Sécurité de l'externalisation Partie 3: Sélection d'un fournisseur de services de sécurité gérés

  • Écrit par : Jim McLendon
  • Date de publication : juillet 2013



Présentation

C'est le milieu de la nuit. Un chiffre d'ombre se tapit par la fenêtre. Il récupère un instrument menaçant et commence à jouer avec la serrure. Mais l'intrus n'ira pas loin: les propriétaires ont contracté un fournisseur de sécurité pour surveiller une alarme serré système ou ce qu'ils croyaient

.

En fait, la compagnie de sécurité a récemment fait faillite et a omis de notifier ses clients. Comme l'intrus fait son chemin dans la maison, pas de sons d'alarme, aucun des unités de police sont avisés. L'intrus masqué est autorisé à poursuivre ses objets de valeur arraché rôdent, y compris ... l'ordinateur.

Ce scénario décrit une invasion personne ne voudrait rencontrer à la maison ou au bureau. Toutefois, plusieurs entreprises ont connu une invasion électronique quand ils ont travaillé pour définir un programme de gestion de la sécurité impénétrable pour le réseau de l'entreprise, seulement pour trouver le partenaire de sécurité fiable.

Selon Gartner, plus de 1 milliard de dollars en capital de risque a été pompé dans start-up prestataires de services de sécurité managés (MSSP). L'année dernière, quelques MSSP de grande envergure brusquement repliés, laissant les clients bloqués sans recours. En conséquence, les entreprises qui envisagent d'externaliser la gestion de leur sécurité de l'information sont naturellement méfiants. Gartner prévoit que les organisations plus MSSP échoueront, et de nombreuses fusions et acquisitions auront lieu avant que le marché s'installe. Pour cette raison, il est impératif que les organisations prennent des précautions pour analyser en profondeur les fournisseurs potentiels du SMS.

Comme le dernier article d'une série en trois volets sur la sécurité sous-traitance, l'article suivant fournit des directives pour la sélection d'un fournisseur de services de sécurité gérée fiable.

Cette   fait partie 3 d'un article en 3 parties.

partie   1 a noté les avantages de la sécurité sous-traitance.

partie   2 a évalué le coût d'une telle externalisation.

partie   3 fournit des directives pour la sélection d'un fournisseur de services de sécurité.

trouver ce que vous voulez

entreprises se tournent vers la sécurité externalisée ou gérée services de sécurité (MSS) afin de protéger leur capital d'information de manière plus efficace. MSS englobe divers types de services, y compris le conseil, la gestion de périmètre distance, la surveillance de la sécurité gérée, les tests de vulnérabilité / pénétration et la surveillance de la conformité. Choisir une société de sécurité gérée est semblable à choisir une autre touche vendeur, sauf que les organisations ne peuvent se permettre les temps d'arrêt si le vendeur omet.

correctement identifier et évaluer les risques et les avantages de l'externalisation de la sécurité peut sembler une tâche ardue. Étude considérable et de soin extrême doit être accordée aux facteurs de fournisseurs de services de sécurité gérés, tels que les instruments de pesage:

      Rester
  •     puissance de l'entreprise
  •   Expertise
  •     des professionnels de la sécurité
  •   Gamme de
  •     et la flexibilité des services
  •   Coût
  •     avantages
  • sécurité     la philosophie, la culture et les gens
  •   Engagement
  •     aux accords de niveau de service
  •   Soutien
  •     la technologie
  •     Existence de sécuriser les installations d'exploitation

vendeur   Stabilité

Comme l'industrie MSSP est encore assez jeune, il n'existe pas de sociétés des normes établies peuvent utiliser pour comparer les fournisseurs. Pour cette raison, les experts soulignent l'importance d'enquêter sur les vendeurs à fond avant de signer tout contrat. Ils recommandent documentation demandeur et d'autres informations à l'appui de forces, d'expérience et de succès dans les domaines suivants:

  • financière     stabilité Photos     Pour résister à la fluctuation de l'économie actuelle du fournisseur devrait être     bien financés et ont une large base de clientèle à travers laquelle répartir les coûts. Organisations     doivent se demander: «Y at-il une chance cette société va fermer ses portes     au cours des deux prochaines années en raison du manque de capital? " Photos     
  • ans     en entreprise
        Alors que les services de sécurité externalisés sont assez nouveaux, produits de sécurité et les entreprises     le sont pas. Un fournisseur avec plusieurs années dans le domaine de la sécurité offre valable     l'expérience et la stabilité. Photos     
  • MSS     expérience

  • clients
        Alors qu'il enquête, les organisations doivent demander combien de temps le client moyen     relation a duré et demander des commentaires des clients existants concernant     les services fournis. Photos     
  • Réputation
    Clients     peuvent prendre note des observations de tiers, tels que les analystes et l'industrie     écrivains commerciales. Toutefois, cela ne doit pas remplacer une enquête approfondie, en personne.

