Aiutami a trovare il Consulente per la sicurezza giusto per la fase in cui si trova la nostra organizzazione

2

Siamo una piccola azienda (< 20 ppl), abbiamo sviluppato una piattaforma backend abbastanza complessa che espone un'API di servizi Web e stiamo attualmente producendo un'offerta basata su SaaS che è un client per il back-end. Sia il back-end che l'offerta basata su SaaS vengono commercializzati per i prospect aziendali.

Rispettiamo le migliori pratiche in materia di sicurezza, ma ovviamente abbiamo bisogno di verifiche e controlli indipendenti se vogliamo soddisfare alcune di queste grandi prospettive. Alla fine probabilmente adotteremo alcuni framework (COBIT, ISO 27001, ecc.) Una volta che potremo effettuare ulteriori assunzioni, compiti separati, ecc. Ma per ora vorremmo migliorare il nostro SDLC e sottoporre le nostre applicazioni web a test di penetrazione di terze parti .

Abbiamo cercato di evitare le grandi società di contabilità e i grandi venditori di tecnologie (ad esempio IBM) nella convinzione che sarebbero costose e non in ottimo allineamento con la nostra organizzazione. Credo che chiamerei questi consulenti di "livello I" per mancanza di un termine migliore.

Abbiamo provato quello che immagino chiamerei un'azienda "Tier II" (cioè il loro personale proviene da un'azienda di primo livello e fornisce servizi simili ma è più economico) ma la loro esperienza è sembrata strongmente influenzata dalle società di servizi che cercano Conformità SOX, ecc. E l'approccio non sembrava essere in linea con il nostro bisogno di dare priorità alle nostre spese per la sicurezza.

Ho cercato di entrare in contatto con altri consulenti Tier II, ma sembrano avere i loro problemi (es. lasciare il personale, non rispondermi in modo tempestivo, non sondare per vedere come possono miglior servizio ai nostri bisogni, ecc.).

Sono un po 'riluttante a cercare un unico proprietario o un'azienda di piccole dimensioni (suppongo questo Tier III immagino) perché vogliamo sfruttare un nome un po' se possiamo e collaborare con qualcuno in grado di fornire continuità di servizio e risorse in modo tempestivo. No, "Scusa, sono completamente fidanzato in questo momento, richiamami tra un mese."

Che mi porta al mio enigma / domanda: che tipo di consulente per la sicurezza consiglieresti per una piccola azienda che: 1) ha un'applicazione web abbastanza complessa; 2) commercializza i suoi prodotti e servizi nei confronti delle prospettive aziendali; e 3) deve dare la priorità alle sue spese di sicurezza?

Dovrei anche dichiarare che stavo cercando di trovare qualcuno con i piedi per strada nel mio collo dei boschi in modo che potessimo incontrarci faccia a faccia. Mi chiedo quanto sia importante un fattore che pensi sia per questo tipo di fidanzamento.

TIA

    
posta Jason 27.06.2011 - 21:52
fonte

3 risposte

4

Non citato, ma estremamente prezioso - riferimenti:

Hai altre aziende nel tuo settore con cui potresti parlare per scoprire chi usano e quanto sono soddisfatti del servizio?

Capisco che se sei in una nicchia specifica, questo potrebbe significare andare in competizione a chiedere la loro opinione, ma c'è una buona argomentazione che dice che le aziende dovrebbero collaborare per garantire la loro industria, e credo che unendo le forze per condividere le migliori pratiche e le informazioni sulla sicurezza non dovrebbe essere una distinzione della concorrenza (a meno che non si sia nel settore della sicurezza), ma dovrebbe aiutare entrambi.

    
risposta data 28.06.2011 - 09:54
fonte
5

Ecco alcuni retroscena sui giocatori:

  • Imprese CPA focalizzate sul mondo finanziario, trattano con i CFO e le questioni normative. Di solito meno tecnico in cambio di una maggiore conoscenza del business e della possibilità di sottoscrivere impegni di assicurazione. A seconda del campo in cui ti trovi, altre aziende potrebbero non giocare con te se non hai una lettera da uno di questi. A causa della loro assicurazione finanziaria di base, si trovano anche giocando strong in altri campi di garanzia come HIPAA.

    • The big 4 (giù da 8) KPMG, Ernst & Young, PwC, Deloitte Touche. Hanno tutti reparti specializzati focalizzati sull'IT. La loro forza è in grande profondità e possono richiamare da tutto il mondo. Big non significa necessariamente migliore: è un trade-off di prezzo. stai pagando un extra per l'assicurazione di qualcuno che "non può fallire". Ho visto alcuni segni altrimenti, ma forse è un'amarezza personale: link Vai qui se la tua azienda è così grande che hai bisogno di più di 10 dipendenti per superare il tuo impegno.
    • Gli attori regionali : ce ne sono molti, e sono pieni di persone che andranno alle grandi aziende o che sono venute da loro. Dal momento che le regole di indipendenza di Sarbanes-Oxley, ottengono una quota maggiore della torta. Lavoro per uno dei giocatori regionali e le regionali giocano nel gioco Fortune 500. Vai qui se cerchi esperienza a un costo inferiore rispetto a un Big-5 e non ti serviranno abbastanza piedi per terra per calpestarti. Fai attenzione che non tutti hanno una profonda conoscenza tecnica. La maggior parte di loro dovrebbe avere connessioni appropriate con altre aziende per parti specifiche dei progetti. (Supponiamo che tu sia a Seattle - potrei presentarmi una o due volte, ma se ho bisogno di un sacco di mani, potrei mandare qualcuno da un'altra ditta come parte di una rete). Piazzola promozionale spudorata: link
  • Società di boutique specificamente dedicate all'IT, possono essere utili per un migliore sviluppo interno. Alcuni settori prenderanno le assicurazioni da una boutique come fornitore esterno.

    • Imprese nazionali / internazionali Sourcefire, Rapid7 e IOActive rientrano in questa categoria. Probabilmente sono più vicini al personale di una più grande azienda regionale CPA. I loro clienti sono aziende tecnologiche o reparti IT adeguatamente grandi.
    • Giocatori locali Il resto del mondo lo riempie. Negozi più piccoli che coprono una regione specifica e hanno un campo di esperienza più ristretto. La loro gente probabilmente è più generalizzata nella sua esperienza.

Un ottimo modo per avere un'idea di cosa c'è nella tua zona è dare un'occhiata alle tue conferenze regionali per ISACA. Nel mio caso, il link ha una lista di giocatori che formano tutte le categorie sopra elencate tranne i CPA regionali (ragazzo qualcuno ha lasciato cadere la palla lì?). Oltre a ciò, potresti anche trovare consigli specifici effettivi se fai attenzione alla chat room di questo sito.

    
risposta data 27.06.2011 - 23:57
fonte
3

Contatta un gruppo di analisti del settore, come Forrester o The 451 Group. Mi piaceva anche The Burton Group, ma sono stati acquisiti da Gartner. Mi piace Gartner, ma è bello avere una visione equilibrata / neutrale e penso che (come le altre grandi organizzazioni) diventino più limitati nei confronti dei prodotti dei principali fornitori.

Esiste una cosa simile tra OWASP e WASC. OWASP fornisce consulenza bilanciata / neutrale, mentre WASC è un'organizzazione focalizzata sulla fornitura di consulenza specifica per prodotto per le aziende venditrici che la supportano. OWASP ha membri / sponsor della società, ma non commentano quali sono gli sponsor migliori o più di altri.

    
risposta data 28.06.2011 - 01:25
fonte

Leggi altre domande sui tag