Кибербезопасность и ИТ-стратегия: 5 советов по созданию дорожной карты интеграции

Опубликовано: 30 Марта, 2023
Кибербезопасность и ИТ-стратегия: 5 советов по созданию дорожной карты интеграции
Изображение 9853
Интеграция стратегии ИТ и кибербезопасности проще, чем вы думаете.

Кибербезопасность является важнейшей опорой для работы вашей компании. Тем не менее, многие фирмы до сих пор не имеют тесной интеграции между своими стратегиями кибербезопасности и ИТ . Компании, которые подходят к этим стратегиям как к отдельным разрозненным задачам, могут быть более уязвимы для атак .

Интеграция заключается не столько в слиянии двух отделов, сколько в изменении структур . Это также процесс согласования, который помогает встраивать элементы управления . Если ваша компания не интегрировала стратегии кибербезопасности и ИТ, может быть трудно понять, с чего начать.

Здесь мы предоставим вам надежный способ интеграции кибербезопасности и ИТ. Это снизит эксплуатационные расходы и позволит вашему бизнесу лучше противостоять атакам . Во-первых, давайте углубимся в то, почему наличие интегрированной стратегии так важно?

Почему важно интегрировать кибербезопасность с ИТ?

Кибербезопасность и ИТ преследуют разные цели . Это означает, что политики безопасности находятся под угрозой. Когда каждый решает разработать свою собственную стратегию , возникают внутренние конфликты , дисфункции и пробелы в безопасности. Тем не менее, интеграция кибербезопасности позволяет компании стать более эффективной. Это также помогает определить одну единую политику безопасности для всех.

Если две команды работают друг против друга, ваш бизнес теряет деньги и боевой дух . Вы также можете обнаружить, что в результате этого сотрудники увольняются , а атаки вредоносного ПО наносят больший ущерб . Компании, достигшие успеха благодаря интегрированным отделам, сокращают свои накладные расходы и улучшают свое присутствие на рынке.

Почему у компаний есть этот разрыв в первую очередь?

Почему Отключение?

ИТ - отдел отвечает за оптимизацию процессов с помощью технологий. С другой стороны, группы кибербезопасности несут ответственность за снижение рисков для вашей технологии. В некотором смысле ИТ-команды могут сказать «да» проекту, в то время как группы кибербезопасности, скорее всего, скажут « нет» .

Несмотря на то, что ни один из отделов не обязательно начинает рассматривать другой как противника, может закрасться враждебность. Каждый отступит в свои собственные бункеры и зациклится на победе в этом внутреннем конфликте.

Ни одна компания не может быть в полной безопасности , поэтому необходим взвешенный подход ; обе команды правы и неправы одновременно. Это вызывает внутреннее напряжение с самого начала, но многие не понимают, почему. Тем не менее, следование правильной дорожной карте и уменьшение двусмысленности в отношении причины дискомфорта помогут.

Давайте сразу же рассмотрим дорожную карту интеграции и 5 советов, которым вы можете следовать, чтобы обеспечить четкий путь вперед.

Дорожная карта интеграции

Дорожные карты позволяют предприятиям определить текущую ситуацию в сегменте компании или в целом и определить путь вперед. Процесс консультаций запускает процесс между командами и менеджерами. Сравнительный анализ бизнеса и добавление вех также помогает оценить успех компании в соблюдении плана.

Дорожная карта прокладывает путь к структуре проекта , плану действий и диаграмме Ганта. Теперь у вас есть реализуемый проект, и вы можете назначить на него менеджера проекта. Чтобы создать согласованную стратегию кибербезопасности и ИТ , следуйте этим 5 советам.

1. Усильте лидерство в сфере безопасности

Директор по информационным технологиям (CIO) почти всегда находится выше в иерархии предприятия, чем директор по информационной безопасности (CISO). Директор по информационной безопасности часто отчитывается перед ИТ-директором. Это не обязательно неправильно, но может подавить голос роли безопасности . Это то, что вы должны иметь в виду при планировании и применении вашей стратегии.

