Cyhesion – უსაფრთხოების სტრატეგიების ინტეგრირება ძირითადი ბიზნესის ფუნქციონირებასთან

რა შეგიძლიათ გვითხრათ თქვენი პროფესიული ფონის შესახებ?

ჩემი წინა გამოცდილება მოიცავს 3 წელს KMPG– ს, კიბერუსაფრთხოების პრაქტიკასა და რვა წლით დეტციკაში, რომელიც მოგვიანებით შეიძინა თავდაცვის პრემიერმა BAE Systems– მა. უკან დაბრუნების შემდეგ, 13 წელი გავატარე ბრიტანეთის ჯარში. ჩემი კარიერის თითოეულმა ფაზამ ხელი შეუწყო ჩემი ხედვა კიბერ უსაფრთხოებას და Cyhesion– ის შესაძლებლობებს.

რა არის რამდენიმე ძირითადი პრინციპი, რომელსაც თქვენ იმოქმედებთ თქვენს საქმიანობაში?

პირველ რიგში, კიბერუსაფრთხოება უნდა შეესაბამებოდეს ბიზნესს. ბიზნესი დაუცველი ხდება, როდესაც იგი არ ცნობს უსაფრთხოების გადაწყვეტის საჭიროებას. ეფექტური რომ იყოს, უსაფრთხოება გასაგები უნდა იყოს; ბიზნესმა უნდა გააცნობიეროს რა არის უსაფრთხოების მიღწევა და რატომ არის ის მნიშვნელოვანი. ძალიან ხშირად ვხედავ, რომ უსაფრთხოების ჯგუფები მნიშვნელოვან ძალისხმევას იყენებენ გადაწყვეტილებების განსახორციელებლად, მაგრამ საბოლოოდ ტოვებენ ბიზნესს.

ჩვენ ასევე უნდა გავჩერდეთ მხოლოდ ტექნიკური გადაწყვეტილებების ძიებაზე და ასევე გავამახვილოთ ყურადღება ბიზნესის შეცვლის მოთხოვნებზე; ეს შეცვლის ბიზნესსა და უსაფრთხოებას შორის ურთიერთობას. ჩვენ გვჭირდება შესაძლებლობა, რომ დაბალანსდეს საფრთხის პრევენცია გამოვლენით და რეაგირებით. ეს არ უნდა იყოს ბიზნესის გაგების რთული კონცეფცია. მაგალითად, იქნებოდა CEO ან COO კომფორტული მხოლოდ კარის ჩამკეტებზე დაყრდნობით, თუ ისინი ასევე ცნობდნენ CCTV- ს, დაცვის თანამშრომლების და განგაშის სისტემის საჭიროებას? აქ მთავარია პროფილაქტიკის მიღმა წასვლა, რადგან ზოგჯერ მუქარა ამოიწურება. შემდეგ ბიზნესი უნდა იყოს მზად, რომ გაუმკლავდეს ამ რეაგირებას და ეს არის იმდენი მენეჯმენტის გამოწვევა, როგორც ეს ტექნიკურია.

დინამიკის შეცვლა ძალზე მნიშვნელოვანია. თუ ჩვენ ეფექტურად ვხედავთ საფრთხეს და შეგვეძლება რეაგირება, ჩვენ შეგვიძლია შევამციროთ უსაფრთხოების ყველაზე მოქნილი კონტროლი და მივცეთ ბიზნესს უფრო მეტი თავისუფლება, რომ ხელი შეუწყოს მას უფრო სწრაფი და მოქნილი, რათა მიაღწიოს უფრო მეტ მიზანს..

ჩვენ უნდა შევცვალოთ საუბარი უსაფრთხოებასთან დაკავშირებით, ისე რომ იგი არამარტო ბიზნესის განვითარებად იქცევა, არამედ როგორც შესაძლებლობები, ხელს უწყობს ბიზნესის გლუვ უწყვეტობას და გამძლეობას. საუბარია იმაზე, რომ ბიზნესი დაეხმაროს იმის გარკვევაში, თუ რა როლი უნდა ითამაშოს, და არა მხოლოდ ინვესტირების ინსტრუმენტები ან ტექნოლოგიები.

რა არის რთული ის ასპექტები, რომელთა მოგვარებაც აქვთ ორგანიზაციებს უსაფრთხოების სტრატეგიის განხორციელებასთან დაკავშირებით?

