Ghiduri
Cum alegi o firmă de securitate cibernetică: ghidul neutru al cumpărătorului
Două oferte, una ieftină și una serioasă. Cum le compari corect: ce înseamnă „managed", ce SLA să ceri, ce certificări contează și ce red flags trădează un furnizor slab.
Ai pe masă două oferte pentru securitatea site-ului tău. Prima cere 39 de euro pe lună și promite „protecție completă, antivirus și monitorizare non-stop". A doua cere de cinci ori mai mult, vine cu un document de zece pagini și un om care vrea o ședință de o oră înainte să îți dea un preț. Instinctul îți spune să o iei pe prima. Tocmai de aceea merită să citești mai departe, fiindcă în securitate diferența dintre cele două nu se vede pe factură, ci în ziua în care ești atacat. Iar cum alegi o firmă de securitate cibernetică se decide tocmai în detaliile care nu apar pe factură.
Acest ghid nu îți spune pe cine să alegi. Îți dă criteriile, întrebările și semnalele de alarmă ca să poți compara corect orice furnizor, inclusiv pe noi. Dacă pleci de aici cu o listă de întrebări bune, ne-am făcut treaba, indiferent cu cine semnezi la final.
Intern, externalizat sau hibrid: ce ți se potrivește
Prima decizie nu este „ce furnizor", ci „cine se ocupă, de fapt". Ai trei variante, fiecare cu un cost și un risc diferit.
Echipă internă. Angajezi unul sau mai mulți oameni de securitate. Are sens dacă ai o aplicație complexă, date sensibile și volum mare. Costă mult, pentru că un singur specialist serios depășește lejer salariul a doi programatori, iar securitatea nu doarme, deci „un om" nu acoperă 24 de ore.
Complet externalizat. Predai monitorizarea și apărarea unui furnizor specializat, numit adesea MSSP (Managed Security Service Provider). Plătești un abonament, primești expertiză și acoperire continuă fără să angajezi pe nimeni. Riscul este să alegi prost și să crezi că ești protejat când, de fapt, ai cumpărat o iluzie.
Hibrid. Ai pe cineva tehnic în firmă, dar partea grea (filtrarea traficului, răspunsul la incidente noaptea, expertiza de nișă) o iei din afară. Pentru majoritatea firmelor mici și medii din România, aceasta este combinația realistă. Nu îți permiți un SOC propriu, dar nici nu vrei să rămâi singur la 3 dimineața când pică totul.
Un test simplu de pornire
Ce înseamnă cu adevărat „managed" (vs revânzare de licențe)
Cuvântul „managed" sau „gestionat" e folosit de toată lumea, dar acoperă două lucruri foarte diferite. Multe firme îți vând, de fapt, o licență: îți pun un antivirus, un plugin de securitate sau un cont la un serviciu cloud, îți trimit factura și gata. Configurarea, ajustarea regulilor, urmărirea alertelor și reacția la atac rămân tot în curtea ta. Asta nu e management, e revânzare.
Un serviciu cu adevărat gestionat înseamnă că altcineva ține mâna pe volan în locul tău. Cineva configurează regulile pentru aplicația ta concretă, le ajustează când apar atacuri noi, se uită la alerte ca să separe zgomotul de pericolul real și intervine când ceva iese din tipar. Diferența se vede într-o singură întrebare: „cine se uită la log-uri și cine sună pe cine când e o problemă?". Dacă răspunsul ești tu, ai cumpărat o licență cu o etichetă scumpă.
Aici intră și partea de tehnologie. Un filtru de trafic ca un WAF gestionat are valoare doar dacă cineva îi scrie și îi întreține regulile. Un WAF lăsat pe setările din cutie blochează prea puțin sau, mai rău, blochează clienți reali și nimeni nu observă.
10 întrebări de pus oricărui furnizor înainte să semnezi
Nu trebuie să fii tehnic ca să pui întrebări bune. Trebuie doar să asculți cum răspunde furnizorul: clar și cu cifre, sau vag și cu superlative. Iată lista pe care o poți trimite ca atare în trei oferte și apoi compara răspunsurile una lângă alta.
Ce este inclus exact în abonament și ce se taxează separat?
Cere o listă, nu o promisiune. „Protecție completă" nu înseamnă nimic dacă răspunsul la incident e pe factură separată.
Cine configurează și întreține regulile pentru aplicația mea?
Vrei un nume sau o echipă, nu „sistemul se ocupă singur". Asta separă serviciul gestionat de revânzarea de licență.
Care e SLA-ul de răspuns la incident, în ore sau minute?
Un număr scris în contract. „Cât de repede putem" nu e un angajament, e o speranță.
Cine intervine noaptea și în weekend?
