Procesul, în etape clare

Cum lucrăm

De la prima conversație la livrare. Fără surprize, fără ofertă forțată, fără facturi neașteptate.

Procesul nostru este construit pe un principiu simplu: fiecare pas trebuie să vă servească indiferent dacă mergeți mai departe cu noi sau cu altcineva. Discuția inițială vă lasă cu o înțelegere mai bună a situației, chiar dacă nu ne angajați. Evaluarea vă lasă cu un document folosibil. Implementarea — cu o organizație mai sigură.

01 · Conversație inițială · 30 minute

O discuție telefonică sau pe video, fără slide-uri, fără chestionar lung. Ne spuneți ce vă preocupă: o cerință venită de la un client, un termen impus de directiva NIS2, un audit care vine, o cerere de la asigurător, un incident recent, sau sentimentul că lucrurile au crescut peste capacitatea echipei voastre IT.

Vă spunem dacă vă putem ajuta și, în mare, cum. Dacă nu vă putem ajuta — pentru că nu intră în zona noastră de competență, pentru că suntem prea mici pentru voi, sau prea mari pentru nevoia voastră reală — vă spunem asta tot atunci, în clar, și recomandăm către cine să vă îndreptați.

Nu trimitem ofertă după prima conversație. Trimitem un rezumat scris al discuției, cu opțiunile relevante și următoarele întrebări pe care le-am pune.

02 · Evaluare scurtă · 3–5 zile

Dacă rezultatul primei conversații e că merită mers mai departe, urmează o evaluare scurtă — fie online (review de documente, configurări trimise pe canal sigur), fie cu o vizită la sediul vostru. Scopul nu e auditarea exhaustivă — e dimensionarea realistă a proiectului sau abonamentului. Cu o evaluare scurtă în spate, putem face o ofertă onestă, nu una scoasă din pălărie.

Evaluarea scurtă este fie gratuită, fie cu un cost simbolic deductibil din proiectul ulterior — depinde de complexitatea voastră. Vă spunem care e cazul înainte să începem.

03 · Ofertă scrisă

Documentul de ofertă conține:

  • Sferă de aplicare clară — ce intră, ce nu intră, ce se reia într-un viitor proiect.
  • Plan în etape — cu durate estimate pentru fiecare fază.
  • Livrabile — fiecare fază produce ceva concret pe care îl puteți folosi.
  • Echipa alocată — cine lucrează la voi, cu ce competențe.
  • Cadre metodologice — pe ce standarde ne aliniem (ISO 27001, NIST CSF, SANS, OWASP).
  • Termeni comerciali — sumele, eșalonarea, condițiile de plată, ce se întâmplă dacă sfera se modifică.
  • Disclaimere — limitele a ce putem garanta, ce nu garantăm, rolul vostru în desfășurarea proiectului.

Oferta nu e cuvântul final — e baza pentru o conversație de ajustare. Aproape întotdeauna versiunea semnată e ușor diferită de prima trimisă.

04 · Contract și începere

După semnarea contractului, începem în maximum două săptămâni de la avans. Onboarding-ul include:

  • Numire persoane de contact din ambele părți.
  • Stabilirea canalului de lucru (email, canal Slack/Teams, sau întâlniri programate).
  • Definirea ritmului de raportare.
  • Calendarul concret al fazelor.

Pentru abonamentele vCISO, prima lună este o imersie: inventariem, intervievăm, înțelegem realitatea, înainte să începem să producem politici și planuri.

05 · Livrare · cu raportare regulată

Lucrăm în iterații scurte (1–2 săptămâni), cu un raport scurt la finalul fiecăreia. Cele majore — încheierea fazelor, livrabilele cheie — sunt prezentate într-o ședință cu echipa voastră și, când e cazul, cu conducerea.

Pentru proiectele lungi sau abonamentele lunare, conducerea primește o pagină pe lună — o pagină reală, scrisă într-o limbă pe care o înțelege. Plus prezentări trimestriale, dacă sunt utile.

06 · Închidere și continuitate

La finalul unui proiect punctual:

  • Toate documentele (politici, planuri, rapoarte) vă rămân.
  • Toate scripturile, configurările, materialele de curs — la fel. Sub licență deschisă, ca să le puteți folosi mai departe.
  • O sesiune de transfer cu echipa voastră IT, ca să nu rămână munca într-un sertar.
  • Recomandări pentru pașii următori — sub formă de plan, nu de ofertă forțată.

Pentru abonamentele lunare, denunțarea e simplă: preaviz de 30 de zile după perioada minimă (3 luni). Predăm tot ce am produs, cu un ghid de continuare. Fără penalități, fără documente la subsol.

Despre raportare

O cale prin care echipele de securitate eșuează frecvent este că lucrează bine, dar nu raportează inteligibil către conducere. Patronii ajung să creadă că nu se face nimic, auditorii ajung să creadă că nu există guvernanță, asigurătorii ajung să creadă că nu există program.

Noi raportăm pe trei niveluri:

  • Operațional · săptămânal — pentru echipa IT, cu detalii tehnice.
  • Tactic · lunar — pentru directorul IT, cu progres pe plan și riscuri noi.
  • Strategic · trimestrial — pentru conducere, într-o pagină: ce s-a făcut, ce vine, ce ne îngrijorează, ce nevoie de decizie e.

Toate cele trei sunt incluse standard în abonamentele vCISO. Pentru proiectele punctuale, păstrăm primele două.

Despre incidente

Dacă în timpul lucrului apare un incident activ — la voi sau detectat în evaluarea noastră — vă spunem imediat, fără să așteptăm raportul final. Dacă vă încadrați în obligația legală de notificare către DNSC, vă coordonăm notificarea în termenele cerute. Următoarele măsuri (conținere, recuperare, analiză) intră într-o conversație separată. Nu folosim panica drept pârghie comercială.