Małe firmy, którym bezpieczeństwo informacji będzie zapewniać firma zewnętrzna, muszą podjąć wiele decyzji, począwszy od tego, jaki rodzaj firmy zatrudnić — zwykłego odsprzedawcę czy osobę odpowiedzialną za integrację systemów. W przypadku małych i średnich firm najczęściej wybierani są sprzedawcy wzbogacający (typu VAR, Value-Added Reseller) oraz dostawcy usług zarządzania (ang. Managed Service Provider, MSP). Jak wybrać firmę zajmującą się bezpieczeństwem informacji?
VAR i MSP z punktu widzenia klienta
Dawniej, gdy rynek MSP dopiero się rozwijał, naturalnym wyborem był VAR. Sprzedawcy wzbogacający nie tylko dostarczają oprogramowanie (a w niektórych przypadkach także sprzęt), ale także pomagają we wdrożeniu, zapewniają wsparcie produktowe oraz odpowiadają na pytania związane z produktem. Lecz ich głównym celem jest sprzedanie klientowi nowej licencji po wygaśnięciu bieżącej. W scenariuszu tym licencję na produkt posiada klient, dlatego sprzedawcy typu VAR zawsze byli traktowani jedynie jako odsprzedawcy.
Jeśli firma decyduje się na sprzedawcę typu VAR, musi mieć swój dział IT. Nawet jeśli znajduje się w niej tylko kilkadziesiąt laptopów, powinna dysponować pracownikiem ds. IT (choćby na część etatu). Wówczas sprzedawca wzbogacający pomaga takiej osobie np. w instalacji produktu czy przeprowadzi szkolenie związane z jego użytkowaniem, ale nie będzie zarządzać obszarem IT w firmie. Co więcej, pracownik taki będzie odpowiedzialny również za zarządzanie produktem zabezpieczającym. Innymi słowy, powinien to być ekspert ds. bezpieczeństwa IT. Dużym problemem jest tu jednak fakt, że specjaliści ds. bezpieczeństwa IT są raczej wysoko opłacani i nie jest ich zbyt wielu. Koszty zatrudnienia takiej osoby w małej czy średniej firmie mogą być zbyt wysokie.
Inne podejście oferują dostawcy usług zarządzania: nie tylko sprzedają licencje, ale dbają o IT kompleksowo. Gdy firma przekazuje dostawcy obowiązki związane z IT (obejmujące również kwestie bezpieczeństwa), bierze on na swoje barki odpowiedzialność za ten obszar i podejmuje decyzję o tym, co będzie dla firmy najlepsze. Dostawca usług zarządzanych staje się zaufanym doradcą, który dba o wszystkie aspekty IT: rozpoznaje potrzeby klienta, sugeruje najlepsze rozwiązania, a następnie pomaga w podjęciu decyzji i realizacji pomysłu.
Co to oznacza dla klienta? Otrzymuje on wykwalifikowane wsparcie, a także zorganizowaną i funkcjonalną infrastrukturę IT, obejmującą również bezpieczeństwo. Za zabezpieczenie firmy odpowiada wykwalifikowana osoba, zatem klient nie musi zatrudniać żadnego specjalisty ds. bezpieczeństwa.
Przekształcanie ze sprzedawcy wzbogacającego na dostawcę usług zarządzanych
Może się wydawać, że dostawca usług zarządzanych ma ten sam cel co sprzedawca zwiększający wartość oferowanych rozwiązań, lecz kosztuje znacznie więcej. To niekoniecznie musi być prawdą. Obu dostawców rozwiązań bezpieczeństwa ma własnych ekspertów, ale największą różnicą jest ich poziom zaangażowania. W rzeczywistości wielu sprzedawców typu VAR rozszerza swój zakres usług i staje się dostawcami usług zarządzanych.
Co na tym zyskują? Głównie znacznie wyższy wskaźnik utrzymania klienta. Dysponowanie zaufanym doradcą IT — kimś, kto rozumie potrzeby firmy i pomaga rozwiązać każdy problem z bezpieczeństwem IT, kto już zna infrastrukturę i może przewidzieć potencjalne problemy — jest bezcenne.
Podczas przejścia z VAR na MSP potencjalną trudność może sprawić konieczność administrowania rozwiązaniami w infrastrukturach wielu różnych klientów. Jednak można tu sobie pomóc, wykorzystując automatyzację oraz używając rozwiązania bezpieczeństwa zaprojektowanego specjalnie z myślą o dostawcach usług zarządzania. Takim rozwiązaniem jest na przykład produkt Kaspersky Endpoint Security Cloud, który umożliwia zdalne zarządzanie bezpieczeństwem na wielu punktach końcowych, urządzeniach mobilnych i serwerach plików bez konieczności inwestowania w infrastrukturę.