ჩემი აზრით, არ არის საკმარისი ძალისხმევა ბიზნესის შეცვლის ელემენტებზე, როგორიცაა მმართველობა, პოლიტიკა, ორგანიზაცია, ოპერაციული მოდელი, უნარები და პროცესები. ამ შესაძლებლობას დროთა განმავლობაში უნდა გაუძლო და შეცვალოს. ხშირად ორგანიზაციებში, მას შემდეგ, რაც ინსტრუმენტი გარკვეული დროით არსებობს, ისინი აღმოაჩენენ, რომ ეს ქცევა და, შესაბამისად, უსაფრთხოება უგულებელყოფილია. ეს არ არის პრობლემის მოგვარება და დავიწყება, და აუცილებელია სიახლეების დაცვით, დაცული ტექნოლოგიის ცვლილებების გაცნობიერება და ბიზნესის პრიორიტეტების დაცვა. სამივე განზომილება შეიცვლება უწყვეტ საფუძველზე, და უსაფრთხოების ორგანიზაციამ (თუნდაც ის მხოლოდ რამდენიმე ადამიანი იყოს) შესაბამისად უნდა შეცვალოს.

ჩვენი მიდგომა იწყება სტრატეგიით. ეს უნდა დავიწყოთ იმის გაგებით, თუ რა უნდა იყოს დაცული. რას მიიჩნევს საბჭო ბიზნესისათვის მნიშვნელოვან მნიშვნელობას? ეს შეიძლება იყოს ინტელექტუალური საკუთრება, მომხმარებლის ინფორმაცია, მიმწოდებლის ქსელში გამძლეობა ან ფინანსები და ხაზინა. ეს არ არის ტექნიკური კითხვა. საუბარია იმაზე, თუ რომელი რამ არის ყველაზე ფასეული ბიზნესისთვის და ვისთვის შეიძლება მოტივირებული იყოს ზიანი მიაყენოს მათ.

მარტივად რომ ვთქვათ, თუ არსებობს ისეთი რამ, რისთვისაც არავის სურს მოტივაცია შეტევაზე, ბევრი არ უნდა იდარდოს. სერიოზული საფრთხეების უდიდესი ნაწილი კრიმინალურ ქმედებებზე მოდის. თუ კრიმინალი ვერ შეძლებს შეტევისგან ფულის გამომუშავებას, მას ნაკლებად სავარაუდოა, რომ მასში დრო და ძალისხმევა განახორციელებს. აქედან გამომდინარე, მნიშვნელოვანია, რომ დაალაგოთ, თუ რა არის აქტიური ფასეული და რა შეიძლება საფრთხეს შეუქმნას მათ, შემდეგ შეიმუშავეთ სტრატეგია, რისი თავიდან ასაცილებლად გსურთ და რა გჭირდებათ, რომ გამოავლინოთ და რეაგირება.

უსაფრთხოების სტრატეგიის გამოყენების შემდეგ, შეგიძლიათ დარწმუნდეთ, რომ ყველა მოქმედება, რომელსაც თქვენ იღებთ, ხელს უწყობს სასურველი შედეგის მიღწევას.

ხშირად ამ სტრატეგიის განხორციელება ტრანსფორმაციის პროგრამის სახით უფრო ეფექტური და ეფექტურია, ვიდრე ტაქტიკური პროექტების შეგროვება.

როგორ უნდა დაიწყოთ ბიზნესის უსაფრთხოების სტრატეგიის დაგეგმვა?

არსებობს 4 ძირითადი შეკითხვა, რომლითაც ჩვენ ჩვენს კლიენტებთან პასუხის გაცემას ვცდილობთ, სანამ რაიმე გადაწყვეტილებას მიიღებენ, თუ რა ტექნოლოგია ან მომსახურება უნდა შეიძინოთ.

ჯერ ერთი, რის მიღწევას ვცდილობთ? როგორც ჩანს, აშკარა კითხვაა, მაგრამ მე ვიპოვე მრავალი ორგანიზაცია, მათ შორის სამთავრობო დეპარტამენტები, ორგანიზაციები და კორპორაციები, რომელთა პროექტებიც ცდილობდნენ მიწოდებას, რადგან ეს არ იყო განსაზღვრული. მაგალითად, უსაფრთხოების ოპერაციების ჯგუფის მისიის შემთხვევაში, უდავოდ ერთი მიზანი იქნება ინციდენტების გამოვლენა. მაგრამ რა როლს უნდა ასრულებდეს ისინი კონტროლის ეფექტურობის შეფასებაში; ან მიმართავს ინციდენტის რეაგირებას; თუ ხელს შეუწყობთ ბიზნესის უფრო მეტ ცნობადობას? რა არის მათი ფარგლები; შემოიფარგლება მხოლოდ შიდა IT- ით; ან ვრცელდება ის ღრუბელთან და მიწოდების ქსელში; მათ აქვთ თუ არა პასუხისმგებლობა ოპერაციულ ტექნოლოგიასთან, ან მშენებლობის მართვის სისტემებთან?

