Revista si suplimente
MarketWatch
Inapoi Inainte

Provision aduce securitatea all-in-one

25 Aprilie 2008



Chiar dacă piaţa românească de securitate este departe de maturizare, se observă o tendinţă de consolidare a ofertelor şi de orientare către soluţii şi tehnologii tot mai complexe. Acest trend are două cauze: pe de o parte, companiile se dezvoltă, iar pe de alta, ameninţările devin tot mai evidente. Provision este una dintre companiile care s-au adaptat acestui trend, implicându-se atât în livrarea tehnologiilor de securitate, cât şi a consultanţei şi certificărilor necesare. Am aflat, alături de Ionuţ Boldizar, Divizion Manager al ProvisionProfessional Services Division, care a fost strategia care a dus la aceste rezultate.



Provision s-a impus ca unul dintre leaderii pieţei de securitate a informaţiei. Care credeţi că au fost principalele atu-uri pentru câştigarea acestei poziţii?
Este o poziţie care ne onorează şi ne obligă, în acelaşi timp. Noi am încercat şi am reuşit de fiecare dată să fim cu un pas înaintea pieţei din România, să anticipăm nevoile de securitate şi să le deservim prin tehnologii şi servicii de înalt nivel. Aceste activităţi au trebuit dublate de un efort de informare a partenerilor noştri şi a pieţei, pentru a ajunge la conştientizarea nevoii, la bugetare, la o vânzare consultativă şi la implementare. Mai mult, noi nu ne oprim la implementare, fiind mereu aproape de client, pentru că dacă el este mulţumit de ceea ce primeşte, asta înseamnă că îl câştigăm ca şi partener pe termen lung. Bineînţeles, toate acestea se obţin şi datorită echipelor noastre de specialişti, care îşi aduc o valoroasă contribuţie în fiecare dintre aceste faze. Ar fi lipsit de modestie să spunem că avem cei mai buni specialişti sau că unicii specialişti din piaţă se găsesc la Provision; însă realitatea este că am reuşit să formăm o echipă performantă de care suntem mândri.


Conduceţi divizia de servicii profesionale din cadrul Provision. În ce constau aceste servicii şi care sunt diferenţiatorii Dvs.?
O să încerc să vă dau un răspuns structurat pe baza etapelor logice de concepţie şi implementare a unei infrastructuri de securitate.
Prima categorie de servicii de care voi vorbi este cea de servicii de consultanţă în vederea implementării parţiale sau totale a unui Sistem de Management al Securităţii Informaţiei (SMSI) conform ISO 27001. Aceasta presupune şi servicii de Risk Assessment, şi Risk Management, şi dezvoltare de politici, proceduri şi structuri organizatorice specifice, precum şi Business Continuity Planning, Incident Response şi multe alte servicii specifice, grupate sub aceeaşi umbrelă. Practic, putem ajuta o organizaţie să îşi definească viziunea de securitate în conformitate cu necesităţile proprii, pentru că multe companii nu au încă resursele sau maturitatea să-şi implementeze un SMSI complet şi doresc doar părţi din acesta. Pe lângă aceste servicii, oferim consultanţă pentru alinierea la reglementările legislaţiei locale, cum ar fi Normele BNR sau legislaţia privind Internet Banking-ul, Ordinele privind emiterea de factură în unic exemplar (pentru furnizorii de utilităţi, în special) sau facturarea electronică. Şi, ca să încheiem ciclul, putem oferi servicii de audit pentru aceste reglementări, prin auditorii noştri certificaţi CISA şi ISO 27001 Lead Auditor.
O altă categorie este planificarea şi arhitecturarea infrastructurilor de securitate în conformitate cu necesităţile şi priorităţile unei organizaţii; de asemenea, putem contribui la optimizarea infrastructurilor existente sau la realizarea de proiecte complexe de migrare. Facem acest lucru prin specialiştii noştri certificaţi atât pe tehnologii de bază gen Microsoft, Cisco, UNIX, cât şi pe tehnologiile pe care le distribuim; Check Point, McAfee, Juniper, Websense sunt doar câteva exemple.
Oferim, de asemenea, servicii de implementare de tehnologii sau de infrastructuri de securitate, la cel mai înalt nivel de calitate. Fiecare asemenea proiect presupune un Project Management avansat, definirea şi agrearea clară a parametrilor proiectului şi a indicatorilor de performanţă şi se încheie prin testare şi acceptanţă. Avem o echipă cu experienţă vastă în proiecte complexe, experienţă care ne conferă încrederea în succesul oricărui asemenea proiect. De asemenea, oferim suport tehnic şi troubleshooting la un nivel înalt, având atât infrastructură de back office, cât şi resursele pentru a respecta SLA-uri foarte stricte.
În continuarea celor descrise mai sus, aş aminti serviciile de testare şi evaluare de securitate. Oferim atât servicii complexe de Security Assessment, cât şi servicii de tip Penetration Testing, Ethical Hacking sau testarea aplicaţiilor web.
Şi aş încheia cu cele mai recente servicii pe care le propunem pieţei româneşti, cele de outsourcing de securitate – servicii denumite pe plan internaţional managed security.


