Cyhesion – Integrimi i strategjive të sigurisë me funksionalitetin bazë të biznesit


Farë mund të na thoni për prejardhjen tuaj profesionale?

Përvoja ime e mëparshme përfshin tre vjet me KMPG, një praktikë të sigurisë në internet dhe tetë vjet në Detica, e cila më vonë u ble nga kryeministri i mbrojtjes BAE Systems. Duke u larguar më tej, unë kalova 13 vjet në ushtrinë britanike. Secila prej këtyre fazave në karrierën time kontribuoi në vizionin tim për sigurinë në internet dhe aftësitë e Cyhesion.

Cilat janë disa parime kryesore që ndiqni në punën tuaj?

Së pari, siguria në internet duhet të harmonizohet me biznesin. Një biznes bëhet i prekshëm kur nuk e njeh nevojën për zgjidhje të sigurisë. Për të qenë efektiv, siguria duhet të jetë e kuptueshme; biznesi duhet të kuptojë se çfarë po arrin siguria dhe pse është e rëndësishme. Shumë shpesh shoh ekipe sigurie që bëjnë përpjekje të konsiderueshme për zbatimin e zgjidhjeve, por përfundimisht lënë biznesin pas.

Ne gjithashtu duhet të ndalemi vetëm në kërkimin e zgjidhjeve teknike dhe të përqëndrohet në kërkesat e ndryshimit të biznesit gjithashtu; kjo do të ndryshojë marrëdhëniet midis bizneseve dhe sigurisë. Ne kemi nevojë për aftësi që ekuilibron parandalimin e kërcënimit me zbulimin dhe përgjigjen. Ky nuk duhet të jetë një koncept i vështirë për ta kuptuar biznesin. Për shembull, a mund të jetë i rehatshëm një CEO ose COO vetëm duke u mbështetur në bravat e dyerve, apo do ta njohin ata gjithashtu nevojën për CCTV, rojet e sigurisë dhe një sistem alarmi? Theelësi këtu është të tejkaloni parandalimin, sepse ndonjëherë kërcënimet do të kalojnë. Biznesi atëherë duhet të jetë i gatshëm të merret me atë përgjigje, dhe kjo është po aq sfidë menaxhimi sa edhe teknik.

Ndryshimi i dinamikës është shumë i rëndësishëm. Nëse jemi të efektshëm në gjetjen e një kërcënimi dhe në gjendje të reagojmë shpejt, ne mund të zvogëlojmë disa prej kontrolleve më të paqëndrueshme të sigurisë dhe t’i japim biznesit liri më të madhe për të operuar, duke e ndihmuar atë të bëhet më e shkathët dhe fleksibël për të arritur qëllime më të mëdha.

Ne duhet ta ndryshojmë bisedën për sigurinë në mënyrë që të mos shihet vetëm si një zvarritje e biznesit, por si një aftësues, duke mbështetur vazhdimësinë dhe qëndrueshmërinë e biznesit. Aboutshtë për të ndihmuar bizneset të kuptojnë pjesën që duhet të luajnë, dhe jo thjesht të zgjedhin mjete ose teknologji për të investuar.

Cilat janë disa aspekte sfiduese me të cilat organizatat merren me zbatimin e një strategjie të sigurisë?

Sipas mendimit tim, nuk bëhen përpjekje të mjaftueshme për elementë të ndryshimit të biznesit, siç janë qeverisja, politika, organizimi, modeli i funksionimit, aftësitë dhe proceset. Kjo aftësi duhet të durojë dhe rregullojë me kalimin e kohës. Shpesh me organizatat, pasi një mjet të jetë vendosur për ca kohë, ata zbulojnë se sjellja dhe për këtë arsye siguria themelore është lënë pas dore. Ky nuk është një problem që mund të zgjidhet dhe harrohet, dhe është thelbësore që të azhurnoheni me kërcënime, të kuptoni ndryshimet në teknologji që mbrohen dhe të qëndroni në krah të përparësive të biznesit. Të tre dimensionet do të ndryshojnë në baza të vazhdueshme, dhe organizata e sigurisë (edhe nëse është vetëm disa njerëz) duhet të përshtatet në përputhje me rrethanat.

