Как удостовериться в компетентности подрядчика по кибербезопасности
Одна из самых больших проблем, с которой сталкиваются заказчики на рынке услуг в ИБ — это оценка адекватности и компетентности контрагента. Как правило, нужными компетенциями для оценки заказчик не обладает и обращается к тем, кому он доверяет.
Но бывает, что знакомых нет, рекомендаций нет, а работу сделать надо. Обычно, в таких ситуациях и обращаются к нам :) мы работаем только с конечными исполнителями, но на рынке есть:
- Компании со специализацией в кибербезопасности.
- Системные интеграторы.
- Эксперты-фрилансеры.
Вне зависимости от типа подрядчика, есть ряд универсальных советов, которые позволят убедиться в компетентности вашего подрядчика.
Во-первых, попробуйте получить информацию о конечном исполнителе. Зачем? Представьте: вам рассказали про огромный опыт в реализации подобных проектов, показали внушительный список партнеров и произвели прекрасное впечатление. Казалось бы, вот он идеальный подрядчик! Проблема в том, что, возможно, они описывали не себя, а своего субподрядчика, которому планируется отдать вашу работу.
Никто не гарантирует, что ваш проект и предыдущие их успешные проекты будет делать один и тот же человек. Возможно, он уже покинул компанию и стал фрилансером. И никто не гарантирует, что ваша работа не “уйдёт” субподрядчику, который рассчитывает на своего субподрядчика, и так далее. Такие цепочки на рынке ИБ бывают достаточно длинными, и зачастую вы не сможете узнать, кто сделал всю работу, а кто поменял заголовок в отчете. Именно определение конечного исполнителя работы и проверка его компетентности является важнейшим этапом выбора подрядчика, потому что иначе вы оцениваете продажника.
Во-вторых, определив конечного исполнителя, оцените его опыт. На рынке кибербезопасности мало новых и уникальных задач, так что смело запрашивайте историю аналогичных проектов. А если вам говорят, что подрядчик раньше не делал ничего подобного, то это повод задуматься: так ли он опытен, как говорит о себе?
Скорее всего, вам не назовут имена предыдущих заказчиков: в лучшем случае, вы услышите что-то вроде “заказчиком был банк из топ 30 банков России”. Это нормально. В качестве подтверждения опыта таких проектов обычно предоставляют краткое описание выполненных работ, но наилучшим вариантом будет подробный, но обезличенный отчёт. Он не только покажет компетенции специалиста, но и станет отличным примером того, что вы сами получите по итогам работ. А если ваш контрагент пытается “прикрыться” NDA и заявляет, что не может ничего показать и не имеет права даже обсуждать прошлые проекты? Ситуации бывают разные, но скорее всего этих проектов никогда не было.
В-третьих, стоит обратить внимание на достижения, сертификаты и регалии исполнителя.
Сейчас на рынке ИБ достаточно специалистов с сертификатами, и не все сертификаты котируются. Например, популярный Certified Ethical Hacker (CEH) может сдать любой студент с минимальной подготовкой. Учитывайте, что так называемый “certificate sharing” тоже весьма популярен. Это ситуация, когда уважаемые компании присылают сертификаты одного из своих специалистов, несмотря на то что работы делают совсем другие люди.
Конечно же, сертификаты — это плюс к авторитету исполнителя. Особенно если вы уверены, что они принадлежат именно тому человеку, который будет заниматься вашим проектом. Кроме сертификатов, важны и другие достижения специалиста. На что точно стоит обратить внимание:
- Членство в HOF (Hall of fame) крупных компаний за обнаруженные уязвимости
- Статистика выплаченных вознаграждений платформ Bug Bounty
- “Именные” CVE (уязвимости), обнаруженные Исполнителем
Все это открытые данные, которые исполнители с удовольствием о себе укажут, а главное: их легко проверить.
Последнее, о чем надо упомянуть — это личные рекомендации. Рынок услуг по кибербезопасности сравнительно мал, и “сарафанное радио” является отличным способом получить информацию. ИБ — это совершенно точно та сфера, где на рекомендации стоит обращать внимание.