În presă apar zilnic informaţii despre noi ameninţări, despre atacuri informatice din ce în ce mai sofisticate şi despre daune din ce în ce mai mari. Cum priviţi noile evoluţii şi provocări în acest domeniu şi ce faceţi pentru clienţii Dvs. pentru a preveni şi respinge aceste atacuri?
Aşa cum au arătat majoritatea surselor, atacurile devin din ce în ce mai specializate. Putem vorbi de reţelele de zombies, de botnet-uri şi de atacuri concertate asupra unor organizaţii. Băncile din România au fost primele care au simţit pe propria piele ce înseamnă asemenea atacuri, fie că vorbim de atacurile de phishing (poate cele mai vizibile, împotriva cărora am reuşit să definim deja un serviciu anti-phishing) sau de fraude mai complexe. Ceea ce s-a întâmplat cu Societe Generale în Franţa, prin Jerome Kerviel - care a încălcat multe practici şi proceduri de securitate timp de patru ani şi a comis o fraudă de proporţii majore (în jur de 5 Mld EUR, dacă îmi aduc bine aminte) - poate constitui un exemplu. Acesta este doar unul dintre aspectele vizibile ale aisbergului. Undeva în interior, departe de ochii publicului, se petrec constant atacuri şi tentative de fraudă; unele sunt detectate şi respinse, altele sunt foarte sofisticate, se fac cu paşi mici şi în mod distribuit, reuşind să treacă neobservate. Cu toate acestea, există o rezolvare simplă şi pro-activă: un management mai atent şi mai responsabil al securităţii informaţiei. Şi acest lucru nu ţine numai de tehnologii de monitorizare sau de compliance sofisticate şi scumpe, care au rolul lor, bineînţeles, ci de un întreg sistem care presupune practici, procese, responsabilităţi şi tehnologii. Specialiştii Provision pot să ajute în acest sens, am făcut asemenea proiecte şi încercăm mereu să fim cu un pas înaintea atacatorilor.


Am înţeles, din discuţia cu Dvs., că aveţi o serie de servicii unice pe piaţă, precum şi o altă serie de servicii în care excelaţi. Care ar fi aceste servicii şi cui se adresează ele?
Una dintre calităţile unui specialist din domeniul securităţii informaţiei este modestia şi discreţia, poate şi datorită meseriei; de aceea voi aminti doar pe scurt aceste servicii în care cred că excelăm. În primul rând, sunt aceste servicii de consultanţă pentru implementarea SMSI, domeniu în care avem deja trei implementări de succes, finalizate cu certificări recunoscute internaţional. Urmează serviciile de tip Penetration Testing şi Ethical Hacking unde avem experienţă, skill-uri şi recomandări şi unde consider că lucrăm la un nivel care nu este atins de competitori. Aş adăuga serviciile de tip Security Assessment şi Web Application Assessment, unde ţinem pasul cu cei mai reputaţi experţi pe plan mondial. Şi, nu în ultimul rând, serviciile de tip managed pe care tocmai le-am lansat, care se bazează pe tehnologii şi experţi unici în piaţă.

Cum vedeţi piaţa de servicii specializate din domeniul securităţii informaţiei? Este un domeniu de nişă şi în presă apar puţine informaţii pe acest subiect, de aceea cititorii noştri ar fi interesaţi de mai multe detalii. Ce se poartă, ce are succes, cum a evoluat această piaţă în ultimii ani?
Este o piaţă de nişă, însă cu regulile ei clare; avem companiile mari care oferă aceste servicii la pachet (gen IBM, HP), integratorii care au început să îşi dezvolte competenţe în domeniu (însă nu au o prioritate din securitatea informaţiei) şi companiile specializate, ca şi Provision, care pot supravieţui numai prin furnizarea de servicii la un nivel de calitate ce depăşeşte de multe ori cerinţele clientului (overdelivery). Piaţa noastră s-a maturizat şi ea şi a început să ceară în ultima perioadă asemenea servicii, pentru că obţine performanţă la un cost rezonabil, maximizând ROI. Creşterea acestei pieţe depăşeşte media pieţei serviciilor şi, după estimările noastre, este loc pentru toţi, mai ales în perspectiva exploziei informatizării datorită fondurilor EU. Şi, ca şi precizare suplimentară la cele afirmate, este loc pentru toţi furnizorii serioşi, care livrează întotdeauna ceea ce promit, cum îmi place să cred că este şi Provision.


Ce priorităţi aveţi pentru 2008?
Cum vă afectează „exodul de creiere” către Occident?
Specialiştii în securitate a informaţiei – destul de puţini, din câte cunosc eu – au rămas în ţară sau au emigrat şi ei?
Afirmaţia cu exodul de creiere este parţial adevărată. În România există o adevărată provocare pentru cei cu adevărat buni în domeniu, care pot găsi de multe ori job-uri mai bine plătite chiar decât în Vest. Noi intenţionăm să ne păstrăm şi să ne mărim echipele, prin atragerea de resurse de valoare care vor beneficia de sistemul nostru de consolidare a cunoştinţelor de tip Knowledge Base şi de training-uri specializate care îi conduc la obţinerea de certificări de prestigiu internaţional. Ne “primenim” în permanenţă, pentru că dorim să identificăm mereu cei mai promiţători oameni, să îi formăm şi să îi ajutăm să crească în mod corespunzător. Provision este un loc în care poţi să faci carieră în domeniul securităţii informaţiei şi colegii mei sunt o mărturie elocventă a acestui lucru.


Ce recomandări aveţi pentru cititorii revistei noastre, pentru a-şi proteja în mod proactiv reţelele de calculatoare?
Întrucât target-ul publicaţiei Dvs. îl reprezintă mediul corporate, majoritatea cititorilor Dvs. deja ştiu ce ar trebui să facă. Aş dori să insist doar asupra unui aspect: proactivitatea înseamnă mai ales obiective, măsurare, procese şi structuri specializate. Dacă acestea există, în mod natural există şi infrastructuri, tehnologii şi resursele umane dedicate care vor putea gestiona securitatea informaţiei. Şi, acolo unde nu se justifică o asemenea structură proprie, îi invit pe manageri să considere în mod serios alternativa outsourcing-ului.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite