¿Cómo deben las pequeñas y medianas empresas encontrar contratistas o consultores de seguridad informática?

Primero consultaría con las empresas de su región. Después de obtener una cotización de ellos, llamaría a otras compañías grandes y conocidas por sus estimaciones.

Si la compañía local es significativamente más barata que las compañías conocidas, las evitaría. Desafortunadamente, las organizaciones que cobran muy poco también están proporcionando muy poco.

Las dos preguntas que necesita respuesta son:

1. ¿Cuánto es su tarifa por hora?
2. ¿Cuánto tiempo pasarán evaluando mi organización?

Si no cobran mucho, puede ser porque no están investigando lo suficiente en su organización.

También debe preguntar al contratista / consultor qué normas están utilizando para medir su empresa. Los estándares comunes incluyen: NIST, HIPAA, ISO.

Por último, si aún no ha encontrado un contratista / consultor que lo ayude, comuníquese conmigo. Me encantaría que la empresa para la que trabajo le proporcione un presupuesto.

Creo que las credenciales son importantes. Las pequeñas y medianas empresas (PYME) también dependen de su red para hacer frente a sus desafíos diarios. Eso significa que la credibilidad informal, como la referencia, juega un papel crucial en el aterrizaje de los conciertos de consultoría.

La tasa que las PYME están dispuestas a pagar se basa en muchos factores.

Un factor es la ubicación. La razón detrás de esto tiene que ver con las regulaciones locales, los requisitos de cumplimiento o la ley que rige y da forma al panorama de riesgos.

Internamente, el presupuesto siempre es clave en el proceso de toma de decisiones para adquirir o suspender servicios, como auditorías de seguridad de datos, soporte de TI, etc.

La forma más factible de abordar este dilema es reunirse con los respectivos clientes y acordar una declaración de trabajo. La reunión generalmente ilustra cuánto trabajo se requiere para lograr una meta razonable en un tiempo razonable dentro de una cantidad razonable de incentivo financiero.

Las tarifas varían mucho de un país a otro e incluso de una región a otra. Si publicara las tarifas que tomo aquí en Ginebra (la cuarta ciudad más cara del mundo), sus globos oculares probablemente explotarían, a menos que sea de Singapur, Zúrich o Hong Kong (lugares 1-3 en esa lista).

Personalmente, no soy fanático de las certificaciones. Lo único que demuestran es que el certificado puede pasar la prueba de ese certificado. Los grados pueden ser un indicador ligeramente más fuerte, pero también tienen un uso muy limitado para distinguir la verdadera habilidad, particularmente en ciberseguridad.

Su mejor opción sería, como ya mencionaron otros, utilizar su red para encontrar a alguien calificado. Si alguien ha trabajado para 10 personas y la mayoría de ellos están contentos con él, hay muchas posibilidades de que esta persona esté calificada.

Otra forma podría ser pedir referencias. Dependiendo de su país e industria, esto podría ser una gran idea o no funcionar en absoluto. Solo puedo hablar por mí mismo y mi pequeño nicho, que es la consultoría de criptografía, pero nunca doy referencias, a menos que el cliente solicite explícitamente ser nombrado como referencia para futuros clientes: si las personas necesitan una solución de criptografía personalizada, hay muchas posibilidades de que la estén usando. para proteger datos de considerable valor. Publicar este hecho en mi sitio web podría alertar a los ciberdelincuentes que buscan un objetivo digno. Una vez que sepan el valor, pueden pasar por alto cualquier defensa cibernética que esté en su lugar y optar por la ingeniería social.

No quiero eso

Por otro lado, si está viviendo en un país con una ley de privacidad relativamente laxa, y si está buscando contratos disponibles, como instalar y configurar firewalls, dmzs, spamfilter y similares, las referencias pueden ayudarlo mucho.

¿Realmente tienen que hacerlo? Depende, por supuesto, de lo que estén buscando y en qué nicho estén operando.

Si tuviera un negocio de más de 50 miembros del equipo, iría por un administrador del sistema a tiempo completo. Al final, es la solución más barata y confiable que puede encontrar, porque cada día pueden surgir nuevos problemas.

Para las PYME, hay algunas soluciones listas para usar, como Business VPN de KeepSolid, que pueden ser administradas incluso por personal no técnico.

En caso de que se requiera algún consejo realmente inteligente (y sin un administrador del sistema a bordo), buscaría recomendaciones / recomendaciones de amigos y conexiones.