Опрос Института Ponemon показал, что компании с неоднозначной моделью отчетности имеют слабого CISO. Это ограничивает директоров по информационной безопасности только техническими решениями. Более целостный бизнес-ориентированный подход к решению проблем помогает расширить возможности сотрудников .

В идеале директор по информационной безопасности должен отчитываться перед генеральным директором, ИТ-директором и советом директоров. Это необходимо для лучшей интеграции и методов управления. Директор по информационной безопасности также должен помочь определить цели ИТ. Если директор по информационной безопасности отчитывается перед ИТ-директором, ему нужно только определить политику посещения совещаний . Посещение всех совещаний по стратегии в области ИТ станет обязательным. Таким образом, ИТ-отдел не упустит из виду цели безопасности при проведении совещаний.

2. Получите исполнительных чемпионов

Любая инициатива, не имеющая поддержки со стороны высшего руководства, потерпит неудачу. Опрос McKinsey показал, что поддержка на всех уровнях имеет решающее значение для продвижения любой программы компании.

Самый быстрый способ привлечь всех сотрудников к инициативе — убедиться, что высшее руководство находится на вашей стороне. Менеджеры и персонал быстро понимают тон наверху, чтобы знать, чему отдать предпочтение. Достижение такого выравнивания тона имеет решающее значение для успеха в напряженной многозадачной среде.

Включение вопросов кибербезопасности в ИТ-стратегию также с большей вероятностью увенчается успехом, если у вас есть поддержка со стороны правления . Чтобы получить такую поддержку на высоком уровне, директора по информационной безопасности также должны найти способы продемонстрировать ощутимые преимущества партнерам и акционерам.

Директора по информационной безопасности могут добиться этого, показав, как безопасность помогает бизнесу и не является препятствием для получения прибыли . Вы также хотите объяснить, как кибератака или утечка данных могут иметь финансовые, юридические и репутационные последствия. Еще, что вы можете сделать, это предоставить статистику и предполагаемые потери в деловой репутации и финансовом положении.

Установить убытки от:

  • Мошенничество
  • Корпоративный шпионаж
  • Оперативный сбой
  • недоверие клиентов
  • Снижение продаж
  • Регулятивные санкции
  • Штрафы и коллективные иски
Изображение 9854
Убедитесь, что ваши ИТ и кибербезопасность читают с одной страницы!

3. Стройте отношения и общение

По данным Holmes Report, плохая коммуникация обходится компаниям в 35+ миллиардов долларов в год . Политика, процесс и процедура — все это необходимые инструменты для развития сотрудничества между командами.

ИТ-отделы должны работать над созданием тесных рабочих отношений. Мягкие навыки с обеих сторон также имеют решающее значение в этом отношении. Вы можете рассмотреть возможность объединения отделов в одну комнату. Это может помочь сплочению команды и общению. Вы хотите объяснить, что цель состоит в том, чтобы персонал не потерялся. Это также для обеспечения межведомственного саморазвития.

Стратегии кибербезопасности и ИТ подвергаются большему риску отключения, когда они теряют неформальное общение . Если вы не можете объединять команды, попробуйте регулярные ретриты для построения команды . Ежемесячные встречи между отделами также могут помочь, особенно когда вы добавляете перерывы. Рассмотрите возможность организации общего завтрака или обеда в присутствии ИТ-директора и директора по информационной безопасности.

4. Используйте стандартные рамки

Группа кибербезопасности не может реализовать цели безопасности самостоятельно и зависит от ИТ для фактической реализации. В свою очередь, ИТ предпринимает необходимые действия для достижения целей безопасности. Одним из примеров является случай, когда правила пароля новой системы не соответствуют политике кибербезопасности компании . Команды по кибербезопасности могут указать на этот недостаток, но часто именно ИТ-персонал вносит изменения для обеспечения соответствия требованиям.

Вот почему вы хотите рассмотреть возможность использования стандартных платформ безопасности . Платформы безопасности определяют взаимозависимость, а также предоставляют вам роли безопасности для других отделов. Фреймворки также помогут вам установить сопоставимые показатели. Таким образом, не возникает двусмысленности в отношении конечных целей.

