Контроль производительности бизнеса и ИТ-безопасности: найдите правильный баланс
Производительность и ИТ-безопасность — вот что лежит в основе нескончаемой битвы между бизнес-менеджерами и лидерами в области ИТ-безопасности.
С одной стороны, менеджеры по продуктам, менеджеры по маркетингу, руководители заводов, финансовые менеджеры и другие бизнес-менеджеры выполняют определенную работу. С их точки зрения, ИТ-безопасность является второстепенным фактором, который может помешать им выполнять свои основные обязанности.
Поэтому они тратят как можно меньше времени и усилий на управление рисками безопасности ИТ. И это только естественно. Работники, как правило, игнорируют второстепенные виды деятельности, которые обременяют их дополнительной работой, но не дают отдачи, соизмеримой с их основной деятельностью.
На другом конце спектра менеджеры по ИТ-безопасности считают единственную зацикленность на росте и производительности катастрофическим подходом. Это может стоить бизнесу из-за нарушений безопасности, регулятивного осуждения и потери репутации.
Грубая погоня за производительностью может привести к катастрофическим результатам, и вся работа, которая в нее входит, может рухнуть, если материализуется угроза ИТ-безопасности. Однако чрезмерное внимание к средствам контроля безопасности может снизить производительность сотрудников. Хорошо, что вы можете взять лучшее из обоих миров. Вот несколько способов как.
Разделите риски ИТ-безопасности на части
Разделение риска ИТ-безопасности включает в себя реализацию нескольких концепций. Самое важное: сегментация сети организации для изоляции утечек данных и заражения вредоносным ПО. Таким образом, инцидент безопасности не обязательно распространится на другие участки сети.
Во-вторых, запретите совместное использование паролей уровня администратора несколькими пользователями. Вместо этого у каждого администратора должен быть собственный пароль для обеспечения подотчетности. В-третьих, разработайте базовый уровень сетевой и пользовательской активности, чтобы любые отклонения от нормы были более заметными.
Используйте многоуровневый подход к безопасности
Организации должны внедрить несколько уровней контроля безопасности вокруг своих систем и ресурсов данных. Таким образом, сбой на одном уровне не обязательно ставит под угрозу безопасность данных и системы.
Примеры этих уровней включают инструменты шифрования, песочницы и предотвращения потери данных (DLP). Благодаря многоуровневой безопасности сотрудники могут лучше выполнять свою работу, не чувствуя себя ограниченными задачами ИТ-безопасности.
Адаптивная аутентификация
Многофакторная аутентификация (MFA) может затруднить проникновение злоумышленника в систему. Однако это непреднамеренно создает барьеры, которые могут расстроить пользователей. Если сотрудникам приходится проходить MFA каждый раз, когда им требуется доступ к корпоративным приложениям, этот процесс в конечном итоге повлияет на их производительность и эффективность.
Вместо этого реализуйте политики адаптивной аутентификации. Это позволит обойти некоторые проверки безопасности MFA в зависимости от активности пользователя и профиля риска. Таким образом, если пользователь зашел на то же устройство несколькими часами ранее, он может пропустить последующие шаги MFA, которые уже были проверены ранее.
Правильная подготовка
Предоставление чрезмерного доступа пользователей создает возможности для ненужных рисков. Когда пользователи могут получить доступ к системе или функции, которые им не нужны, это не только угроза для данных организации, но и может вызвать осуждение со стороны регулирующих органов. Возрастает опасность внутренних угроз, и хакеры могут атаковать пользователей с повышенными правами доступа.
Недостаточное выделение ресурсов может привести к разочарованию и снижению производительности, которые задерживают критически важные бизнес-процессы. Недостаточное выделение ресурсов также приведет к увеличению количества запросов в службу поддержки, что свяжет ИТ-ресурсы, которые в противном случае были бы затрачены на более важные проекты. Недостаточное обеспечение может увеличить риск совместного использования учетных данных, поскольку сотрудники изо всех сил пытаются добиться цели любой ценой.
Как избыточное, так и недостаточное выделение ресурсов можно свести к минимуму, автоматизировав процесс выделения ресурсов на протяжении всего жизненного цикла пользователя — от регистрации до ухода. Вы также можете уменьшить этот риск, приняв ролевой подход, при котором права доступа назначаются должностной функции или должности, а не в каждом конкретном случае.
Инвестируйте в автоматизацию
Угрозы ИТ-безопасности разнообразны и могут использовать разные точки атаки. На самом деле одна и та же угроза может по-разному атаковать разные точки взаимодействия предприятия. По этой причине полагаться исключительно на сотрудников и процедуры безопасности для защиты корпоративных систем и данных может быть безрассудно. Именно здесь автоматизация ИТ-безопасности может сыграть более эффективную роль.
Понимая многочисленные потенциальные атаки и точки соприкосновения, автоматизированные решения по обеспечению ИТ-безопасности лучше подходят для создания надежной защиты от разнообразных и развивающихся угроз.
Постоянная осведомленность об ИТ-безопасности
Небольшие, в остальном незначительные вторжения часто превращаются в крупномасштабные нарушения из-за неадекватных знаний организации для быстрого обнаружения и реагирования. Такие знания не должны быть прерогативой только ИТ-операторов и сотрудников ИТ-безопасности. Ваша ИТ-безопасность, вероятно, будет более эффективной, если у вас есть сотрудники.
Да, сотрудники, как правило, являются самым слабым звеном в системе безопасности организации. Но, организовав непрерывное обучение и повышение осведомленности о безопасности для всех, вы можете вместо этого сделать своих сотрудников активом безопасности.
Обучение и осведомленность в области безопасности сами по себе не гарантируют, что все сотрудники будут делать то, что требуется, когда сталкиваются с риском для ИТ-безопасности. Однако он также может служить средством выявления персонала, который, возможно, нуждается в дополнительном обучении или должен управляться более детальными средствами контроля безопасности.
Проводить регулярные проверки ИТ-безопасности
Частые проверки — важный инструмент для выявления и устранения брешей в безопасности, не вызывая значительных сбоев в разработке продукта и эффективности эксплуатации.
Проверки не должны быть масштабными, общекорпоративными или слишком сложными. Скорее делайте их простыми и легкими для понимания, чтобы они не сводились к рутине, которую менеджеры по ИТ-безопасности штампуют, чтобы покончить с этим.
Вместо этого разработайте процесс проверки, в котором приоритет отдается наиболее чувствительным и критически важным системам и процессам. Благодаря этому вы можете заблаговременно выявлять и закрывать пробелы.
Подведение итогов
Предприятия в первую очередь существуют для получения прибыли. Вполне разумно, что они будут вкладывать большую часть своих ресурсов в скорость, функциональность и эффективность. Но в этом стремлении к прибыльности должно быть место для управления рисками ИТ-безопасности.
Все предприятия рано или поздно столкнутся со сбоями в системе безопасности, вторжениями, недостатками и недосмотром. В крупнейших организациях такие инциденты происходят несколько раз в день. Без достижения правильного баланса между стремлением к прибыльности бизнеса и ограничением рисков ИТ-безопасности им грозит полная утечка данных, которая может нарушить работу, опорочить репутацию и привести к финансовым потерям.
Крайне важно, чтобы организации рассматривали ИТ-безопасность и средства контроля не как проблему ИТ, а как проблему предприятия, которая требует поддержки руководителей бизнеса, менеджеров по продуктам и всего персонала.