Siamo una piccola azienda (< 20 ppl), abbiamo sviluppato una piattaforma backend abbastanza complessa che espone un'API di servizi Web e stiamo attualmente producendo un'offerta basata su SaaS che è un client per il back-end. Sia il back-end che l'offerta basata su SaaS vengono commercializzati per i prospect aziendali.
Rispettiamo le migliori pratiche in materia di sicurezza, ma ovviamente abbiamo bisogno di verifiche e controlli indipendenti se vogliamo soddisfare alcune di queste grandi prospettive. Alla fine probabilmente adotteremo alcuni framework (COBIT, ISO 27001, ecc.) Una volta che potremo effettuare ulteriori assunzioni, compiti separati, ecc. Ma per ora vorremmo migliorare il nostro SDLC e sottoporre le nostre applicazioni web a test di penetrazione di terze parti .
Abbiamo cercato di evitare le grandi società di contabilità e i grandi venditori di tecnologie (ad esempio IBM) nella convinzione che sarebbero costose e non in ottimo allineamento con la nostra organizzazione. Credo che chiamerei questi consulenti di "livello I" per mancanza di un termine migliore.
Abbiamo provato quello che immagino chiamerei un'azienda "Tier II" (cioè il loro personale proviene da un'azienda di primo livello e fornisce servizi simili ma è più economico) ma la loro esperienza è sembrata strongmente influenzata dalle società di servizi che cercano Conformità SOX, ecc. E l'approccio non sembrava essere in linea con il nostro bisogno di dare priorità alle nostre spese per la sicurezza.
Ho cercato di entrare in contatto con altri consulenti Tier II, ma sembrano avere i loro problemi (es. lasciare il personale, non rispondermi in modo tempestivo, non sondare per vedere come possono miglior servizio ai nostri bisogni, ecc.).
Sono un po 'riluttante a cercare un unico proprietario o un'azienda di piccole dimensioni (suppongo questo Tier III immagino) perché vogliamo sfruttare un nome un po' se possiamo e collaborare con qualcuno in grado di fornire continuità di servizio e risorse in modo tempestivo. No, "Scusa, sono completamente fidanzato in questo momento, richiamami tra un mese."
Che mi porta al mio enigma / domanda: che tipo di consulente per la sicurezza consiglieresti per una piccola azienda che: 1) ha un'applicazione web abbastanza complessa; 2) commercializza i suoi prodotti e servizi nei confronti delle prospettive aziendali; e 3) deve dare la priorità alle sue spese di sicurezza?
Dovrei anche dichiarare che stavo cercando di trovare qualcuno con i piedi per strada nel mio collo dei boschi in modo che potessimo incontrarci faccia a faccia. Mi chiedo quanto sia importante un fattore che pensi sia per questo tipo di fidanzamento.
TIA