Улучшение взаимосвязи между ИТ и ИТ-безопасностью

Отношения между ИТ и ИТ-безопасностью не всегда самые теплые. Лидеры не всегда сходятся во взглядах . Более того, эта культура взаимной неприязни пронизывает весь отдел. Не помогает и то, что директор по информационной безопасности , относительно недавняя должность , быстро превратился в бизнес-лидера. Взгляды директора по информационной безопасности иногда имеют такой же вес, как и взгляды ИТ-директора.

Тем не менее, эти две функции лежат в основе успеха в бизнесе. Это происходит все чаще, поскольку мир труда становится все более зависимым от технологий . Пандемия COVID-19 также усилила эту зависимость, заставив организации перейти на удаленную работу . Сейчас самое подходящее время для совместной работы ИТ-безопасности и ИТ для обеспечения будущего организации.

Во-первых, давайте посмотрим, что может вызвать конфликт между этими отделами. Затем мы рассмотрим, почему так важно улучшить отношения между ними.

ИТ и ИТ-безопасность: лицом к лицу

Всегда рекомендуется разделять ИТ и ИТ-безопасность. ИТ-персонал занимается рутинным администрированием и эксплуатацией . Затем ИТ-безопасность может справиться с соблюдением требований к рискам . У ИТ и ИТ-безопасности разные роли . Тем не менее, они оба обеспечивают бесперебойную работу систем компании. Когда каждый отдел пытается выполнить свою роль, часто возникает конфликт .

Предположим, ИТ-отдел хочет развернуть смартфоны для использования некоторыми работниками. В этом случае служба ИТ-безопасности учитывает риски кибербезопасности, связанные с использованием мобильных устройств. Вот почему ИТ-безопасность будет против этого решения . Это может вызвать трения между отделами. Более того, обе команды подчиняются руководителям разных подразделений — ИТ-директору/техническому директору по ИТ и директору по информационной безопасности по ИТ-безопасности. Это также может обострить конфликт.

Когда возникает конфликт, офисная политика и мягкая сила определяют путь разрешения конфликта. В этом случае конечный результат не всегда отвечает интересам организации . Именно из-за этих негативных последствий вам нужно, чтобы две команды были в хороших отношениях .

Важность хороших отношений между ИТ и ИТ-безопасностью

Даже если команды работают над созданием ровных рабочих отношений, конфликты все равно случаются.

Представьте себе: высшее руководство усердно настаивает на том, чтобы ИТ-отдел внедрил новое приложение. Под давлением ИТ-персонал может рассмотреть возможность игнорирования некоторых требований по снижению рисков . Тогда ИТ-безопасность должна будет усилить эти требования. Столкновение имеет 2 возможных исхода , лучший и худший сценарий:

1. Создавайте неэффективные процессы
2. Прекратить работу

Ни одна из ситуаций не идеальна. Они также бросают вызов. Тем не менее, команды могут выполнять свои обязанности и поддерживать продуктивные отношения. Давайте обсудим некоторые передовые методы уменьшения трения .

4 способа улучшить отношения в ИТ-команде

Конфликты между ИТ и ИТ-безопасностью не обязательно должны быть неуправляемыми . Столкновения также не должны создавать разногласия. Вот почему вы можете предпринять обдуманные, хорошо продуманные действия, чтобы улучшить отношения. Давайте поговорим о 4 вещах, которые ваша организация может сделать , чтобы добиться успеха:

1. Демонтируйте регрессивную культуру

Проблемные отношения между ИТ-безопасностью и ИТ сводятся к негативной культуре , укоренившейся на протяжении многих лет. Например, служба ИТ-безопасности может задерживать проекты для проверки соответствия политике безопасности. Кроме того , ИТ-специалисты могли проигнорировать ключевой процесс, который позволил совершить атаку на систему безопасности . Эти анекдоты могут способствовать длительной вражде между двумя подразделениями . Дальнейшее накопление микроагрессии на протяжении многих лет также не способствует командной работе и коллегиальности.

