Kibernetinio saugumo užtikrinimas įmonėms

Situacija tokia noriu teikti tinklo ir kompiuterių skanavimo paslaugas. Sutariu su klientu - atvažiuojam - susimoka po to. Ar reikia kokį punktus įtraukti į sutarį, kad po to neprisiknistų, kad kažką ne taip padarėm? Pvz. susigalvos, kad juos po 3 mėn. nuhakino?

Gal yra minčių kaip tie punktai turėtų skambėti? 😑

Garantijų nesuteikiančios įmonės paslaugų neužsisakyčiau. Ir klientas neturėtų galvoti už jus. Priešingai, jūsų įmonė turi duoti garantijas kad viskas bus gerai ir viskas atitiks europinius standartus

Prieš 15 minučių, Lemon4444 parašė:

Garantijų nesuteikiančios įmonės paslaugų neužsisakyčiau. Ir klientas neturėtų galvoti už jus. Priešingai, jūsų įmonė turi duoti garantijas kad viskas bus gerai ir viskas atitiks europinius standartus

Nesutikciau. Visu pirma kiekvienas zmogus, kad ir klientas, turi suprasti, kad nera nenulauziamos sistemos. Todel, kad ir atitinka kazkokius standartus - tai nereiskia, kad rytoj duomenu baze negali buti pardavinejama.

Prieš valandą, Cpliusas parašė:

Nesutikciau. Visu pirma kiekvienas zmogus, kad ir klientas, turi suprasti, kad nera nenulauziamos sistemos. Todel, kad ir atitinka kazkokius standartus - tai nereiskia, kad rytoj duomenu baze negali buti pardavinejama.

Galite nesutikti kiek nori, bet klientas nusprendžia samdyti ar ne.

Yra konkurentai toje srityje, ju teikiamas paslaugas reiktu isanalizuoti ir kelias uzsakyti. Tuomet viskas bus aisku nuo ko pradeti ir ka tobulinti procese. Dviracio nereik isradineti, ji reikia patobulinti.

Yra įmonės teikiančios saugumo auditus, reikėtų pasižiūrėti kaip ten jų tos sutartys atrodo. Bet jeigu pvz užsisakai auditą, nedarai kodo pakeitimų, ir po 3 mėn nuneša duombazę kažkas, tai nežinau kiek naudos iš tokių paslaugų:)

Prieš 7 minutes, MW3 parašė:

Yra įmonės teikiančios saugumo auditus, reikėtų pasižiūrėti kaip ten jų tos sutartys atrodo. Bet jeigu pvz užsisakai auditą, nedarai kodo pakeitimų, ir po 3 mėn nuneša duombazę kažkas, tai nežinau kiek naudos iš tokių paslaugų:)

Audito kompanijos atsako už tai. Jei nuneša - audito kompanija kalta, dėl neatsakingo auditavimo

prieš 9 valandas, HOST321 parašė:

Audito kompanijos atsako už tai. Jei nuneša - audito kompanija kalta, dėl neatsakingo auditavimo

Rimtai? Neneigiu ka sakai, nes esu su tai susidures tik viena karta dirbant imonej kuri buvo audituota (imones produktas buvo finansinis app'as ir labiau pats app'as, APIs ir pns buvo audituoti, ne darbuotojai ar kaip jie dirba, nes imonej reikejo ivairiu ISO sertifikatu kad atrodytu labiau 'legit' bankams) ir jokiu tokiu garantiju nebuvo, kiek atsimenu permetes akimis kontrakta. Tuo labiau kaip jie gali atsakyti uz tai, jeigu kazkas panaudoja koki neatrasta 0-day? Kiek skaitau info online, konsensusas lyg ir yra jog audito imones uz tai nera atsakingos.
Ir siaip, kokia imone noretu buti atsakinga uz galima xx.xxx - xx.xxx.xxx eur zala, del greiciausiai x.xxx-xx.xxx eur atlygio?

Prieš valandą, Gruzlys parašė:

Rimtai? Neneigiu ka sakai, nes esu su tai susidures tik viena karta dirbant imonej kuri buvo audituota (imones produktas buvo finansinis app'as ir labiau pats app'as, APIs ir pns buvo audituoti, ne darbuotojai ar kaip jie dirba, nes imonej reikejo ivairiu ISO sertifikatu kad atrodytu labiau 'legit' bankams) ir jokiu tokiu garantiju nebuvo, kiek atsimenu permetes akimis kontrakta. Tuo labiau kaip jie gali atsakyti uz tai, jeigu kazkas panaudoja koki neatrasta 0-day? Kiek skaitau info online, konsensusas lyg ir yra jog audito imones uz tai nera atsakingos.
Ir siaip, kokia imone noretu buti atsakinga uz galima xx.xxx - xx.xxx.xxx eur zala, del greiciausiai x.xxx-xx.xxx eur atlygio?

O kam tada auditavimas?:)

Prieš 29 minutes, HOST321 parašė:

O kam tada auditavimas?:)

Atrasti ir taisyti klaidas. Auditas tai ne draudimo paslauga.

Prieš 49 minutes, HOST321 parašė:

O kam tada auditavimas?:)

Atrasti saugumo spragas anksciau nei kazkas jom pasinaudoja.

'compliance' su ivairiais apsaugos standartais/reikalavimais. Tiek atvejais kai ju reikalauja klientai ar kitos trecios salys, tiek atvejais kai norima potencialiai isvengti baudu e.g. GDPR nesilaikymo baudos gali siekti 10/20 milijonu eur., priklausomai nuo pazeidimo, o auditas yra kur kas pigiau.

Marketingas - gali kaip imone/produktas teigti jog esi audituojamas, ir potencialiai rodyti standartus/sertifikatus tuom igytus

prieš 2 valandas, Gruzlys parašė:

Atrasti saugumo spragas anksciau nei kazkas jom pasinaudoja.

'compliance' su ivairiais apsaugos standartais/reikalavimais. Tiek atvejais kai ju reikalauja klientai ar kitos trecios salys, tiek atvejais kai norima potencialiai isvengti baudu e.g. GDPR nesilaikymo baudos gali siekti 10/20 milijonu eur., priklausomai nuo pazeidimo, o auditas yra kur kas pigiau.

Marketingas - gali kaip imone/produktas teigti jog esi audituojamas, ir potencialiai rodyti standartus/sertifikatus tuom igytus

Teisingai, reiškiasi, jei po audito, buvo problema - kas kaltas? Auditorius, nes jis "praleido" spragą ir netinkamai atliko savo darbą

Prieš 11 minučių, HOST321 parašė:

Teisingai, reiškiasi, jei po audito, buvo problema - kas kaltas? Auditorius, nes jis "praleido" spragą ir netinkamai atliko savo darbą

Turi software produkta, praeini jo saugumo audita, pats sukuri saugumo spraga, profit?

Prieš 7 minutes, Gruzlys parašė:

Turi software produkta, praeini jo saugumo audita, pats sukuri saugumo spraga, profit?

Ekspertizė galės tai nustatyti. Ir kokį profita gausite kad pakenksite sau? nonsense. Be to, esant rimtam procesui teismas atsižvelgs i tai kad įmonė samdė auditorius. 

Prieš valandą, Gruzlys parašė:

Turi software produkta, praeini jo saugumo audita, pats sukuri saugumo spraga, profit?

Pamirštamas vienas dalykas - jei po audito yra atnaujinamas kodas - atnaujintam kodui auditas turi būti atliktas iš naujo.
 

Prieš valandą, Lemon4444 parašė:

Ekspertizė galės tai nustatyti. Ir kokį profita gausite kad pakenksite sau? nonsense. Be to, esant rimtam procesui teismas atsižvelgs i tai kad įmonė samdė auditorius. 

Prieš 15 minučių, HOST321 parašė:

Pamirštamas vienas dalykas - jei po audito yra atnaujinamas kodas - atnaujintam kodui auditas turi būti atliktas iš naujo.
 

Netusciazodziaudami, suraskit bent viena tarptautini auditoriu kuris prisiimtu sita atsakomybe kuria jus ginat. Tiek skaitant PwC pasiulymus, tiek kitu auditoriu, nera tokio dalyko kaip atsakomybe po audito.

prieš 1 valandą, Gruzlys parašė:

Netusciazodziaudami, suraskit bent viena tarptautini auditoriu kuris prisiimtu sita atsakomybe kuria jus ginat. Tiek skaitant PwC pasiulymus, tiek kitu auditoriu, nera tokio dalyko kaip atsakomybe po audito.

Kalbėjau ne apie atsakomybę, o apie garantijas ir standartų supratimą