Вопрос перспективы открытия фирмы, занимающейся security-консультированием.
 

Доброго времени суток, уважаемые Участники форума.

Относительно давно назрел вопрос, который прогрессировал от банального интереса, но на данном этапе остановился на статусе «дело по жизни». Пока есть время подумать, оценить все «за» и «против», спешу задать Вам несколько вопросов, как людям, прямо или косвенно относящимся к области информационной безопасности, а так же как специалистов, зарекомендовавших себя в этой нише на рынке труда. Дабы плавно подойти к сути своих вопросов, сделаю небольшое вступление.
В настоящее время такие гиганты рынка IT как Microsoft, Intel и IBM используют рейтинговую систему, оценивающую квалификацию сотрудника по нескольким параметрам, зачастую достаточно субъективным. Соответственно, как показал кризис, увольнению подверглись те, чья характеристика (по сути, набор графиков и цифр) не удовлетворяли определенному лимиту. Для многих молодых талантов перспективы изменились. Нет гарантии стабильности, но зато есть отличная возможность продвижения по карьерной лестнице (добавьте, пожалуйста, сюда еще плюсы и минусы работы в софтверной компании в качестве сотрудника).

У меня, как у человека, негативно оценивающего идею рейтингов в работе и обучении (не путать с оценками), а тем более после вышеописанных инцидентов, где не малую роль сыграли рейтинги, стал интересовать вопрос, относительно перспектив открытия своей фирмы, занимающейся IT security-кансалтингом (говоря по-русски, консультированием в сфере информационной безопасности). Ситуации, типа конкуренции и начальные этапы продвижения, я попытался оценить. Но хотел бы прочитать мнения людей, которые знакомы с документооборотом в таких компаниях, у которых есть опыт в сфере pen-тестинга и работы на такие фирмы. Перечислите минусы работы на себя (на фирму, не путать с фрилансом). Или все же отдаться мэйнстриму, в связи с избытком таких компаний на рынке?

Не совсем понял планируемый род деятельности фирмы, IT security-кансалтинг, pen-тестинг, как то все размыто, нет конкретики. Постарайся более точно определиться с количеством и типом предоставляемых услуг. Естественно, нужно проанализировать текущее состоянии рынка, но советую брать менее глобально. Начать на региональном уровне, оценить положение дел в рамках своего города, где будет располагаться фирма. Конечно есть плюсы работать на себя (иметь свою фирму), но тут же возникает сразу первый жирный минус, это ответственность, за все будешь отвечать ты сам, и ни кто другой. А тем более в такой области как защита информации, в которой все довольно таки не надежно. Так же большое внимание следует уделить именно документообороту. На своем опыте уже убедился, насколько трудно составить даже обычный маленький договор на выполнение простейшей услуги в области защиты информации. Так что наличие собственного юриста, а в будущем полноценного юридического отдела просто необходимо! Так же огромную роль играет правильный подбор кадров, тоже на личном опыте знаю, что собрать достойную команду это очень и очень трудно, хороших специалистов просто так не найдешь. В общем тонкостей тут просто огромное количество, и естественно, все предусмотреть не возможно, и конечно на первых этапах будут ошибки, недочеты, и надо быть готовым к этому.

Приблизительный (т.к. не подойдя основательно к этому вопросу, не смогу сказать точно) род деятельности:

1) комплексный анализ безопасности корпоративных сетей (консультирование);
2) анализ безопасности веб-приложений;
3) программирование защищенных приложений (+ дальнейшее их поддержка на договорной основе с заказчиком);
4) программирование защищенных веб-приложений (+ аналогично пред. пункту).

Пару слов о региональном уровне: работать планируется внутри области (не Московской), затем в перспективах дальнейшее расширение до Москвы. Однако, этот вопрос открыт, потому что имеется возможность сначала работать с Москвой, что, на мой взгляд, труднее.

Да уж... довольно таки серьезный подход для начала. А что имеется на данный момент? Каков уровень знаний в данной области, есть ли опыт работы, имеются ли на примете хорошие квалифицированные кадры?

Да, насчет лицензий ettee правильно подметил. Я не указал на этот момент, так как не все услуги в области информационной безопасности подлежат обязательному лицензированию, а начинать свой бизнес сразу с таких серьезных вещей, на которые требуется лицензия, достаточно трудоемкий процесс. Я бы не советовал сразу заморачиваться по поводу серьезных комплексных услуг, стандартов безопасности, сертификации и лицензий, начинать, я считаю, надо с простых вещей.
И, ettee, согласись, если бы человек имел лицензии ФСБ и ФСТЭКа, то стал бы он тут на ачате спрашивать, стоит ли ему открывать фирму или нет)
Насчет консалтинга и анализа тоже согласен, и не совсем понимаю, в чем заключается например вот это:

очень интересно,скиньте пожалуйста.

исо 17799 естественно читал, один из первых стандартов который нам преподавали в институте. Насколько помню должна была выйти новая редакция этого стандарта на русском языке от BSI.

Когда я употребляю слово «консалтинг», то понимаю под ним совокупность мер, направленных на оценку рисков для конкретной системы и проведение мероприятий, связанных с увеличением защищенности рассматриваемой системы (будь-то корпоративная сеть или внутрикорпоративный кодекс для сотрудников). С «анализом» ассоциируются тесты на проникновение (что, возможно, в корне не так). Прошу исправить меня и, по возможности, дать правильное определение словам «консалтинг» и «анализ».

По поводу лицензий: никто не заставляет на первых этапах заниматься вещами, требующими обязательное лицензирование. По поводу ГОСТ’ов: даже не спрашивайте - когда я задал вопрос, рассчитывал получить ответы о перспективах (иначе, чем на философию или «болталогию» в своем топике я не рассчитывал), но при этом получил вопросы, на основе которых делаю вывод самостоятельно...

Чтобы иметь представление, одного чтения документации не достаточно. Необходимо, как минимум, поработать в качестве сотрудника такой фирмы. Я же создал тему, с целью узнать Ваши мнения и удовлетворить собственное любопытство. К тому же согласитесь, дилетанту трудно удержаться в этой области на плаву, так что те, кто в свое время не слушали курс лекций от представителей ФСТЭК’а в своем ВУЗ’е не составят конкуренцию IT Defence (прошу прощения за юмор).

Насколько понимаю, прорваться на данный рынок в настоящее время весьма проблематично, в связи с наличием на нем таких авторитетных компаний как Positive Technologies, Digital Security, ITDefence. Однако все они появились не в одно время: добивались и пробивались. У каждой из них есть продукт(ы), который их на первый план. Отсюда вывод, нужна идея (услуга, продукт), которая поможет не «утонуть» на этом рынке?

Что скажете по этому поводу?