdM, с которым сталкиваются все подразделения компании и совсем другое дело - SIEM, результаты работы которого видны только службе ИБ.
  • Длительность планируемых отношений. На пентест или разовый аудит заказного ПО можно пригласить не очень известную компанию и критерием выбора тут может служить цена (к примеру). А вот для защиты АСУ ТП, жизненный цикл которой (не говоря уже о потенциальном ущербе в случае реализации инцидента ИБ) может измеряться десятилетиями, число достойных кандидатов будет гораздо меньше.
  • Наличие субподрядчиков. Одно дело довериться одной-единственной компании и совсем другое, когда тендер выигрывает генподрядчик, предложивший лучшую цену или каждые выходные играющий в гольa с вашим гендиректором, и который привлекает для выполнения работ малоизвестные и невысоко себя ценящие конторки.

На крупных предприятиях и в холдинговых структурах процесс закупки и взаимодействия с поставщиками обычно худо-бедно выстраивается и стоило бы перенять оттуда уже отработанные механизмы в процесс работы с ИБ-компаниями. А иногда стоит и привнести вопросы ИБ в процесс закупки. Но про это отдельный разговор будет. Если не забуду ;-)
стратегия CISO
Alt text

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.