Ya hemos publicado un breve artículo "
Criterios de selección de NGFW ". También se asume aquí que ya ha elegido su NGFW y lo va a comprar.
¿Qué necesitas recordar? Cómo no tropezar en la última etapa: la compra. En nuestra opinión, este es un tema muy importante, porque NGFW de cualquier vendedor no es barato. Y si todo sale de acuerdo con el plan o si no funciona como esperaba, puede tener problemas, como la persona que tomó la decisión sobre la compra. En este artículo, trataremos de reflejar los puntos principales a los que debe prestar atención
ANTES de comprar, y NO DESPUÉS . Quizás esta pequeña lista de verificación lo ayudará a evitar gastos imprevistos y a salvar sus nervios ya deshilachados.
1. Costo anual de propiedad
El primer elemento que debe verificar. Debe comprender que absolutamente cualquier NGFW necesita una renovación anual de suscripciones, contratos, actualizaciones (diferentes proveedores lo llaman de manera diferente). Para muchos, esto es una sorpresa porque una compra única no es suficiente y cada año debe "pagar de nuevo". Y lo más importante, sin renovar las suscripciones, la funcionalidad más importante (para la que generalmente se compra NGFW) deja de funcionar. Estas son funciones como IPS, filtrado de URL (categorías y reputación de sitios), Control de aplicaciones, Antivirus, Antispam, Sandbox, etc. La lista completa depende del proveedor específico. Sin renovar sus suscripciones, su NGFW se convierte en un firewall normal. Aunque no, un
cortafuegos inusual y
tremendamente caro . Diferentes proveedores tienen diferentes costos anuales de propiedad, pero como regla general, fluctúa alrededor del 30-40% de la compra inicial. Recuerda esto ¿Extraerá su presupuesto anual de IB / IT? Asegúrese de pedirle a su socio información sobre el costo anual de propiedad. En general, es extraño si el socio no le proporcionó estos números por defecto.
2. NGFW no resolverá todos los problemas de IB
Muchos perciben NGFW como una panacea para todos los males de la seguridad de la información. Pero este no es el caso. NGFW solo cubre algunos vectores de posibles ataques en su red. No existe una solución única que garantice el 100% de protección. Y si alguien te promete esto, entonces simplemente te está engañando, o él mismo no comprende completamente de qué está hablando. La tarea de NGFW es reducir el área de ataque tanto como sea posible. ¿Por qué todo esto? Además, no te olvides de los otros remedios. Si de repente no tiene fondos suficientes para comprar NGFW, entonces no debe gastar el último dinero y "rastrillar" el
presupuesto debido al rechazo de otros medios de protección , como los antivirus de escritorio o los sistemas de respaldo. Establezca prioridades y evalúe sus capacidades financieras. Las compañías de seguridad de la información no comienzan con la compra de NGFW. Esto es solo un elemento adicional de protección integral. No esperes resultados mágicos de una sola "caja".
3. Fuera de la caja, cualquier NGFW funciona extremadamente mal
Recientemente,
publicamos el curso "
Check Point to Maximum ", donde mostramos cómo configurarlo correctamente para obtener la máxima protección. En el camino, mostramos lo fácil que es evitar el NGFW con la configuración predeterminada. Y esto se aplica no solo a Check Point. La misma imagen se observa con Fortinet, Palo Alto Networks, Cisco Firepower, etc. (Realicé pruebas paralelas). Ni siquiera asuma que NGFW protegerá adecuadamente a su empresa con la configuración predeterminada en un par de clics. NGFW tendrá que ajustarse, más de una vez, pero constantemente, adaptándose a las amenazas cambiantes. No olvide que
la seguridad de la información no es un resultado, es un proceso .
4. Prepárese para los problemas y planifique su tiempo.
Vale la pena comprar NGFW para las dificultades técnicas. Incluso si lo compra con servicios de implementación. Ningún integrador hará absolutamente todo el trabajo por usted. Dado que la seguridad de la información es un proceso, deberá ajustarla y resolver los problemas que surjan. Y esto no es porque NGFW sea malo, es porque tiene muchas funciones. Para recordar todo, necesitará pasar una cantidad de tiempo decente. De lo contrario, corre el riesgo de quedarse con la configuración predeterminada que no utiliza el 20% de las funciones de NGFW. ¿Cuál es el costo de configurar la inspección SSL? Tendrás que encenderlo si estás realmente desconcertado por la seguridad. Y
tendrá que clasificar manualmente los sitios y las aplicaciones que dejan de funcionar después de que se activa la inspección. Nadie hará esto por usted (a menos, por supuesto, que tenga un modelo de servicio de soporte técnico). Pueden surgir problemas similares en muchas etapas de la implementación y operación de NGFW. Los siguientes dos puntos se deducen de esto.