Largeur   des offrandes

évaluation des MSSP doivent également tenir compte:

      Comment
  •     nouveaux services managés de sécurité sont mises en œuvre
  • Technologies,     les forces et les faiblesses de l'arène des services de sécurité
  •   Expertise
  •     du personnel MSSP
  • connexes     des services de consultation ou d'éducation offerts par la compagnie de sécurité

En   outre, les organisations doivent déterminer si l'offre de l'MSSP sont flexibles   et suffisamment large pour répondre aux besoins actuels et futurs de l'entreprise. Les entreprises peuvent   évaluer la gestion MSSP, la surveillance et les techniques d'intervention en demandant:

  • Quel     produits et la technologie ne le support MSSP? Est-ce que le fournisseur de maximiser     l'utilisation de produits de sécurité existants en aidant à l'installation, la mise en œuvre     et l'intégration? Photos     
  • Comment l'     Personnel MSS fonctionne en cas d'urgence ?

  • -ce que le MSSP     avoir éventualités pour ajouter rapidement des consultants spécialisés devraient le plus     expertise devenir
    nécessaire     
  •   Etes-
  • le niveau de service     accords rigoureux et flexible? Y at-il d'autres caractéristiques qui atténuent     failles de sécurité potentielles, de réduire la responsabilité, et offrent la tranquillité d'esprit?

  • -ce que le MSSP     offrir des temps de réponse garantis, y compris les niveaux fixés par la gravité de réponse     de la menace?

organisationnelle   Support

Pour déterminer le niveau de soutien organisationnel que le MSSP peut fournir, les entreprises devraient poser la question:

  • Est     le MSSP avoir accès ou posséder un centre d'opérations de sécurité (SOC) des installations?     Sont les installations équipées pour la redondance? Quelles sont les autres fonctionnalités sont en place     pour assurer des opérations robustes? Photos     
  • Quels sont effectifs     pratiques? Comment les employés potentiels d'écran MSSP? Photos     
  • Comment l'     Le personnel retenu et indemnisé? Photos     
  • Le MSSP     pouvoir d'embaucher et de retenir du personnel ayant des compétences suffisantes pour soutenir l'entreprise?     Le MSSP besoin et de soutenir la formation continue? Photos     
  • Comment l'     MSSP assurer la confidentialité du client? Photos     
  • Le MSSP     environnement des affaires "always-on», s'assurer que les employés observent les réseaux des clients     et d'assurer une protection à toutes les heures?

Les entreprises devraient également poser des questions sur la recherche et le développement départements, et le financement des MSSP pour les domaines suivants:

      Comment
  •     est le personnel MSSP tenu au courant des dernières tendances du secteur de la sécurité? Est-ce que     il un organisme de recherche dédié à rester au courant des dernières     les cyber-menaces, les vulnérabilités, les techniques de piratage, et les développements en matière de sécurité?     Est-il surveiller constamment les alertes de sécurité et d'avis? Photos     
  • Que spécialisée     connaissances et d'expertise en matière de sécurité ne le personnel MSSP ont?

Conclusion

Lorsque vous cherchez à embaucher un MSSP, les entreprises devraient prendre le temps d'étudier à fond les vendeurs. Certains experts recommandent de procéder à une vérification au démarrage du service, puis un autre audit un an plus tard pour aider à comparer la valeur obtenue à partir du service.

Avec le bon choix, un service externalisé est un partenaire de sécurité qui partage le fardeau et la responsabilité de la gestion de la sécurité d'une organisation et de réponse aux incidents et permet à la société d'opérer en toute confiance dans un monde connecté.

Cette   conclut la partie 3 de l'article en 3 parties.

  Partie 1 a noté les avantages de la sécurité sous-traitance.

partie   2 a évalué le coût d'une telle externalisation.

partie   3 fournit des directives pour la sélection d'un fournisseur de services de sécurité.

propos   l'auteur

Jim   McLendon , vice-président de Symantec Security Services Global Business   Développement, a plus de 40 ans d'expérience dans la sécurité de l'information et de l'information   opérations. McLendon rejoint AXENT, et par la suite Symantec grâce à l'acquisition,   après une brillante carrière avec la United States Air Force. En tant que retraité   colonel, il a une richesse d'expertise et d'expérience du commandement des opérations spéciales,   intelligence, et la guerre électronique et la guerre de l'information. Il a géré   grands, diversifié et géographiquement séparés organisations ayant des responsabilités de direction   pour plus de 2.100 personnes hautement techniques. Une grande partie de sa carrière s'est déroulée   dans des endroits tels que Taiwan, le Vietnam, le Royaume-Uni et en Allemagne.

McLendon   est un diplômé de l'Air War College et de l'air de l'Armée de l'Air Command and Staff   College. Il a obtenu sa maîtrise ès sciences en gestion des ressources humaines   de Troy State University et un baccalauréat ès arts en gestion de   l'Université du Maryland.

Il   peut être atteint à Jmclendon@symantec.com   ou pour plus d'informations sur les systèmes de sécurité Symantic, aller à www.symantec.com .

 
comments powered by Disqus