Întreabă concret dacă există gardă 24/7 sau doar program de birou. Atacurile nu țin cont de ore.
Ce raportare primesc și cât de des?
Un raport lunar pe care îl înțelegi e semn de seriozitate. Fără raportare, plătești pe încredere oarbă.
Pot vorbi cu un client actual de mărimea mea?
O referință reală spune mai mult decât orice pagină de „testimoniale". Furnizorii serioși nu se feresc.
Ce se întâmplă cu datele mele și unde sunt stocate?
Relevant pentru GDPR. Vrei să știi cine are acces la trafic și log-uri și pe ce bază legală.
Cum arată procedura concretă în primele ore ale unui atac?
Un răspuns pas cu pas arată că au mai trecut prin asta. Un răspuns vag arată că nu.
Ce certificări și conformitate puteți demonstra?
Cere documentul, nu logo-ul de pe site. Despre certificări vorbim mai jos.
Cum ies din contract și ce iau cu mine?
Un furnizor corect îți spune din start cum pleci. Dacă datele și configurările rămân „blocate" la el, e un semnal.
SLA de răspuns la incident: ce numere să ceri
SLA (Service Level Agreement) este partea din contract care transformă promisiunile în obligații. Mulți confundă două lucruri diferite. Uptime spune cât timp serviciul e disponibil, de exemplu 99,9% pe lună. E util, dar nu te ajută în mijlocul unui atac. Ce contează atunci este SLA-ul de răspuns la incident: în cât timp un om real începe să lucreze la problema ta din momentul în care a fost semnalată.
Cere cifre, nu adjective. Întreabă care e timpul de la alertă până la primul răspuns uman și care e timpul țintă până la mitigare. Întreabă dacă SLA-ul diferă pe categorii de gravitate, fiindcă un atac care îți doboară checkout-ul nu poate fi tratat la fel ca un raport de rutină. Și întreabă ce se întâmplă dacă furnizorul nu respectă termenul: există o penalizare sau e doar text decorativ? Un SLA fără consecințe e o poezie, nu o garanție.
Atenție la diferența dintre „timp de răspuns" și „timp de rezolvare". Nimeni serios nu îți garantează că orice atac e oprit în cinci minute, fiindcă incidentele diferă enorm. Dar oricine serios îți poate garanta că în câteva minute cineva s-a apucat de treabă. Dacă un furnizor promite rezolvare instantanee la orice, exagerează, și exagerarea e ea însăși un semnal.
Certificări și conformitate (ISO 27001, NIS2, DNSC)
Certificările nu sunt o garanție magică, dar îți spun că furnizorul a fost verificat de cineva din afară și că are procese, nu doar bunăvoință. Trei repere contează în România.
ISO 27001 este standardul internațional pentru managementul securității informației. Un furnizor certificat a demonstrat unui auditor independent că are politici, controale și o disciplină reală în jurul datelor. SOC 2 este un raport similar ca scop, mai răspândit în lumea furnizorilor de servicii cloud, mai ales cei cu legături în SUA. Pentru oricare, cere documentul sau certificatul, nu logo-ul de pe site. Un logo se copiază în două minute.
NIS2 este directiva europeană care extinde obligațiile de securitate cibernetică la mult mai multe organizații decât înainte, inclusiv firme medii din sectoare considerate importante. Dacă intri sub incidența ei, ai nevoie de un furnizor care înțelege cerințele, nu doar de unul care îți pune un firewall. În România, autoritatea care coordonează acest domeniu este DNSC (Directoratul Național de Securitate Cibernetică). Merită să verifici dacă furnizorul are experiență reală cu raportarea incidentelor către DNSC, fiindcă, dacă ești spart, notificarea corectă și la timp face parte din apărare, nu doar curățarea tehnică.
Nu confunda conformitatea cu securitatea
Red flags: preț prea bun, contracte vagi, fără raportare
Unele semnale de alarmă sunt atât de frecvente încât merită memorate. Dacă vezi mai multe la același furnizor, încetinește.
Prețul suspect de mic. Securitatea reală cere oameni, infrastructură și timp. Când oferta e de câteva ori sub piață, plătești de obicei pentru o licență automată fără nimeni în spate, sau pentru un serviciu pe care îl întreții singur fără să îți dai seama. Ieftin azi devine scump în ziua incidentului.
Contractul vag. Dacă nu scrie negru pe alb ce e inclus, care e SLA-ul și ce se întâmplă la un incident, atunci nimic din toate astea nu e garantat. Frazele de tipul „protecție de ultimă generație" și „securitate enterprise" nu obligă pe nimeni la nimic.
Lipsa raportării. Dacă nu primești rapoarte, nu ai cum să știi dacă banii fac ceva. Un furnizor care nu îți arată ce a blocat și ce s-a întâmplat fie nu face mare lucru, fie nu vrea să fii în stare să verifici.
