Artikel top billede

It-konsulenternes 14 beskidte kneb

Læs her, hvordan du undgår at blive snydt af lidt for kreative it-sikkerhedskonsulenter.

Computerworld News Service: It-sikkerhedsbranchen er fuld af svindel og bedrag.

Vi har nok alle prøvet at modtage råd og anbefalinger, der mest af alt har været varm luft eller skjult markedsføring.

Det, man har brug for fra it-sikkerhedskonsulenter, er ekspertise, uvildig rådgivning og anbefalinger baseret på erfaring; og det til en fornuftig pris.

Men fra flere kanter er det noget ganske andet, man får.

Det kan for eksempel være store, dyre løsninger, der imødegår meget specifikke problemer, man måske slet ikke har.

Det kan være overraskelser om manglende funktionalitet, efter man har underskrevet kontrakten.

Eller det kan være ligegyldighed, hvad angår frister eller hvad der sker, når projektet først er afleveret.

Så sidder man i saksen

Det er ofte svært at forudsige en tvivlsom praksis, før man sidder i saksen.

De, der anvender dem, arbejder i visse tilfælde for nogle af de mest velansete firmaer, har de mest troværdige håndtryk og udtrykker indlevelse i ens sikkerhedsmæssige bekymringer.

I det følgende gennemgår vi 14 beskidte kneb, man gør klogt i at være opmærksom på, når man henter hjælp udefra til it-sikkerheden.

It-sikkerhedskonsulentens beskidte kneb nr. 1: Opdigter praktisk erfaring
En sjov tv-reklame i USA viste engang et par it-konsulenter, der blev nervøse, da de blev bedt om at hjælpe med at implementere en løsning, de havde designet. "Men vi er jo bare konsulenter," svarede de.

Ligesom i de fleste Dilbert-striber er der mere end et gran af sandhed på spil her

. Mange konsulenter har aldrig været med til at implementere de løsninger, de sælger.

Vi er alle stødt på dette kneb i en eller anden udformning, hvad enten det er en direkte løgn om erfaring med noget eller om der blot er tale om konsulenter, der er tilbageholdende med oplysninger om, hvor ofte de egentlig har rullet ærmerne op og fulgt tingene til dørs.

Hvis du vil undgå konsulenter, der benytter dette trick, kan du spørge:

"Hvor mange gange har du implementeret den specifikke løsning, du lige nu anbefaler?"

Et sådant spørgsmål bør følges på med:

"Kan jeg få nogle referencer?"

Sådan sælger han mere - og smører tykt på

It-sikkerhedskonsulentens beskidte kneb nr. 2: Foreslår en samlet løsning
Visse it-sikkerhedskonsulenter er meget hurtige til at beskrive deres egen løsning som universalmiddel, der løser alle (eller i hvert fald de fleste) af dine it-sikkerhedsmæssige problemer.

Ikke at de faktisk lytter til, hvad dine problemer indebærer.

De bliver helt blanke i øjnene, når de ikke selv taler. De kan slet ikke vente på at få mulighed for at tale mere om, hvor vidunderlig deres løsning er.

Der er bare ét problem: Ingen af konsulentens tidligere kunder har fået løst deres sikkerhedsproblemer.

Spørger man konsulenten, om tidligere kunder fik løst deres sikkerhedsproblemer med konsulentens løsning, er svaret selvfølgelig ja.

Men beder man om kundereferencer, bliver man mødt med overraskelse, forklaringer om undtagelser og argumenter for, at man undlader at ringe til tidligere kunder.

Hvis du alligevel ringer og finder ud af sandheden, kan du godt forvente, at konsulenten hævder, at det tidligere projekt mislykkedes, fordi kunden ikke implementerede løsningen, sådan som konsulenten gav besked på, tilpassede den for meget eller bare ikke fulgte til konsulentens råd.

Lad dig ikke narre af denne tilsmudsning af tidligere kunder.

It-sikkerhedskonsulentens beskidte kneb nr. 3: Opdigter ekspertise
Hvor mange gange har en konsulent hævdet at have ekspertise på et specifikt område, hvorefter du har opdaget, at det var ren bluf, ved at konsulenten brugte tekniske termer forkert?

Nogen gange behøver man slet ikke grave særlig dybt eller spørge om noget teknisk.

En af mine favoriterfaringer med denne praksis var, da der dukkede en "certificeret novel-ekspert" op for at hjælpe min virksomhed med dens Novell-netværk.

Man skulle tro, det var løgn. Han hævdede at være ekspert i en bestemt teknologi, og så kunne han ikke engang udtale navnet på teknologien korrekt.

Det ville være sjovt, hvis det ikke var så tåkrummende.

Den aggressive tale

It-sikkerhedskonsulentens beskidte kneb nr. 4: Aggressiv salgstale
Det stinker langt væk af manipulerende markedsføring at forsøge at få en beslutning hastet igennem.