Для этого можно определить годовые цели и разбить их на квартальные и полугодовые этапы . Платформа гарантирует, что вы сможете определить все аспекты ИТ-безопасности и ранжировать их на основе целей риска.

Например, Национальный институт стандартов и технологий (NIST) разработал структуру, которую вы можете использовать. Согласно одному опросу , 2 из 5 компаний США используют этот стандарт. Платформа помогает компаниям разработать дорожную карту безопасности с использованием лучших отраслевых практик. В конечном итоге это также помогает различным отделам обеспечить успех.

Структура NIST также предоставляет практическое руководство по кибербезопасности фирмы. Это включает определение его текущего и целевого состояния. NIST также помогает определить возможности для улучшения и воспроизводимый процесс постоянного улучшения . Наконец, NIST помогает определить процессы мониторинга и коммуникации для заинтересованных сторон.

5. Встройте безопасность в корпоративные решения

Интеграция кибербезопасности и ИТ-стратегии должна распространяться на остальную часть вашей цепочки поставок . Один из способов — создать единую запись в системе управления конечными точками, прежде чем сделать устройство доступным для клиента. Если клиентам нужен доступ к приложению, это не должно угрожать безопасности внутренних систем.

Незащищенные устройства и нерегулируемый доступ могут стать лазейками для многих киберугроз. Некоторые примеры включают фишинг, вредоносное ПО и атаки программ-вымогателей. Вот почему комплексный подход к безопасности продукта важен при использовании технологии Интернета вещей (IoT). В общем, доступность увеличивает поверхности атаки.

Последние мысли

Современные компании не могут позволить себе разъединение кибербезопасности и ИТ-стратегии. Вот почему вам нужна четкая дорожная карта , включающая использование различных ролей и команд . Принятие решений руководством, усиление лидерства в сфере кибербезопасности и налаживание отношений между отделами имеют решающее значение. Вы также хотите культивировать общение, использовать стандартизированные структуры и внедрять кибербезопасность во все продукты. Первоначальные разногласия между двумя командами сойдут на нет, что со временем позволит сотрудничать.

Часто задаваемые вопросы

Может ли система предотвращения вторжений (IPS) повысить вашу кибербезопасность?

Да, IPS может улучшить ваше решение по кибербезопасности. Он работает, проверяя заголовок и содержимое каждого пакета, прежде чем допустить его в сеть. Брандмауэры смотрят только на заголовки и более восприимчивы к вредоносным программам. При этом убедитесь, что база данных и наборы правил IPS актуальны и содержат последние угрозы.

Какие самые популярные фреймворки кибербезопасности?

ISO 27001/27002 , CSF NIST и COBIT ISACA — три самых популярных фреймворка кибербезопасности. За ними полезно следить в качестве промышленных лидеров в этой области. Они также представляют лучшие практики кибербезопасности. Внедряйте передовой опыт и следуйте промышленным стандартам, а не своим собственным. Если вы этого не сделаете, вы, скорее всего, пропустите меры и создадите пробелы в безопасности.

Что такое организационные бункеры кибербезопасности?

В менеджменте разрозненность возникает, когда отделы одной организации работают автономно. Это ограничивает поток информации между каждым из них. Это может быть полезно для защиты команд от угроз безопасности, но не для включения политики кибербезопасности. Это приводит к тому, что сотрудники более лояльны к своему отделу, чем к компании в целом.

Перед кем обычно отчитывается CISO?

Линии отчетности различаются между компаниями и соответствуют уровням зрелости бизнеса. Линии отчетности между CISO могут включать в себя; CEO , CIO , CFO , COO или CRO . Во многих компаниях директор по информационной безопасности также подчиняется совету директоров .

Почему организационная культурная трансформация так сложна?

Вынуждение людей из их зоны комфорта является проблемой. Людям не нравится узнавать что-то новое, поскольку они стали эффективными в задачах, с которыми справлялись в течение длительного времени. Неопределенность того, что создают изменения , часто также вызывает сопротивление преобразованиям . Это включает в себя процессы и социальные взаимодействия. Страх и гнев , связанные с переменами, уменьшаются с увеличением знаний . Еще одна вещь, которая может помочь привлечь людей, — это объяснить процессы перед внедрением.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023