Promisiuni absolute. „Te facem 100% sigur" sau „garantăm că nu vei fi atacat niciodată" sunt afirmații pe care niciun profesionist nu le rostește. Securitatea reduce riscul, nu îl elimină. Cine promite perfecțiune, ori nu înțelege domeniul, ori speră că nu îl înțelegi tu. Dacă vrei să vezi de ce nimeni nu e prea mic pentru a fi vizat, citește de ce atacurile automate nu ocolesc firmele mici.
Cum arată o colaborare corectă lună de lună
Un parteneriat sănătos de securitate e plictisitor, și asta e o veste bună. Înseamnă că lucrurile merg. Iată cum arată un ritm normal cu un furnizor serios.
Primești un raport periodic pe care chiar îl înțelegi: ce trafic a fost blocat, ce încercări de atac au apărut, ce s-a modificat în reguli și de ce. Ai un canal clar prin care semnalezi o problemă și știi cine îți răspunde. Când apare un atac, ești anunțat, nu afli de la clienți sau din Google. Din când în când, furnizorul îți propune ajustări proactive, nu așteaptă să se rupă ceva. Și nu te simți blocat: poți cere oricând să vezi configurările și, dacă ar fi să pleci, ți le poți lua.
Înainte de a decide, pune-ți și problema bugetului în context. Securitatea nu trebuie să fie scumpă, dar trebuie să fie pe măsura a ceea ce ai de pierdut. Dacă vrei repere de cost ca să compari onest ofertele, vezi cât costă, de fapt, securitatea cibernetică pentru un site și cum se raportează la paguba unui incident.
Dacă vrei un punct de plecare neutru pentru comparație, la UpTrust facem o evaluare gratuită în care îți arătăm unde ești expus și ce nivel de protecție are sens pentru tine, fără obligația de a semna ceva. Folosește-o ca pe o a doua opinie, chiar dacă la final alegi pe altcineva. Important e să alegi în cunoștință de cauză, nu după cel mai mic preț de pe primul rând al tabelului.
Întrebări frecvente
Ce înseamnă, de fapt, o firmă de securitate cibernetică „gestionată"?
Înseamnă că furnizorul nu îți vinde doar o licență sau un plugin, ci ține el mâna pe volan: configurează regulile pentru aplicația ta, le ajustează când apar atacuri noi, urmărește alertele și intervine la incidente. Testul simplu: dacă tu ești cel care se uită la log-uri și reacționează, ai cumpărat o licență, nu un serviciu gestionat.
Ce întrebări sunt cele mai importante de pus unui furnizor înainte să semnez?
Cere lista exactă a ce e inclus și ce se taxează separat, cine configurează regulile, care e SLA-ul de răspuns la incident în ore sau minute, cine intervine noaptea și în weekend, ce raportare primești și cum ieși din contract cu datele tale. Ascultă dacă răspunde cu cifre clare sau cu superlative vagi.
Ce SLA de răspuns la incident ar trebui să cer?
Cere un timp clar de la alertă până la primul răspuns uman și un timp țintă până la mitigare, ideal diferențiate pe gravitatea incidentului. Verifică și ce se întâmplă dacă termenul nu e respectat: un SLA fără penalizare e doar text decorativ. Nimeni serios nu garantează rezolvare instantanee, dar oricine serios garantează că cineva începe lucrul în câteva minute.
Contează certificările ISO 27001 sau conformitatea NIS2 când aleg un furnizor?
Da, ca dovadă că furnizorul a fost verificat extern și are procese, nu doar bunăvoință. ISO 27001 și SOC 2 arată disciplină în jurul datelor, iar dacă intri sub incidența NIS2 ai nevoie de cineva care înțelege cerințele și știe să raporteze incidentele la DNSC. Cere mereu documentul sau certificatul, nu logo-ul de pe site, fiindcă un logo se copiază în două minute.
Citește și
GhiduriCât costă securitatea cibernetică pentru un site în 2026
Comparăm costul protecției cu costul unui incident: ore de downtime, date pierdute, reputație. Spoiler: prevenția e mai ieftină.
TehnologiiCe este un WAF și de ce are nevoie site-ul tău de el
Diferența dintre un firewall de rețea și un firewall de aplicație web, și de ce al doilea oprește atacurile pe care primul nici nu le vede.
AmenințăriSecuritate cibernetică firmă mică: ești deja o țintă
Atacatorii nu te aleg pe tine. Boții scanează automat tot internetul după vulnerabilități și exploatează tot ce găsesc, indiferent de mărimea afacerii. Iată de ce un site mic e o țintă și ce poți face fără buget mare.