მეორე შეკითხვამ უნდა დაადგინოს, თუ რა შესაძლებლობები იქნება საჭირო ამ მიზნების მისაღწევად? ეს არ უნდა იქნას გამოყენებული ტექნოლოგიის შერჩევაში. იგი განსაზღვრავს შესაძლებლობების ან ფუნქციების ბლოკს და შემოიფარგლება მათი მიზნის განსაზღვრაში.

მესამე შეკითხვა იმაზეა, თუ როგორ მოხდება ამ შესაძლებლობის მიღება ან შეძენა? რომელი ელემენტები იქნება სახლში და რომელი იქნება წყარო?

მეოთხე კითხვა, მას შემდეგ, რაც გადავწყვიტეთ, რა არის მთავარი მისია, რა შესაძლებლობები არის საჭირო და საიდან მიიღება ისინი, არის იმის განსაზღვრა, თუ რა ფუნქციონირებს ეს მოდელი.

თუ თქვენ თავიდანვე შეეცადეთ ამ დონის დეტალების შემუშავებას, განხორციელების დროს შეგიძლიათ დარწმუნებული იყოთ, რომ თქვენ შეიმუშავებთ სწორ პროცესებს, პოლიტიკასა და ტექნოლოგიებს და დაადგინეთ, თუ რა ცვლილებები და ცვლილებები იქნება საჭირო დაინტერესებული მხარის სხვადასხვა ჯგუფში. ბიზნესში.

 როგორ დაბალანსებთ კონფლიქტს გამოყენების სიმარტივესა და უსაფრთხოებას შორის?

ეს კონფლიქტი ყოველთვის იქნება. ჩემი აზრით, უსაფრთხოება უნდა იმოქმედოს ბიზნესის თანხმობით. თუ უსაფრთხოება პრობლემად ან უსიამოვნებად აღიქმება, ის შეაჩერებს ეფექტურობას. მაგალითად, თუ ორგანიზაციის შიგნით უსაფრთხოების ფუნქცია აკრძალავს ფაილების გაზიარების სერვისების გამოყენებას, როგორიცაა Dropbox, და ამოქმედებს კონტროლს ამის თავიდან ასაცილებლად, მაგრამ გარე მხარეებთან ინფორმაციის გაზიარების ალტერნატიული ხელსაყრელის გარეშე, ხალხი იპოვის გზას აკონტროლებს რამის გაკეთებას.

მეორეს მხრივ, თუ უსაფრთხოების ფუნქცია ეწევა ბიზნესს, მას შეუძლია გამოვიდეს ისეთი გადაწყვეტილებები, რომლებიც ამ ბიზნესისათვის მუშაობს. იშვიათია, რომ თანამშრომლებს ნამდვილად სურთ ბიზნესის საფრთხე შეუქმნან; ძირითადად, ისინი უბრალოდ ცდილობენ თავიანთი საქმის შესრულებას. მაგრამ ხშირად, მათ მიერ განხორციელებულმა მოქმედებებმა შეიძლება ზიანი მიაყენოს ბიზნესს მათ გარეშე გააცნობიეროს.

ბოლო მაგალითში, ფაილის გაზიარების მაკონტროლებელი მნიშვნელოვანია და იქ უამრავი მომსახურების მიმწოდებელი არსებობს, ამიტომ საჭიროა შეზღუდვები. ბიზნესის საჭიროების გააზრებით, ბიზნესის რისკის გათვალისწინებით, შესაძლებელი უნდა იყოს შეარჩიოთ ყველაზე შესაფერისი ღრუბლოვანი პროვაიდერი, ან შექმნან გამოსავალი სახლში, რომელიც საშუალებას გაძლევთ მართოთ თქვენი ბიზნესი ეფექტურად და უსაფრთხოდ.

