Comment choisir un consultant en sécurité informatique - Quelques aspects négligés

Lorsque vous exécutez une entreprise qui dépend essentiellement de ses informations techniques et administratives (et ce que les entreprises n'en a pas?), Alors vous aurez envie de prendre des mesures pour protéger ces données contre la perte ou les dommages. Une de ces mesures consiste souvent à embaucher un consultant en sécurité informatique pour examiner votre sécurité de l'information et de suggérer des améliorations qui sont alignés à votre tolérance au risque et aux meilleures pratiques.

Conseil en sécurité est un genre unique de l'entreprise. Comme d'autres types de conseil en informatique, consultants en sécurité de l'information doivent être soigneusement mises à jour sur les tendances de l'industrie et des normes, et ont un dossier exceptionnel de réussite pour leurs clients. Qui a pris en lecture. Mais d'autres aspects de l'entreprise sécurité de l'information sont moins évidents, mais ils sont au moins aussi important lorsque vous envisagez d'embaucher des consultants en sécurité.

Vous serez confronté à un déluge de technobabble compliquée en explorant les services de divers organismes de sécurité de l'information. Prenez du recul et laisser passer (le transmettre à vos propres spécialistes pour décoder si vous le souhaitez), puis commencer à poser des questions très différentes de l'agence. Telles que: «Quelle est votre vision de l'intégrité d'une entreprise de sécurité?" Ou: «Comment vous assurez-vous que votre personnel et pigistes sont dignes de confiance"

Ceux-ci sont loin d'être des questions insignifiantes. Par exemple, les tests de pénétration implique une tentative de percer les défenses de votre réseau interne, et a le potentiel de causer des dommages importants à votre logiciel et des systèmes si elles sont réalisées avec malice. Pour un test de pénétration à être effectuée par un consultant en sécurité avec un passé criminel n'est vraiment pas une bonne idée! Vous devez avoir confiance que tout le personnel ont été soigneusement vérifiés pour les condamnations pénales, etc, et que chaque consultant en sécurité informatique est complètement consacré à des valeurs telles que l'intégrité, la fiabilité et la discrétion.

Alors, comment trouvez-vous cela? Un indicateur possible est la composition des organes pertinents de l'industrie. Par exemple, les agences de sécurité de l'information au Royaume-Uni peuvent être membres du CLAS (SCEE Listed système Advisors), tandis que les entreprises fournissant des tests de pénétration (ce qu'on appelle le «piratage éthique») pourrait également être membres du CREST (Conseil des infirmières et testeurs de sécurité éthiques). Ces deux régimes vétérinaire de l'individu et la société, et nécessitent un renouvellement régulier des pouvoirs. Offres de testeurs de sécurité peuvent être membres du «Scheme Tiger", même si cela ne résout pas tous les problèmes liés à l'entreprise.

Un autre indicateur est le niveau de sécurité nationale dédouanement des principaux consultants. Au Royaume-Uni, le niveau de base est SC (cote de sécurité) pour l'accès aux documents ad hoc portant la mention «SECRET», mais pour un travail régulier sur SECRET ou l'accès aux données les plus sensibles de la prise DV (vetting de développement) niveau est nécessaire. Les procédures à suivre pour gagner la clairance êtes rigoureux et fiable, et inclure un chèque sur les casiers judiciaires et des références de crédit. Ainsi, vous pouvez connaître le niveau d'habilitation des consultants en sécurité qui travailleront avec vous, même si votre projet n'est pas lui-même besoin de ce niveau d'autorisation.

Rappelez-vous, la sécurité de vos données d'entreprise est finalement votre responsabilité. Cela fait partie de la diligence voulue pour enquêter sur la fiabilité de vos consultants en sécurité de l'information. Au-delà de toutes les questions techniques et administratives qui doivent être posées, vous devez également poser ces questions moins tangibles quant à l'intégrité et les valeurs. Parce que, en fin de compte, vous devez être en mesure de faire confiance au consultant en sécurité pour ne pas endommager vos données critiques de l'entreprise: et qui implique non seulement la compétence, mais aussi des valeurs fondamentales....