Thị trường Penetration Test tại Việt Nam
Quy trình Request for Proposal
Đầu tiên bạn nên bắt đầu bằng một qui trình RFP đơn giản và với kinh nghiệm của người đã có nhiều năm làm nghề thì tôi nghĩ qui trình RFP dài hạn ban đầu sẽ không phải là cách hay nhất. Tôi đã từng phải bỏ dở rất nhiều qui trình RFP dài hạn để có được bài học này. Trong một số trường hợp, RFP còn dài hơn cả bản báo cáo kết quả đánh giá : RFP dài tận 50 trang khi mà đánh giá một hệ thống chỉ với 1 Website, 5 Servers, 50 Desktop PCs.
Khởi đầu bằng một nhiệm vụ rõ ràng : Bạn muốn gì khi hoàn thành đợt đánh giá này ?
Điều này giúp đối tác hiểu bạn muốn đánh giá "cái gì" và chỉ tập trung vào những điều mà bạn cần. Đừng nên bỏ qua bước này, nó có thể là bước tối quan trọng đấy. Hãy phân loại những câu hỏi mà bạn sẽ hỏi. Đối tác sẽ rất vui lòng được lắng nghe bạn hỏi về những yêu cầu chung ban đầu như :
Bao lâu thì đội của anh hoàn thành việc đánh giá bảo mật ?
Vui lòng chỉ hỏi chính những thành viên chính yếu sẽ chịu trách nhiệm với bạn. Điều này giúp bạn biết được năng lực của chính những người sẽ làm việc cho bạn. Một chiêu cũ rích trong làm ăn đó là mồi nhử bạn chấp thuận bằng năng lực và kinh nghiệm của hàng loạt chuyên gia cấp cao nhưng rồi sau đó chuyển hợp đồng của bạn sang cho những nhân viên bình thường thực hiện. Bạn cần biết để tránh chuyện này và nên nói rõ trong RFP.
Có nhân viên nào trong đội đã từng viết bài về đánh giá bảo mật hay an ninh thông tin nói chung không ? Vui lòng gửi kèm đường dẫn đến những bài viết hay blog đó
Câu hỏi này mang tính chất giúp đối tác bộc lộ được nhiều điều về bản thân và trong kinh doanh điều đó hết sức cần thiết. Một chuyên gia đánh giá bảo mật xuất sắc chẳng là gì nếu như họ không hoàn toàn dồn tâm sức cho công việc, thử hỏi kết quả cuối cùng sẽ ra sao ? Có lẽ là chẳng hay ho gì đâu. Nếu được đọc qua bài viết và nắm bắt được triết lý nghề nghiệp của họ, chắc chắn sẽ giúp bạn an tâm và hài lòng hơn khi cộng tác cùng họ.
Quan điểm về đánh giá bảo mật ?
Mỗi một đội ngũ đánh giá đều có một quan điểm nghề nghiệp riêng cho mình. Điều đó sẽ thể hiện rõ trong việc họ làm và việc họ sẽ không bao giờ làm. Ví dụ: Chúng tôi không bán giải pháp "dù mềm hay cứng", tuyệt đối không bao giờ bán, vì chúng tôi muốn được hưởng trọn vẹn niềm tin của khách hàng. Điều này cho biết dịch vụ mà công ty chào hàng cho bạn đã được họ đầu tư tâm huyết như thế nào. Điều đó giúp ta nhận định được dịch vụ không phải như loại hình số 1 đã đề cập phía trên.
Có thể liên hệ với nhân viên đánh giá trong thời gian làm việc ?
Cần có một số điện thoại dự phòng trong trường hợp khẩn cấp để có thể liên hệ với chuyên viên đánh giá hay khi có bất kì một trục trặc nào của hệ thống.
Tiến độ và tình hình đánh giá sẽ được báo cáo như thế nào ?
Đây là một câu hỏi rất cơ bản nhưng rất quan trọng liên quan đến kỹ năng quản lý dự án. Bạn cần biết bao lâu thì bạn sẽ được cập nhật về tiến độ dự án, cũng như phải được thông báo ngay lập tức khi phát hiện được một sai sót lớn/nghiêm trọng của mục tiêu trong khi đánh giá.
Có dịch vụ khắc phục/vá lỗi đi kèm hay không ?
Một số công ty thường sẽ không vá lỗi lỗ hổng mà họ đã tìm thấy. Bạn phải là người quyết định xem có yêu cầu họ làm hay không tùy vào việc bạn đánh giá việc khắc phục này quan trọng như thế nào đối với hệ thống hay ứng dụng của bạn. Ý kiến cá nhân tôi cho rằng nếu một công ty đánh giá có thể cung cấp cả dịch vụ giúp khắc phục những lỗ hổng thì đó thật là lợi ích cả đôi đường bởi họ đã có cái nhìn tổng quát về hệ thống và ứng dụng trong quá trình đánh giá, biết được điều cần thiết phải có để khắc phục/vá lỗi. Dù sao thì quyền quyết định cũng tùy thuộc vào bạn.
Giá cả đưa ra có bao gồm cả việc đánh giá lại hay không ?
Công ty sẽ tiến hành đánh giá lại để chắc chắn rằng hệ thống đã được khắc phục đúng hay chưa ? Thiết nghĩ điều này đã thành một thông lệ bắt buộc trong hợp đồng ngày nay nhưng cũng đừng quên xem xét và nói rõ trong RFP.
Xem báo cáo mẫu
Xem xét này sẽ giúp cho bạn hiểu rõ về bản báo cáo tổng kết công việc. Bản báo cáo mẫu nên có phần dành cho bạn góp ý về những khuyết điểm và phản hồi những ý kiến của mình về bản báo cáo. Bản báo cáo nên thể hiện tính tương tác với khách hàng. Thông thường bản báo cáo được làm độc lập, không bị ảnh hưởng bởi yếu tố kinh doanh hay tác động của cá nhân nào khác.
Liên hệ tham khảo
Không ai muốn đưa ra một liên hệ tham khảo kém cỏi cả. Đương nhiên là cần thiết phải kiểm tra nguồn liên hệ tham khảo nhưng không nên xem trọng phần tham khảo quá nhiều. Tôi luôn hỏi nhà cung cấp về những nguồn tham khảo chưa hay cũng như những nguồn tốt nhằm có cái nhìn tổng quan hơn. Mặc dù không ai muốn đưa ra một nguồn tham khảo tệ nhưng đều phải nêu ra nếu có dùng đến.
Dịch vụ đánh giá bảo mật biến đổi rất đa dạng từ nhà cung cấp này sang nhà cung cấp khác. Mỗi người có một khái niệm và ý tưởng khác nhau về đánh giá bảo mật. Không phải nhà cung cấp nào cũng thực hiện theo tiêu chuẩn đánh giá, cũng như không phải nhà cung cấp nào cũng chỉ tập trung làm chuyên biệt về an toàn thông tin.
Cần cận trọng thuê đúng đối tác, bởi người đánh giá bảo mật phải là hội tụ đủ 3 kỹ năng : kỹ thuật, kinh doanh, giao tiếp. Một khi đã quyết định thuê họ bạn phải đặt niềm tin vào công việc họ làm cho hệ thống của bạn, thế nhưng cũng không ít khách hàng chưa hiểu rõ và làm được điều này. Biết cách đưa ra những hỏi đúng thì sẽ tìm được người đánh giá tốt giúp ta nhẹ gánh lo âu. Hãy là người tiêu dùng thông minh !
DNA Media Team