Борьба с этой вредной культурой — вот с чего все должно начинаться. Убедитесь, что команды не видят друг друга как «других». Скорее помогите им осознать, что они незаменимые партнеры . Покажите им, что они оба важны для успеха организации. Это не соревнование или победитель получает все. Фактически, они могут процветать и добиваться успеха одновременно.

Это изменение начинается сверху . ИТ-директора и директора по информационной безопасности должны относиться к своим командам как к части друг друга, а не как к отдельным конкурирующим подразделениям. Также организуйте совместные семинары и тимбилдинги . Это помогает разрушить стены между двумя командами. Создание каналов для разрешения и эскалации также является ключевым моментом.

2. Внедряйте совместную работу и общение с самого начала

Каждому отделу обычно кажется, что проблемы возникают внезапно. Это может быть ключевой причиной конфликта. Представьте себе эти 2 ситуации :

1. ИТ-отдел работал над проектом в течение нескольких недель, и директор по информационной безопасности только что получил служебную записку для проверки соответствия.
2. Директор по информационной безопасности останавливает проект для ИТ, чтобы решить проблемы безопасности

В любом случае одна сторона чувствует излишнее неудобство .

Сотрудничество и общение на раннем этапе проекта важны. Это потому, что это может построить взаимное уважение и партнерское мышление. Обе команды чувствуют себя причастными к проекту и понимают, что они поднимаются или падают вместе. Этот подход также согласуется с мышлением DevSecOps , укоренившимся во многих организациях. Безопасность больше не ограничивается заключительной фазой проекта. Вместо этого он также вплетен в проект .

Принятие во внимание ИТ-безопасности на ранних этапах проекта также снижает риск разрушительных изменений в системе безопасности.

3. Выберите подходящую структуру отчетности

Когда ИТ-директор и директор по информационной безопасности подчиняются генеральному директору , это не всегда уменьшает трения. Это распространенное заблуждение. Хотя это сработало для некоторых, нет двух одинаковых организаций. То, что работает для одного, не обязательно применимо к другому. Вот почему важно учитывать отрасль вашей организации.

Директор по информационной безопасности может отчитываться перед ИТ-директором, если ИТ-директор глубоко понимает снижение технологических рисков. Вместо этого в отраслях с необычным бременем регулирования , таких как здравоохранение, директор по информационной безопасности должен отчитываться перед главным юрисконсультом . В конце концов, сосредоточьтесь на результате . Вы также должны выбрать то, что лучше всего снижает риск.

4. Попросите директора по информационной безопасности отчитаться перед генеральным директором или советом директоров в случае возникновения сомнений

В организационной иерархии ИТ-директор занимает более высокое положение. Это также, возможно, более важная должность в компании. Когда люди говорят о C-suite , они часто имеют в виду генерального директора, главного операционного директора, финансового директора и ИТ-директора. ОГО также может заниматься вопросами, в которых безопасность имеет решающее значение для повседневной деятельности.

Хотя директор по информационной безопасности также является «руководителем» своего подразделения, он не имеет такого же веса, как ИТ-директор . Это означает, что их взгляды могут быть отвергнуты в пользу более стратегического вклада ИТ-директора. Тем не менее, очернение взглядов директора по информационной безопасности работает против организации только в долгосрочной перспективе.

Вот почему лучше всего, если директор по информационной безопасности будет отчитываться перед советом директоров или генеральным директором . Это обеспечивает более выгодный баланс мощности. Это также может разрушить некоторые проблемы динамики власти , которые ставят в невыгодное положение группы ИТ-безопасности.