5. Establecer un presupuesto para la capacitación.
NGFW en sí es un producto bastante complejo. No importa cómo los vendedores intentaron simplificarlo. En él se concentran muchas funciones, hay muchas sutilezas y dificultades. No asuma que aprenderá instantáneamente un nuevo producto para usted. Por lo tanto
, cuando planifique una compra, asegúrese de planificar un presupuesto para la capacitación de los empleados que lo administrarán. A veces se puede emitir como parte de una sola transacción, o recibir capacitación como un regalo (todo depende del monto de la transacción y la lealtad de su pareja).
6. Soporte técnico
Definitivamente tendrá que ponerse en contacto con el soporte técnico y es mejor si es productivo. Debe haber un empleado que hable bien inglés. O considere la opción de soporte técnico de socios rusos. Presta mucha atención a este problema. De lo contrario,
corre el riesgo de quedarse solo con sus problemas . A veces, la cuestión del soporte técnico es un factor decisivo al elegir un socio o incluso un proveedor.
7. Explore las licencias en detalle
Una situación muy común. Un proyecto piloto está en marcha, te muestran cuán hermoso y funcional es todo. Sin embargo, después de realizar una compra, descubre que no toda la funcionalidad está disponible para usted. Inicialmente no se le mostraron informes, el sandbox no funciona, los usuarios remotos no pueden conectarse, no hay una administración centralizada, etc. Por supuesto, esta es la tarea de su socio: comprender sus tareas, formar la especificación correcta y hablar sobre posibles limitaciones o adiciones. Esto es una cuestión de confianza. Pero hay un buen dicho: "
Confía, pero verifica ". Creo que será muy desagradable ir al liderazgo para otro presupuesto, inmediatamente después de la compra.
8. Compra sin pruebas
Sin un proyecto piloto, solo puedes culparte a ti mismo (bueno, y maldecir a un compañero que te "enmarcó"). No tome en serio los folletos de marketing. Es muy recomendable realizar al menos algunas pruebas antes de comprar. Y la prueba más importante es el rendimiento real del dispositivo en su tráfico real. Esto es muy importante
No puede confiar en hojas de datos en dispositivos que escriben métricas de rendimiento fantásticas. Desafortunadamente, todos los vendedores pecan con esto. Si no tiene tiempo para tales pruebas, solo puede confiar en la experiencia de su pareja, quien le ofrecerá opciones.
9. Elija un modelo basado en la inspección HTTPS
Otro punto que mucha gente olvida al elegir un modelo. La inspección SSL es una carga adicional seria para su NGFW. Muchos, en un intento por ahorrar dinero, eligen un modelo cuyo rendimiento es suficiente de principio a fin, mientras se olvida por completo el tráfico HTTPS. Y después de activar la inspección SSL, descubren que su puerta de enlace se está "ahogando". Repito una vez más: "
Sin una inspección HTTPS, su NGFW es completamente inútil ". Ya lo demostré en una de mis lecciones. Así que asegúrese de considerar la carga adicional en el dispositivo en forma de inspección SSL. De lo contrario, simplemente tira el dinero.
10. Compra de un socio "familiar"
Un error típico al comprar NGFW es comprar a un proveedor "familiar". Estoy seguro de que casi todas las empresas tienen un socio que "siempre ha estado" suministrando algunos productos de TI. Es conveniente y comprensible trabajar con él. Solo NGFW no es un servidor ni un conmutador, y ciertamente no es una grapadora que puede comprar a cualquier persona a la vuelta de la esquina. No es en absoluto un hecho que su proveedor actual tenga las habilidades y competencias necesarias.
El resultado de la implementación y la seguridad de su empresa depende de las calificaciones del socio . Al elegir un proveedor, primero debe observar su experiencia y conocimientos técnicos. Esto se define mejor como parte de un proyecto piloto. Por lo tanto, matarás de inmediato a dos pájaros de un tiro:
- Pruebe NGFW en su infraestructura y decida sobre un modelo;
- Evaluar la adecuación del socio. ¿Puede ayudarlo con la implementación y puede brindarle soporte técnico?
De hecho, este artículo es el más importante. Un buen socio debe guiarlo a través de esta lista de verificación. Debe indicar todos los puntos importantes, advertir sobre todos los posibles problemas y, naturalmente, dar soluciones.
Conclusión
Espero que este artículo sea realmente útil para alguien. Ciertamente, esta no es una receta universal, pero ayudará a evitar los problemas más comunes. Si tiene alguna pregunta o tiene comentarios / sugerencias, escriba los comentarios o envíeme un
correo electrónico .
PD: Quizás le interese nuestro artículo anterior "
Escenarios de implementación típicos de NGFW "
PSS Obtenga una licencia de prueba y pruebe la solución que
le interesa
aquí