Qasja jonë fillon me strategji. Kjo duhet të fillojë me të kuptuarit e asaj që duhet të mbrohet. Whatfarë konsideron bordi që ka vlerë për biznesin? Mund të jetë pronë intelektuale, informacioni i klientit, qëndrueshmëria në zinxhirin e furnizimit ose financat dhe thesari. Kjo nuk është një pyetje teknike. Bëhet fjalë për të kuptuar se cilat gjëra janë më të vlefshme për biznesin dhe kush ka të ngjarë të motivohet t’i dëmtojë ata.

Ta themi thjesht, nëse ka diçka për të cilën askush nuk është i motivuar të sulmojë, nuk ka aq shumë për tu shqetësuar. Vëllimi më i madh i kërcënimeve serioze ka tendencë të vijë nga veprimi kriminal. Nëse një kriminel nuk mund të fitojë para nga sulmi, ai nuk ka gjasa të investojë kohë dhe përpjekje në të. Prandaj, është e rëndësishme të kategorizoni se çfarë pasurie janë të vlefshme dhe cilat mund t’i kërcënojnë ato, atëherë zhvilloni një strategji të asaj që dëshironi të parandaloni dhe çfarë ju duhet të zbuloni dhe të përgjigjeni.

Pasi të keni një strategji të sigurisë, mund të siguroheni që të gjitha veprimet që ndërmerrni të kontribuojnë për të dhënë rezultatin e dëshiruar.

Shpesh është më e efektshme dhe më efikase për të ofruar këtë strategji në formën e një programi transformimi, në vend se një koleksion i projekteve taktike.

Si të filloni të planifikoni një strategji të sigurisë për një biznes?

Ekzistojnë 4 pyetje kryesore që ne përpiqemi t’u përgjigjemi klientëve tanë përpara se të merren vendime në lidhje me atë teknologji ose shërbime për të blerë.

Së pari, çfarë po përpiqemi të arrijmë? Duket si një pyetje e qartë, por kam gjetur shumë organizata, përfshirë departamente qeveritare, organizata dhe korporata, projektet e të cilëve u përpoqën të jepnin sepse kjo nuk ishte përcaktuar. Për shembull, në rastin e misionit të ekipit të operacioneve të sigurisë, një objektiv padyshim që do të jetë zbulimi i incidenteve. Por, çfarë roli duhet të luajnë ata në vlerësimin e efektivitetit të kontrolleve; ose drejtimin e përgjigjes së incidentit; apo kontribuoni në ndërgjegjësim më të madh të biznesit? Cili është qëllimi i tyre; a është i kufizuar në TI brenda; ose a shtrihet në re dhe në zinxhirin e furnizimit; a kanë ata gjithashtu përgjegjësi me teknologjinë operative, ose me sistemet e menaxhimit të ndërtesave?

Pyetja e dytë duhet të përcaktojë cilat aftësi do të nevojiten për të arritur këto qëllime? Kjo nuk duhet të tërhiqet në zgjedhjen e teknologjisë. Ai përcakton blloqe të aftësive ose funksioneve dhe është i kufizuar në përcaktimin e qëllimit të tyre.

Pyetja e tretë është se si kjo aftësi do të burohet ose blihet? Cilët elementë do të jenë në shtëpi dhe cilat do të jenë me burim?

Pyetja e katërt, pasi të kemi vendosur se cili është misioni kryesor, cilat aftësi janë të nevojshme dhe nga do të nxirren prej tyre, është të përcaktojmë modelin e funksionimit që i lidh të gjitha së bashku.

Nëse përpiqeni të zhvilloni këtë nivel të detajeve në fillim, mund të jeni të sigurt gjatë implementimit se do të zhvilloni proceset, politikat dhe teknologjitë e duhura, dhe do të identifikoni përpara se cilat ndryshime dhe modifikime do të nevojiten në të gjithë grupet e interesuara të interesit brenda afarizmit.

 Si e balanconi konfliktin midis lehtësisë së përdorimit dhe sigurisë?

