Как сформулировать запрос предложения на услуги ИБ-компании

Для экспертов по информационной безопасности прошлая неделя оказалась не самой удачной, считает глава компании High-Tech Bridge Илья Колошенко.

Бывший мэр Нью-Йорка Рудольф Джулиани сравнил кибербезопасность с раковой опухолью, а известный специалист в области ИБ Брайан Кребс обратил внимание общественности на ряд проблем с известным стартапом Norse Corporation.

Оба случая демонстрируют постепенную потерю доверия корпоративных клиентов к отрасли информационной безопасности и ее представителям. Выбрать по-настоящему достойную ИБ-компанию становится все сложнее, поэтому многие организации испытывают серьезные трудности при составлении запросов предложения (документированного запроса заказчика, заинтересованного в приобретении каких-либо товаров или услуг).

Эксперты по информационной безопасности и руководители предприятий часто остаются недовольными формулировкой запросов предложения. Одним из наиболее эффективных способов получить лучшее соотношение цена/качество услуги является открытый и прозрачный запрос. Однако так называемая «невидимая рука рынка» в отношении отрасли кибербезопасности срабатывает не всегда.

Эффективно сформулировать запрос предложения помогут несколько простых правил.

Запрос предложения прежде всего должен соответствовать стратегии управления корпоративными рисками компании. Приобретаемые системы контроля безопасности должны снижать риски в соответствии с установленными приоритетами. На рынке регулярно появляются новые решения, и компании зачастую приобретают их, следуя моде и не учитывая реальных потребностей. К примеру, если главной угрозой информационной безопасности на предприятии являются инсайдеры, бессмысленно тратить деньги на исследование внешних рисков.

В запросе предложения должны быть четко и подробно сформулированы требования к покупаемому продукту или услуге. Зачастую компании довольно туманно излагают суть требований. Важно не только поставить задачу, но и понимать, какие технологии использует подрядчик для ее выполнения.

Не лишним будет потребовать от поставщика услуг продемонстрировать работу в среде самой компании. Многие вендоры показывают возможности своих продуктов в искусственно созданной среде. ИБ-эксперты зачастую используют приложения и фреймворки с заведомо известными уязвимостями. Определенные приложения подходят для проверки определенных продуктов, и их результаты могут иметь мало общего с действительностью.

При выборе ИБ-компании не стоит поддаваться соблазну и отдавать предпочтение самой недорогой. Даже если цена устраивает, необходимо убедиться в качестве предоставляемых услуг. Рекомендуется также поинтересоваться отзывами клиентов компании.

Нельзя забывать о соглашении об уровне предоставления услуги (формальном договоре между заказчиком и поставщиком, содержащем описание сервиса, права и обязанности сторон и согласованный уровень качества предоставления услуги).

Некоторые компании не заключают подобные договоры, полагаясь на дружеские отношения и убедительный маркетинг. У каждого продавца есть собственные ключевые показатели эффективности, демонстрируемые заказчику. О подводных камнях станет известно гораздо позже, поэтому стоит подстраховаться заранее.