კარგი უსაფრთხოება შესაძლებლობის შემქმნელია და სამუშაოების დასრულების გზების გადაწყვეტის გზას წარმოადგენს. ბიზნესთან დიალოგის შექმნა ხშირად ადვილი არ არის, მაგრამ ეს მნიშვნელოვანია. ეს იწყება ზემოდან და მე ხშირად აღვიქვამდი კლიენტებს ჩემი შეხედულებისამებრ, რომ ინფორმაციის მთავარი უსაფრთხოების ოფიცერს შეიძლება დასჭირდეს თავისი დროის ნახევარზე მეტი დახარჯვა ბიზნესში და ურთიერთობების დამყარებაში. ეს ყოველთვის არ არის აღიარებული იმის გათვალისწინებით, რომ მათ დროს დომინირებს უსაფრთხოების კონტროლის განხორციელება და მართვა. მაგრამ ბიზნესი ამ კონტროლის მნიშვნელოვანი ნაწილია, ამიტომ მისი უგულებელყოფა შეუძლებელია.

ვფიქრობ, IT სამყაროში მსგავსი ისტორიები არსებობს. დაახლოებით ოცი წლის წინ, ბევრი მსჯელობა ჩატარდა IT- ს როლისა და ავტორიტეტის შესახებ. უამრავი დებატები ჩატარდა იმის შესახებ, უნდა ყოფილიყო თუ არა CIO დაფაზე. ვაკვირდებოდი წარმატებულ ბიზნესს, მივხვდი, რომ ეს არ ეხება განსაკუთრებით ვის, ვისთან იყო CIO– ს განცხადება, არამედ უფრო მეტი პიროვნების ტიპზე, რომელიც იყო CIO– სთან და იმ ურთიერთობებთან დაკავშირებით, რომელიც მას ბიზნესთან ჰქონდა..

თუ უსაფრთხოებას აქვს ჯანმრთელი ურთიერთობა ბიზნესთან, მაშინ ყველას უფრო მეტად ესმის, თუ რის მიღწევას ცდილობენ.

მიდგომა, რომელსაც Cyhesion იყენებს, ზრდის შანსებს, რომ ბალანსი იყოს კონტროლსა და ბიზნესის შესაძლებლობებს შორის. ჩვენ გვჯერა, რომ წარმატების საიდუმლო დაფუძნებულია:

  • კარგი სტრატეგია – განსაზღვრავს იმას, რისი მიღწევასაც ვცდილობთ და ძნელად თუ ვიფიქრებთ იმაზე, თუ როგორ მივაღწევთ მას, სანამ ტექნოლოგიის შეძენის საინტერესო ბიზნესში მოხვდებით..
  • ეფექტური ტრანსფორმაცია – ბიზნესის შეცვლის დისციპლინის მქონე, ისე, რომ ის აწარმოებს სწორ შედეგს, ვიდრე ძალიან დიდი ყურადღების მიქცევა ახალი ტექნოლოგიის დანერგვაზე..
  • შესაძლებლობების შენარჩუნება – ეს ეხება ცვლილების ჯოხის დამზადებას. ზოგჯერ მას შეუძლია დაეხმაროს, რომ შეცვალოს ეს შიგნიდან და დროებითი მენეჯმენტი შეუძლია აქ შეასრულოს მონაწილეობა, ცოდნის გადაცემა და მოდელის კორექტირება, რათა ის იმუშაოს. საბოლოო ჯამში, ეს არის ის კლიენტი, ვინც უნდა განაგრძოს შესაძლებლობების შენარჩუნება და რეგულირება მიმდინარე საფუძველზე, რადგან გარემოებები იცვლება.

გაქვთ თქვენი საკუთარი ტექნოლოგია?

ცჰეიზია არ ავითარებს საკუთარ ტექნოლოგიას. ჩვენ მჭიდრო ურთიერთობა გვაქვს სხვადასხვა ტექნიკურ პროვაიდერთან, განსაკუთრებით ისეთ განვითარებად რაიონებში, რომლებიც ამ ეტაპზე ჩვენთვის მნიშვნელოვანია. ჩვენ ვეხმარებით ჩვენს კლიენტებს იმის გაგებაში, თუ რა ტექნოლოგიები აქვთ მათთვის ხელმისაწვდომი და რელევანტური და როგორ შეიძლება მათი განხორციელება მაქსიმალურად ეფექტურად.

თქვენი აზრით, რომელი ტექნოლოგიები ამჟამად ყველაზე აქტუალურია?