Ai konflikt do të jetë gjithmonë atje. Sipas mendimit tim, siguria duhet të funksionojë me pëlqimin e bizneseve. Nëse siguria shihet si problem ose bezdi, ajo do të pushojë së qeni efektive. Për shembull, nëse një funksion sigurie brenda një organizate ndalon përdorimin e shërbimeve për ndarjen e skedarëve siç është Dropbox, dhe vendos kontrollet për ta parandaluar atë, por pa siguruar një mënyrë alternative të përshtatshme për të shkëmbyer informacione me palët e jashtme, njerëzit do të gjejnë një mënyrë rreth këtyre kontrollet për t’i bërë gjërat.

Nga ana tjetër, nëse funksioni i sigurisë angazhohet me biznesin, ai mund të dalë me zgjidhje që funksionojnë për atë biznes. Shtë e rrallë që punonjësit vërtet duan të rrezikojnë biznesin; kryesisht, ata thjesht po përpiqen të bëjnë punën e tyre. Por shpesh, veprimet që ndërmarrin mund të dëmtojnë biznesin pa e kuptuar atë.

Në shembullin e fundit, kontrollimi i ndarjes së skedarëve është i rëndësishëm, dhe ka një numër të ofruesve të shërbimeve atje, kështu që duhet të ketë kufij. Duke kuptuar nevojën e biznesit, në kontekstin e rrezikut të biznesit, duhet të jetë e mundur të zgjidhni ofruesin më të përshtatshëm të cloud ose të ndërtoni një zgjidhje në shtëpi që ju lejon të drejtoni biznesin tuaj në mënyrë efikase dhe të sigurt.

Siguria e mirë është një aftësuese dhe ka të bëjë me ofrimin e zgjidhjeve për të realizuar punën. Krijimi i këtij dialogu me biznesin shpesh nuk është i lehtë por është i rëndësishëm. Kjo fillon në krye, dhe unë shpesh kam bërë përshtypje për klientët besimin tim se Zyrtari Kryesor i Sigurisë së Informacionit mund të ketë nevojë të kalojë më shumë se gjysmën e kohës së tij ose të saj duke arritur në të gjithë biznesin dhe ndërtimin e marrëdhënieve atje. Kjo nuk njihet gjithmonë, me qëllimin se koha e tyre do të mbizotërohet duke zbatuar dhe menaxhuar kontrollet e sigurisë. Por biznesi është një pjesë kritike e këtyre kontrolleve, kështu që nuk mund të injorohet.

Unë mendoj se ka ngjashmëri nga historia në botën e IT. Rreth njëzet vjet më parë, pati shumë diskutime për rolin dhe autoritetin e IT. Ka pasur debate të shumta nëse CIO duhet të jetë në bord apo jo. Duke parë bizneset që ishin të suksesshme, kuptova se nuk është veçanërisht për kë njoftoi CIO, por më shumë për llojin e personit që ishte CIO dhe për marrëdhëniet që ai ose ajo kishte me biznesin.

Nëse siguria ka një marrëdhënie të shëndetshme me biznesin, të gjithë kanë më shumë të ngjarë të kuptojnë se çfarë po përpiqen të arrijnë.

Qasja që merr Cyhesion rrit shanset që ekuilibri midis kontrollit dhe mundësimit të biznesit të jetë i saktë. Ne besojmë se sekreti i suksesit bazohet në:

  • Strategji e mirë – Përcaktimi i asaj që ne po përpiqemi të arrijmë dhe të bëjmë mendimin e vështirë se si do ta arrijmë atë para se të hyjmë në biznesin interesant të blerjes së teknologjisë.
  • Transformimi efektiv – Të kesh disiplinë për të ndryshuar biznesin në mënyrë që të japë rezultatin e duhur, në vend që të përqendrohesh shumë në zbatimin e teknologjisë së re.
  • Qëndrueshmëria e aftësive – Kjo ka të bëjë me bërjen e shkopit të ndryshimit. Ndonjëherë mund të ndihmojë për të drejtuar atë ndryshim nga brenda, dhe menaxhimi i përkohshëm mund të luajë një rol këtu, transferimin e njohurive dhe rregullimin e modelit për ta bërë atë të funksionojë. Në fund të fundit edhe pse është klienti ai që do të duhet të vazhdojë të ruajë dhe rregullojë aftësinë në bazë të vazhdueshme pasi rrethanat ndryshojnë.

A keni teknologjinë tuaj?

Cyhesion nuk e zhvillon teknologjinë e vet. Ne kemi marrëdhënie të forta me një larmi të ofruesve të teknologjisë, veçanërisht në zonat në zhvillim të cilat ne i shohim si të rëndësishme për momentin. Ne i ndihmojmë klientët tanë të kuptojnë se cilat teknologji janë të disponueshme dhe të rëndësishme për to, dhe si t’i zbatojnë ato në mënyrën më efektive të mundshme.

Cilat teknologji mendoni se aktualisht janë më të rëndësishme?

Një teknologji mendoj se mund të shtojë shumë në automatizimin dhe orkestrimin e operacioneve të sigurisë. Deri më tani kjo zonë është lënë pas dore, por e përdorur si duhet, ajo ka shumë për të kontribuar. Ka shumë teknologji që janë të mira në zbulimin e kërcënimeve, por pasi ta bëjnë këtë, puna sapo ka filluar. Automatizimi është thelbësor në zvogëlimin e punës së gjithanshme, dhe lejimin e ekipeve të sigurisë të përqendrojnë përpjekjet e tyre në fushat ku ato japin vlerën më të madhe.

Konsideroj kërcënime në 3 kategori të ndryshme:

  • Kërcënime të njohura dhe të përcaktuara mirë, ku ju e dini saktësisht se çfarë duhet të bëhet për t’i eliminuar ato.
  • Kërcënimet që dihen por nuk janë përcaktuar mirë, të cilat kërkojnë një shkallë studimi, hetimi dhe gjykimi për tu zgjidhur.
  • Kërcënime plotësisht të panjohura, ose sulme ditore zero, të cilat janë më shqetësuese, por edhe më të shpeshtat.

Kërcënimet e njohura konsumojnë pjesën dërrmuese të një përpjekje për siguri, sepse ato janë më të shpeshta, por ato në të vërtetë janë relativisht të çuditshme, dhe shumë nga përpjekjet mund të merren përsipër plotësisht nga teknologjia. Këto janë lloji i kërcënimeve ku përgjigja mund të automatizohet plotësisht, duke bërë të mundur që analistët të shpenzojnë kohë për detyra më të paqarta.

Shtë e vështirë të rekrutoni analistë të sigurisë; dhe ata kanë tendencë të largohen sepse janë të mërzitur me punë të përditshme. Analistët janë më të kënaqur dhe kanë më pak të ngjarë të largohen nëse mendojnë se puna e tyre ka kuptim. Përdorimi i mjeteve për automatizim dhe mbështetje për vendimin gjithashtu nënkupton se përgjigjet janë më konsistente. Nëse mjetet u mundësojnë analistëve të hartojnë librat e tyre të rregullave dhe modelet e orkestrimit, ato njohuri qëndrojnë brenda kompanisë, duke lejuar zgjidhje më të qëndrueshme ndërsa përdorni më pak burime.

Një teknologji tjetër që intereson shumë është shfletimi i largët. Kjo është një zonë në zhvillim e sipër, por unë e di se mund të sjellë përfitime të konsiderueshme. Shfletuesit janë shumë të ndjeshëm ndaj kërcënimeve thjesht sepse ata kanë akses kryesisht të pakufizuar në internet. Pra, nëse i zhvendosni të gjitha, përveç aktivitetit më të besueshëm të shfletimit, larg pasurive të biznesit, mund të përmirësoni ndjeshëm sigurinë e biznesit. Si me çdo teknologji, çelësi këtu do të ishte ta bëni pa kompromentuar përvojën e përdoruesit, ose do të keni një ndjenjë biznesi shumë të zemëruar që po dërgohen përsëri në ditët e kioskave të internetit..

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map