Hvor ofte har vi ikke hørt den her:

"Jeg kan give dig 20 procent rabat, hvis du køber i dag inden udgangen af vores kvartal."

Det går tilsyneladende ikke konsulenten på, at det er den 13. i måneden, og at du må tænke, at hans firma følger et underligt regnskabsår.

Når jeg bliver tilbudt en sådan tidsbegrænset rabat, venter jeg altid til dagen efter og regner med, at rabatten stadig gælder.

Stille og roligt

Jeg tvivler ikke på, at et hurtigt salg ville få konsulentens bonus til at stige, men nu er konsulentens bonus jo altså ikke mit anliggende.

Hvis en konsulent vil have mig til hurtigt at gennemføre et køb, så skal jeg overbevises om, hvorfor det gavner mig at få produktet implementeret så hurtigt som muligt.

Det hjælper overhovedet ikke på min tiltro til en konsulent, hvis personen forsøger at få mig til at springe over en grundig overvejelse.

It-sikkerhedskonsulentens beskidte kneb nr. 5: Noget godt at kigge på
Jeg har ikke noget imod, at der deltager smukke konsulenter i salgsmøder, så længe de faktisk ved, hvad de taler om.

Men hvis det ikke er tilfældet, så spilder de blot min tid.

Én ting er at hyre modeller til at stå i boden på it-sikkerhedsmesser.

Men når det handler om mere end at uddele brochurer, og man først har taget hul på produktdemonstration og besvarelse af spørgsmål, så er det alvor.

Jeg vil overtales med viden og erfaring, ikke et kønt smil.

Løser problemer du ikke har - og giver fryns

It-sikkerhedskonsulentens beskidte kneb nr. 6: Løser et problem, du ikke har
Har du nogensinde oplevet en konsulent anbefale et nyt smart produkt, der bare er helt perfekt til at løse et helt bestemt sikkerhedsproblem?

"Det er et komplekst problem, som er svært at løse, men dette produkt gør det bedre end nogen andre."

Før du køber denne dyre, målrettede løsning, så stil dig selv disse to spørgsmål:

Har din virksomhed nogensinde været udsat for dette problem eller vil din virksomhed med nogen sandsynlighed blive udsat for det i fremtiden?

Hvis svaret er nej til begge disse spørgsmål, så tænk en ekstra gang over, om det kan betale sig at punge ud, ligegyldig hvor vidunderlig løsningen lyder til at være.

It-sikkerhedskonsulentens beskidte kneb nr. 7: Lokker med frynsegoder
Visse konsulenter lokker med, at hvis du køber deres produkt, vil de kunne invitere dig som besøgende på deres årlige konference et eller andet eksotisk sted.

"Køb vores dyre intrusion prevention-system og få en uge på Maui."

Eller måske betaler de for en dyr networking-tur, før du køber produktet.

Denne tilgang er helt bestemt etisk problematisk og i visse tilfælde ulovlig.

Men den er effektiv. Hvem har ikke lyst til en dejlig ferie på et femstjernet hotel og at spise på restauranter, de færreste nogensinde ville have råd til?

Hvis man først har taget imod sådanne tilbud men alligevel afslår at købe, bliver konsulenten selvfølgelig stiktosset.

I min vurdering er det dog bedst ikke at købe et produkt, hvis man er blevet tilbudt noget, der kunne tolkes som bestikkelse - så sikrer man, at der ikke er nogen, der får den forkerte idé. Men tak for rejsen!

Forresten lige en sidste ting-detaljen

It-sikkerhedskonsulentens beskidte kneb nr. 8: "For resten lige en sidste ting"
Jeg hader virkelig dette trick.

Konsulenten praler og praler af sin løsning og demonstrerer endda, hvor vidunderlig den er.

Og den er godt nok vidunderlig. Lad os få 10 af dem.

Og når du så har overbevist ledelsen om at få allokeret penge til købet, løfter konsulenten sløret for en lille detalje, der betyder, at ingen af fordelene kan bruges til noget.

Jeg har oplevet at få at vide efter at have skrevet under på kontrakten, at løsningen havde nogle få fejl.

Det vidste sig dog, at disse fejl betød, at vi slet ikke kunne bruge løsningen.

På samme måde er jeg først efter en underskrivning af kontrakten blevet oplyst om, at den givne løsning ikke fungerer så godt sammen med resten af virksomhedens systemer, selvom konsulenten var helt bekendt med min virksomheds miljø.

Jeg har oplevet, at konsulenter helt har undladt at oplyse om årlige vedligeholdelsesomkostninger, obligatoriske opgraderinger og alle mulige detaljer, der ville have betydet, at jeg på ingen måde ville have købt løsningen.

Og de gør det med et smil på læben.

It-sikkerhedskonsulentens beskidte kneb nr. 9: Ignorerer din deadline
Helt fra starten oplyser du konsulenten eller leverandøren om den absolutte frist for implementeringen.

De samarbejder med dig, vinder din tillid og deres løsning passer tilsyneladende perfekt til din virksomhed.

