Ayúdeme a encontrar al Consultor de seguridad adecuado para la etapa en la que se encuentra nuestra organización

Navega tus respuestas
2

Somos una pequeña empresa (< 20 ppl), hemos desarrollado una plataforma backend bastante compleja que expone una API de servicios web y actualmente estamos produciendo una oferta basada en SaaS que es un cliente para el backend. Tanto el backend como la oferta basada en SaaS se están comercializando para prospectos empresariales.

Nos adherimos a las mejores prácticas de seguridad, pero obviamente necesitamos una verificación y un control independientes si vamos a satisfacer algunas de estas grandes perspectivas. Eventualmente, probablemente adoptaremos un marco (COBIT, ISO 27001, etc.) una vez que podamos hacer algunas contrataciones adicionales, tareas separadas, etc. pero por ahora nos gustaría mejorar nuestro SDLC y enviar nuestras aplicaciones web a pruebas de penetración de terceros .

Hemos intentado evitar a las grandes firmas de contabilidad y los grandes proveedores de tecnología (por ejemplo, IBM) con la convicción de que serán costosas y no estarán en una alineación muy buena con nuestra organización. Supongo que llamaría a estos consultores de "Nivel I" por falta de un término mejor.

Hemos intentado lo que supongo que llamaría una firma de "Nivel II" (es decir, su personal proviene de una firma de Nivel I y brinda servicios similares pero son más asequibles), pero su experiencia parece estar muy influenciada por las empresas de servicios que buscan El cumplimiento de SOX, etc., y el enfoque no parecía estar en buena alineación con nuestra necesidad de priorizar nuestros gastos de seguridad.

He intentado ponerme en contacto con otros consultores de Nivel II, pero parece que tienen sus propios problemas (es decir, el personal se va, no me responda de manera oportuna, realmente no intente ver cómo pueden hacerlo). mejor servicio a nuestras necesidades, etc.).

Soy un poco reacio a buscar un propietario único o una pequeña empresa (llame a este Nivel III, supongo) ya que queremos aprovechar un nombre un poco si podemos y asociarnos con alguien que pueda proporcionar cierta continuidad de servicio y recursos de una manera oportuna. No, "Lo siento, estoy totalmente comprometido ahora mismo, llámame en un mes".

Lo que me lleva a mi interrogante / pregunta: ¿Qué tipo de Consultor de seguridad recomendaría para una pequeña empresa que: 1) tiene una aplicación web bastante compleja; 2) comercializa sus productos y servicios hacia las perspectivas empresariales; y 3) ¿necesita priorizar sus gastos de seguridad?

También debo decir que estaba tratando de encontrar a alguien con los pies en la calle en mi cuello del bosque para que pudiéramos encontrarnos cara a cara. Me pregunto qué tan importante es el factor que crees que es para este tipo de compromiso.

TIA

    
pregunta Jason 27.06.2011 - 21:52
fuente

3 respuestas

4

No se menciona, pero es extremadamente valioso - referencias:

¿Tiene otras compañías en su industria con las que podría hablar para averiguar quiénes usan y qué tan satisfechos están con el servicio?

Entiendo que si usted está en un nicho específico, esto podría significar que los competidores le pidan su opinión, pero hay un argumento muy bueno que dice que las empresas deben unirse para asegurar su industria, y creo que unir fuerzas para compartir las mejores prácticas de seguridad y la información no debe ser una distinción competitiva (a menos que esté en la industria de la seguridad), pero debe ayudarlos a ambos.

    
respondido por el Rory Alsop 28.06.2011 - 09:54
fuente
5

Aquí hay algunos antecedentes sobre los jugadores:

  • firmas de CPA. Enfocadas en el mundo financiero, tratan con CFOs y preguntas regulatorias. Por lo general, menos técnicos a cambio de un mayor conocimiento de negocios y poder firmar contratos de aseguramiento. Dependiendo del campo en el que se encuentre, es posible que otras compañías no jueguen con usted si no tiene una carta de uno de estos. Debido a su garantía financiera básica, también se les encuentra jugando fuerte en otros campos de seguridad como HIPAA.

    • Los 4 grandes (bajando de 8) KPMG, Ernst & Joven, PwC, Deloitte Touche. Todos ellos tienen departamentos especializados enfocados en TI. Su fuerza está en gran profundidad y pueden recurrir desde todo el mundo. Grande no significa necesariamente mejor, es una compensación de precio. Estás pagando extra por el seguro de alguien que "no puede fallar". He visto algunos signos de lo contrario, pero tal vez sea una amargura personal: enlace Go aquí si su empresa es tan grande que necesita más de 10 empleados para completar su compromiso.
    • Los jugadores regionales : hay muchos, y están llenos de personas que irán a las grandes empresas o que provienen de ellas. Dado que las reglas de independencia de Sarbanes-Oxley, obtienen una mayor proporción del pastel. Trabajo para uno de los jugadores regionales, y los regionales juegan en el juego Fortune 500. Vaya aquí si busca experiencia a un costo menor que un Big-5 y no necesita suficientes pies en el suelo para pisotearlo. Tenga en cuenta que no todos ellos tienen un profundo conocimiento técnico. La mayoría de ellos deben tener conexiones adecuadas con otras empresas para partes específicas de proyectos. (Supongamos que está en Seattle. Podría aparecer allí una o dos veces, pero si necesito mucha información, podría enviar a alguien de otra empresa como parte de una red). Lanzamiento promocional desvergonzado: enlace

  • Empresas boutique Especialmente dedicadas a TI, pueden ser útiles para un mejor desarrollo interno. Algunas industrias se asegurarán de una boutique como proveedor externo.

    • Empresas nacionales / internacionales Sourcefire, Rapid7 y IOActive caen en esta categoría. Probablemente estén más cerca del personal de una firma regional de CPA más grande. Sus clientes son empresas de tecnología o departamentos de TI adecuadamente grandes.
    • Jugadores locales El resto del mundo completa esto. Tiendas más pequeñas que cubren una región específica y tienen un campo de experiencia más estrecho. Su gente probablemente esté más generalizada en su experiencia.

Una forma realmente buena de tener una idea de lo que hay en su área es echar un vistazo a sus conferencias regionales para ISACA. En mi caso, enlace tiene una lista de jugadores de todas las categorías anteriores, excepto los CPA regionales (chico ¿Alguien dejó caer la pelota ahí?). Además de eso, también puede encontrar recomendaciones específicas reales si visita la sala de chat de este sitio.

    
respondido por el Jeff Ferland 27.06.2011 - 23:57
fuente
3

Póngase en contacto con un grupo de analistas de la industria, como Forrester o The 451 Group. También solía gustarme The Burton Group, pero fueron adquiridos por Gartner. Me gusta Gartner, pero es bueno obtener una visión equilibrada / neutral y creo que (al igual que las otras grandes organizaciones) se vuelven más estrechos con los productos de los principales proveedores.

Una cosa similar existe entre OWASP y WASC. OWASP proporciona asesoramiento equilibrado / neutral, mientras que WASC es una organización que se centra en proporcionar asesoramiento específico de productos para las empresas proveedoras que lo respaldan. OWASP tiene miembros / patrocinadores de la compañía, pero no comentan qué patrocinadores son mejores o más de calidad que cualquier otro.

    
respondido por el atdre 28.06.2011 - 01:25
fuente

Lea otras preguntas en las etiquetas

¿Cómo descifra este sitio los hashes SHA256? [duplicar] PHP filter_input () no protege de eval ()