Помощь организации через сотрудничество

Обе ИТ-системы играют решающую роль в каждой функции предприятия. Вот почему здоровое партнерство между ИТ и ИТ-безопасностью имеет много ощутимых преимуществ. Взгляните на эти 6 преимуществ :

1. Лучшие, взвешенные решения
2. Лучшее управление затратами и окупаемость инвестиций. Затянувшийся конфликт дорого обходится
3. Лучшая защита данных и приложений
4. Здоровое удержание сотрудников . Бесконечные конфликты создают токсичную рабочую среду
5. Меньше времени, затрачиваемого на конфликт, означает больше времени, посвященного продуктивной деятельности.
6. Пунктуальное управление проектами. Все делается в срок

Заключительные слова

Честно говоря, конфликт между ИТ-безопасностью и ИТ не уникален. Вы можете увидеть это, когда функции управления рисками взаимодействуют с другими подразделениями. Лица, работающие в сфере внутреннего аудита , комплаенса, управления рисками и юриспруденции, столкнутся с противодействием . Это потому, что они настаивают на соблюдении процедур компании. Они также должны обеспечивать соблюдение отраслевых стандартов и рыночных правил.

ИТ-персонал считает, что функции управления рисками — это отделы по препятствованию. Это потому, что они часто блокируют любой процесс или проект , который не строго придерживается процедуры. Со своей стороны, группы управления рисками считают, что другие отделы безрассудны и зациклены на краткосрочной выгоде . Конечно, эти крайности не являются точным представлением другой стороны.

Хорошая вещь? Это не все гибель и мрак. У вас могут быть сбалансированные отношения, в которых приоритет отдается стратегическим интересам всего предприятия . Вы также должны составить обдуманный, хорошо продуманный план по укреплению гармонии. Тогда ИТ-безопасность и ИТ смогут, наконец, сражаться в одной команде. Однако отношения никогда не будут полностью лишены конфликта. Тем не менее, одно дело не соглашаться по спорным вопросам , и совсем другое, когда конфликт углубляется.

Часто задаваемые вопросы

Зачем организациям нужен отдел ИТ-безопасности?

Отдел ИТ-безопасности — это служба управления рисками , которая осуществляет надзор за ИТ-системами и процессами. Они должны обеспечить соответствие проектов нескольким стандартам. В частности, правила в отношении технологий и данных , отраслевые стандарты , политики и процедуры . Это необходимая роль, поскольку ИТ-отдел не может объективно оценивать свою работу на предмет несоответствия. Позитивные рабочие отношения между ИТ и ИТ-безопасностью жизненно важны.

В чем разница между CIO и CTO?

CIO (директор по информационным технологиям) и CTO (директор по технологиям) часто используются как синонимы. Оба они описывают самого старшего человека , отвечающего за технологические системы организации . В некоторых организациях ИТ-директор и технический директор подчиняются генеральному директору. В этом случае роль технического директора часто больше связана с техническими вопросами, в то время как ИТ-директор больше склоняется к стратегии .

Что такое DevSecOps?

DevSecOps — это эволюция DevOps . DevSecOps означает « Разработка, безопасность и эксплуатация» . Это философия Agile framework. Он также учитывает соображения безопасности на каждом этапе процесса разработки программного обеспечения.

Какова роль генерального юрисконсульта?

Генеральный юрисконсульт также называется главным юридическим управлением или главным юрисконсультом. Генеральный юрисконсульт является старшим исполнительным лицом, отвечающим за юридические вопросы в организации. Они являются главными внутренними консультантами по таким вопросам, как право, регулирование и этика . Как правило, они также хорошо разбираются в бизнесе. Это позволяет им иметь отличное представление о бизнесе, подкрепленное их юридическим опытом .

Что такое удержание сотрудников?

Удержание сотрудников — это когда организация может удерживать своих сотрудников. В этом случае сотрудники предпочитают не искать работу в другом месте. Он включает в себя создание мотивационных стратегий для улучшения возбуждения и концентрации сотрудников. Это также полагается на хорошую компенсацию и дополнительные льготы. В целом, это повышает производительность организации и снижает текучесть кадров .