Du indgiver ordren og pludselig er der ingen, der har tid, når du har.

Du undrer dig måske over, hvordan de kunne have overhørt dig gang på gang, da du helt fra starten spurgte, om de kunne overholde de frister, du oplyste.

Når konsulenten ignorerer dine frister, kan du blive nødt til at foretage et helt nyt køb, bruge endnu flere penge og måske aflyse en ferie. Det er aldrig sjovt.

Den købte konsulent

It-sikkerhedskonsulentens beskidte kneb nr. 10: Promoverer produkter mod betaling
Vi forventer, at konsulenter er uvildige og anbefaler den løsning, der bedst opfylder vores virksomheds behov.

Men mange konsulenter tjener ekstra penge fra deres "forretningspartnere" ved at sælge bestemte løsninger.

Mekanismerne er ikke svære at forstå. Men det er ikke acceptabel adfærd, at man anbefaler et bestemt produkt uden at oplyse om en mulig interessekonflikt.

Jeg kan huske en bestemt konsulent, der for mange år siden rådgav mig om, hvilket netværksudstyr jeg burde købe.

Han fortalte mig ikke, at han modtog returkommission fra leverandøren, og efter vi var blevet "venner", narrede han mig til at købe mere netværksudstyr, end jeg havde brug for.

Jeg husker den dag i dag alt det udstyr for millioner af kroner, som bare endte på et lager. Det var min skyld. Konsulenten? Han købte en helt ny båd det år.

It-sikkerhedskonsulentens beskidte kneb nr. 11: Anbefaler velvidende produkter, der snart udgår
To gange for nyligt er jeg stødt på kunder, der er blevet narret til at købe løsninger, blot måneder før de er udgået.

I det ene tilfælde var der tale om højhastigheds-netværksudstyr.

I det andet var det en løsning til kontrol af adgang til netværket.

De brugte begge rigtig mange penge på at udrulle, hvad der hurtigt viste sig at være et udgået produkt.

I det ene tilfælde afslørede konsulenten efterfølgende, at han havde haft en mistanke om, at løsningen snart ville udgå, fordi han havde hørt, at alle udviklerne var blevet fyret sidste år.

Var det ikke en oplysning, der var værd at vide, før man tog en beslutning om at købe?

Forkerte ting i kontrakten

It-sikkerhedskonsulentens beskidte kneb nr. 12: Kontrakten afspejler ikke det, man har talt om
En spidskompetence hos konsulenter er at oversætte dine behov til noget, der kan skrives ind i kontrakter.

Det er især vigtigt, når man specialtilpasser en løsning eller køber en delløsning.

Du skal bruge X af det ene og Y af det andet og konsulentens opgave er, at sikre at disse krav imødekommes og at der ikke opstår misforståelser.

Men nogen gange er det som om, konsulenten ikke kender sin opgave.

Ligegyldigt hvor mange gange du har fået at vide, hvad du får, så sørg for at dobbelttjekke, at det afspejles i kontrakten.

Alt for ofte modtager man produktet, eller projektet indledes, og så opdager man, at der mangler noget - og det er som regel noget dyrt.

Tager man kontakt til leverandøren, opdager man, at konsulenten ikke lige fik skrevet det ind i kontrakten.

Konsulenten vil til sit forsvar sige, at havde du læst kontrakten, kunne der ikke være nogen tvivl om, hvad du ville få, selvom du måske er helt sikker på, at der mundtligt blev aftalt noget andet. Nu er du nødt til at finde mere plads i budgettet til det, der mangler, eller alternativt skrotte hele projektet.

It-sikkerhedskonsulentens beskidte kneb nr. 13: Afskriver sig ansvaret
Nyuddannede læger aflægger lægeløftet, der stiller både etiske og faglige krav. Jeg ville ønske, at der eksisterede noget lignende for konsulenter.

Alt for ofte implementerer konsulenter projekter dårligt, så deres kunder må finde sig i udfald.

Tilsyneladende rører det ikke konsulenten det mindste, at den eneste ændring i miljøet er det system, som konsulenten lige har installeret.

Det får blot konsulenten til at antage, at problemet stammer fra noget helt ukendt, der selvfølgelig ikke har noget at gøre med konsulentens arbejde.

Insister på, at det skrives ind i kontrakten, at konsulenten er ansvarlig for uventede udfald, der ikke tydeligvis er din egen skyld.

It-sikkerhedskonsulentens beskidte kneb nr. 14:
Det værste er, når konsulenter foretager store ændringer, lige før de forsvinder ud af døren og måske tager på en længere ferie.

Det er selvfølgelig ikke altid, at et nedbrud er konsulentens skyld, men hvis man skal foretage større ændringer i et it-system, så bør man sikre sig, at man har nogle dage til at løse eventuelle problemer, der opstår.

Der er ikke noget værre end at efterlade en masse ubesvarede beskeder på konsulentens telefonsvarer eller indbakke, alt imens brugerne er uden adgang til systemet.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere