cechy rzetelnego dostawcy – audyt bezpieczeństwa, testy penetracyjne

1. Wykazuje zainteresowanie procesem biznesowym, którego dotyczy badanie.
2. Posiada własny interdyscyplinarny Zespół/certyfikaty branżowe.
3. Udostępnia zanonimizowane CV zaangażowanego Zespołu.
4. Wykazuje i dokumentuje referencje.
5. Umożliwia realizację rozmów i wizyt referencyjnych.
6. Wykazuje metodykę, ze wskazaniem standardów, planu działania, celu, efektu, harmonogramu, planów awaryjnych.
7. Rozumie i kieruje się standardami branżowymi.
   
8. Udostępnia zanonimizowany raport.
9. Podpisuje umowy o poufności – NDA.
10. Posługuje się szyfrowanym kanałem komunikacji.
11. Posiada ubezpieczenie OC.
12. Dokumentuje zgodność z systemami jakości i bezpieczeństwa informacji – ISO/IEC 27001, ISO 9001 wystawione przez jednostki akredytowane w PCA.
13. Opracowuje i pozostawia dokumentację.
14. Wskazuje ścieżkę eskalacji problemów, oraz kontakt personalny.
15. Umożliwia dostęp  do osób RZECZYWIŚCIE  zaangażowanych
    w projekt z określeniem roli, kompetencji, certyfikatów.
16. Posiada nienaganne opinie pracowników, kontrahentów, klientów
17. Wykazuje doświadczenie i staż rynkowy.
18. Posiada wiarygodność i stabilność finansową.
19. cdn 🙂

Ze względu na brak jednego obowiązującego standardu i powszechnej wiedzy zauważam, że podmioty zainteresowane przeprowadzeniem „audytu bezpieczeństwa”/security assessment prezentują ogólne przeświadczenie co do wymagań, szczególnie zauważalne jest to w ramach testów penetracyjnych, które mylnie są utożsamiane z audytem bezpieczeństwa. Często zamawiający wskazuje szerszy zakres samego testowania, który stanowi ocenę bezpieczeństwa systemów IT i błędnie  jest określany terminem audytu, który powinien być umocowany w ramach  powszechnie uznanych i rekomendowanych metodyk, jeszcze trudniej jest w obszarze weryfikacji poziomu bezpieczeństwa sieci przemysłowych i systemów OT/ICS.

W kontekście powyższego niezmiernie ważne jest określenie cech rzetelnego dostawcy,  które mogą stanowić punkt wyjścia do  weryfikacji kompetencji wykonawcy. Powszechnie uważa się, że gwarantem skuteczności i rzetelności testów weryfikujących poziom bezpieczeństwa systemów teleinformatycznych są kompetencje i doświadczenie wykonawcy, szczególnie gdy jego zespół oprócz oceny samych systemów IT wykazuje zrozumienie kluczowego procesu, za które badaną organizację jako ściśle ze sobą powiązane filary: ludzie, procesy systemy.

Dobrą rekomendacją jest, gdy  podmioty i osoby zaangażowane w security assessment posiadają poniżej wymienione certyfikaty.
Nadmieniam, że nie chodzi o to, aby wybrany team dostawcy posiadały je wszystkie, ponadto wiele osób ich nie posiada,  a realizują security assessment na światowym poziomie. Można się obrażać lub nie ale, w ramach dojrzałych organizacji, gospodarek na świecie posiadanie certyfikacji jest gwarantem weryfikacji rzetelności i realizacji prac wg. uznanych metodyk i standardów. Dodatkowo większość z nich wymaga ciągłego procesu doskonalenia i recertyfkacji. Warto też zwrócić uwagę, kto akredytuje, bo można dokonać wyboru kierując się certyfikacją „zrobioną z kartofla”, którą można kupić, a nie niesie za sobą rzetelności, wysokich standardów i konieczności doskonalenia i recertyfikacji.