Aby nadążyć za zmieniającymi się zagrożeniami i narzędziami cyberbezpieczeństwa, należy przyjrzeć się obszarom, które należy wziąć pod uwagę przy definiowaniu rozwiązania, planowanego do zakupu.
Następnym krokiem jest zrozumienie, czym jest sukces. Możemy podzielić to na trzy obszary: biznesowe, bezpieczeństwa i operacyjne.
Rozważmy po kolei każdy zestaw kryteriów. Poniższa lista nie jest bynajmniej wyczerpująca. Może znaleźć się coś takiego czego wymaga Twoja organizacja, a czego tutaj nie omówiliśmy. Jeśli tak, powinieneś uwzględnić je podczas tworzenia własnej listy, a następnie przypisać każdemu wysoki, średni lub niski priorytet. To ważne, ponieważ produkt, który ma dużo cech z pudełka jest interesujący, ale jeśli te cechy są głównie Twoimi niskimi priorytetami, to produkt pomija niektóre ważne potrzeby.
Żadne narzędzie nie jest idealne, więc prawdopodobnie w jakimś obszarze konieczne pójście na kompromis. Mam nadzieje, że ten artykuł i kolejne pomoże aby ustalić, gdzie one mogą być. Zaczynamy od obszaru biznesowego.
Obszar biznesowy
- Czy rozwiązanie jest zgodne z wewnętrznymi regulacjami i politykami? Prawdopodobnie będzie to wysoki priorytet dla każdej organizacji i może wymagać głębszej analizy. Jeśli narzędzie, które oceniasz, wysyła jakieś dane na przykład do chmury, może być konieczne sprawdzenie, gdzie znajdują się serwery dostawcy. W niektórych regulowanych sektorach biznesu istnieją ścisłe kontrole czy – i jakiego rodzaju – dane mogą przekraczać granice.
- Produkt, który rozważasz, może dziś spełniać Twoje potrzeby, ale czy roadmapa produktu pasuje do Twoich potrzeb biznesowych i planów rozwoju w przyszłości? Roadmapa może informaować, że producent zamierza skupić się na obszarach produktu, które nie są istotne dla Twojego biznesu, albo być nie jasna. W świecie cyberbezpieczeństwa sytuacja zmienia się szybko, ale Ty potrzebujesz zastanowić się, jak rozwinie się produkt przez najbliższe pięć lat i czy ten produkt pasuje do Twojej wizji.
- Czy przewidujesz, że produkt, który testujesz, będzie produkować mniej alertów? Może to być spowodowane tym, że lepiej eliminuje false positive lub ponieważ jest bardziej zautomatyzowany i obsługuje określone rutynowe alerty według tej samej reguły. Tak czy inaczej, zapewni to lepsze wrażenia użytkownikom systemów bezpieczeństwa, co prawdopodobnie zwiększy satysfakcję z pracy, a nawet może mieć wpływ na utrzymanie pracowników.
- Czy nowy produkt pozwoli Ci uprościć system bezpieczeństwa poprzez konsolidację rozwiązania? Jeśli tak, czy jest to istotny czynnik? Niektóre organizacje nadają priorytet integracji produktów, a inni chętnie używają ich wiele, aby czuć się bezpiecznie. Większość jest gdzieś pomiędzy.
- Zasady licencjonowania i wprowadzania nowych funkcjonalności przez dostawcę będą miały wpływ na nowe funkcje na roadmapie. Nie należy zakładać, że otrzymamy automatycznie dostęp do każdej nowej funkcji w momencie jej wydania. Sprawdź, czy będziesz musiał czekać na nowe funkcje lub czy dostęp do nowych funkcji zależy od warunków twojej licencji. To, jak ważna jest ta odpowiedź, będzie zależeć od wagi, nadanej do punktu 2.
- Należy wziąć pod uwagę doświadczenie dostawcy. Jeśli to nowy dostawca, sprawdź referencje, opinie i czy analitycy ocenili produkt. Jeśli to wieloletni dostawca, rozważ osiągnięcia firmy w kategoriach sukcesu wdrożeń, stabilności firmy i obsługi klienta. Dobrze finansowany nowy startup, o którym wszyscy mówią, może mieć świetne rozwiązanie, ale może nie. Firmie może zabraknąć funduszy lub może zostać przejęta i zmienić kierunek.
- Jak wygląda świadczenie pomocy technicznej sprzedawcy i do jakiego podejścia SLA? To, jak dużą wagę do tego przyłożysz, będzie zależeć od takich czynników, jak wielkość twojego zespołu, krytyczność instalacji. Jeśli masz mały zespół, być może będziesz musiał na nim polegać więcej na serwisie.
- Jaka jest jakość dokumentacji produktu i czy jest regularnie aktualizowana? Jeszcze raz, Twoja waga będzie zależała od tego, czy Twój zespół będzie potrzebował do niej sięgać czy tylko podczas instalacji. To też będzie zależało od tego, czy Twój zespół jest już zaznajomiony z podobnymi produktami.
- Jakie czynniki finansowe stoją za Twoim zakupem? Czy jest presja na przykład skonsolidować narzędzia lub uwolnić zasoby ludzkie? Lub być może są obawy finansowe są drugorzędne w stosunku do uzyskania odpowiedniego produktu? Właściwie wyliczone ROI (retutn-of-investment) znacznie ułatwi określenie oczekiwań zamiast przypuszczeń.
Warto przygotować sobie odpowiedni arkusz excela z wypisanymi czynnikami, ich priorytetem, naszą oceną, aby łatwiej nam było zarządzać kryterium sukcesu projektu.