Удачи в поисках подрядчиков!
Одна из самых больших проблем, с которой сталкиваются заказчики на рынке услуг в ИБ — это оценка адекватности и компетентности контрагента. Как правило, нужными компетенциями для оценки заказчик не обладает и обращается к тем, кому он доверяет.
Но бывает, что знакомых нет, рекомендаций нет, а работу сделать надо. Обычно, в таких ситуациях и обращаются к нам :) мы работаем только с конечными исполнителями, но на рынке есть:
- Компании со специализацией в кибербезопасности.
- Системные интеграторы.
- Эксперты-фрилансеры.
Вне зависимости от типа подрядчика, есть ряд универсальных советов, которые позволят убедиться в компетентности вашего подрядчика.
Во-первых, попробуйте получить информацию о конечном исполнителе. Зачем? Представьте: вам рассказали про огромный опыт в реализации подобных проектов, показали внушительный список партнеров и произвели прекрасное впечатление. Казалось бы, вот он идеальный подрядчик! Проблема в том, что, возможно, они описывали не себя, а своего субподрядчика, которому планируется отдать вашу работу.
Никто не гарантирует, что ваш проект и предыдущие их успешные проекты будет делать один и тот же человек. Возможно, он уже покинул компанию и стал фрилансером. И никто не гарантирует, что ваша работа не “уйдёт” субподрядчику, который рассчитывает на своего субподрядчика, и так далее. Такие цепочки на рынке ИБ бывают достаточно длинными, и зачастую вы не сможете узнать, кто сделал всю работу, а кто поменял заголовок в отчете. Именно определение конечного исполнителя работы и проверка его компетентности является важнейшим этапом выбора подрядчика, потому что иначе вы оцениваете продажника.
Во-вторых, определив конечного исполнителя, оцените его опыт. На рынке кибербезопасности мало новых и уникальных задач, так что смело запрашивайте историю аналогичных проектов. А если вам говорят, что подрядчик раньше не делал ничего подобного, то это повод задуматься: так ли он опытен, как говорит о себе?
Скорее всего, вам не назовут имена предыдущих заказчиков: в лучшем случае, вы услышите что-то вроде “заказчиком был банк из топ 30 банков России”. Это нормально. В качестве подтверждения опыта таких проектов обычно предоставляют краткое описание выполненных работ, но наилучшим вариантом будет подробный, но обезличенный отчёт. Он не только покажет компетенции специалиста, но и станет отличным примером того, что вы сами получите по итогам работ. А если ваш контрагент пытается “прикрыться” NDA и заявляет, что не может ничего показать и не имеет права даже обсуждать прошлые проекты? Ситуации бывают разные, но скорее всего этих проектов никогда не было.
В-третьих, стоит обратить внимание на достижения, сертификаты и регалии исполнителя.
Сейчас на рынке ИБ достаточно специалистов с сертификатами, и не все сертификаты котируются. Например, популярный Certified Ethical Hacker (CEH) может сдать любой студент с минимальной подготовкой. Учитывайте, что так называемый “certificate sharing” тоже весьма популярен. Это ситуация, когда уважаемые компании присылают сертификаты одного из своих специалистов, несмотря на то что работы делают совсем другие люди.
Конечно же, сертификаты — это плюс к авторитету исполнителя. Особенно если вы уверены, что они принадлежат именно тому человеку, который будет заниматься вашим проектом. Кроме сертификатов, важны и другие достижения специалиста. На что точно стоит обратить внимание:
- Членство в HOF (Hall of fame) крупных компаний за обнаруженные уязвимости
- Статистика выплаченных вознаграждений платформ Bug Bounty
- “Именные” CVE (уязвимости), обнаруженные Исполнителем
Все это открытые данные, которые исполнители с удовольствием о себе укажут, а главное: их легко проверить.
Последнее, о чем надо упомянуть — это личные рекомендации. Рынок услуг по кибербезопасности сравнительно мал, и “сарафанное радио” является отличным способом получить информацию. ИБ — это совершенно точно та сфера, где на рекомендации стоит обращать внимание.
Удачи в поисках подрядчиков!