ერთი ტექნოლოგია, რომელიც ვფიქრობ, შეიძლება ბევრი დაამატოთ უსაფრთხოების ოპერაციების ავტომატიზაციასა და ორკესტრაციაში. დღემდე ეს ტერიტორია უგულვებელყოფილია, მაგრამ სწორად გამოყენებული, მას ბევრი წვლილი შეაქვს. არსებობს მრავალი ტექნოლოგია, რომლებიც კარგია საფრთხეების გამოსავლენად, მაგრამ ამის გაკეთებისთანავე, ახლახან დაიწყეს მუშაობა. ავტომატიზაცია სასიცოცხლო მუშაობის შემცირებისთვის სასიცოცხლო მნიშვნელობისაა და უსაფრთხოების გუნდებს საშუალებას აძლევს, თავიანთი ძალისხმევა ყურადღება გაამახვილონ იმ ადგილებში, სადაც ისინი ყველაზე დიდ მნიშვნელობას გადასცემენ.

საფრთხეს ვთვლი 3 სხვადასხვა კატეგორიაში:

  • კარგად ცნობილი და კარგად განსაზღვრული საფრთხეები, სადაც ზუსტად იცით, რა უნდა გაკეთდეს მათი აღმოსაფხვრელად.
  • ცნობილია, მაგრამ კარგად განსაზღვრული საფრთხეები, რომელთა მოგვარებაც საჭიროებს გარკვეულ კვლევას, გამოძიებას და განსჯას.
  • სრულიად უცნობი საფრთხეები, ან ნულოვანი დღის შეტევები, რომლებიც ყველაზე შემაშფოთებელია, მაგრამ ასევე ყველაზე ნაკლებად.

ცნობილი საფრთხეები უსაფრთხოების მცდელობების დიდ ნაწილს გულისხმობს, რადგან ისინი ყველაზე ხშირია, მაგრამ ისინი სინამდვილეში შედარებით მტკნარია, ხოლო დიდი ძალისხმევა მთლიანად ტექნოლოგიის საშუალებით შეიძლება. ეს არის ისეთი საფრთხეები, სადაც რეაგირება შეიძლება სრულად ავტომატიზირდეს, რაც საშუალებას აძლევს ანალიტიკოსებს დრო გაატარონ უფრო ორაზროვან ამოცანებზე..

ძნელია უსაფრთხოების ანალიტიკოსების დაქირავება; ისინი წასვლას განიცდიან, რადგან შეწუხებულნი არიან სამყაროში. ანალიტიკოსები უფრო კმაყოფილები არიან და ნაკლებად დატოვებენ, თუ თვლიან, რომ მათი საქმიანობა აზრიანია. ავტომატიზაციისა და გადაწყვეტილების მიღებისთვის ხელსაწყოების გამოყენება ასევე ნიშნავს, რომ რეაგირება უფრო თანმიმდევრულია. თუ ეს ინსტრუმენტი საშუალებას აძლევს ანალიტიკოსებს შეიმუშაონ საკუთარი რუქა და საორკესტრო გზების ნიმუშები, ეს ცოდნა რჩება კომპანიის შემადგენლობაში, რაც საშუალებას იძლევა უფრო მდგრადი გადაწყვეტილებები მიიღოთ უფრო ნაკლები რესურსების გამოყენებისას..

კიდევ ერთი ტექნოლოგია, რომელსაც დიდი ინტერესი აქვს, დისტანციური დათვალიერებაა. ეს საკმაოდ განვითარებადი სფეროა, მაგრამ მე ვაცნობიერებ, რომ მას შეუძლია მნიშვნელოვანი სარგებელი მოიტანოს. ბრაუზერები ძალზე დაუცველია საფრთხეების გამო, რადგან მათ აქვთ ინტერნეტით შეუზღუდავი წვდომა. ასე რომ, თუ თქვენ გადააქვთ ყველა ყველაზე სანდო დათვალიერების აქტივობა ბიზნესის აქტივებისგან შორს, შეგიძლიათ მნიშვნელოვნად გააუმჯობესოთ ბიზნესის უსაფრთხოება. როგორც ნებისმიერი ტექნოლოგია, აქ მთავარი უნდა იყოს ამის გაკეთება მომხმარებლის გამოცდილების არ დათმობის გარეშე, ან გექნებათ ძალიან გაბრაზებული საქმიანი განცდა, რომელსაც ისინი ინტერნეტ-კიოსების დღეებში უგზავნიან..

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me