Управление ИТ-безопасностью в условиях быстро меняющихся технологий
Любой заинтересованный ИТ-специалист в бизнесе, организации или на предприятии сталкивается со временем испытаний в отношении меняющегося облика безопасности данных, защиты цифровой идентификации и конфиденциальности.
С одной стороны, самые известные консалтинговые компании в мире делают ставку на цифровую трансформацию предприятий. С другой стороны, есть безмолвное темное облако, которое быстро приближается к основаниям этих агрессивных трансформационных технологических стратегий.
Это темное облако является метафорическим описанием вырисовывающихся уязвимостей в системе безопасности, которые уже преследуют предприятия, зависящие от ИТ, и тех, которые должны стать самой большой угрозой в будущем.
В такой динамичной ИТ-среде, в которой задействовано так много сил, работа ИТ-директора, ИТ-директоров, технических руководителей и технических руководителей состоит в том, чтобы осознавать растущие риски и готовиться к их смягчению и преодолению.
Крайне важно, чтобы вы могли контролировать корпоративные ИТ-вопросы, понимать самые основные факторы, которые делают кибербезопасность такой чудовищной головной болью для ИТ-директоров и директоров по информационной безопасности. Итак, прежде всего, давайте разберемся, почему сегодня цифровая безопасность является такой монументальной корпоративной заботой.
Растущие опасения по поводу корпоративной ИТ-безопасности
Переход от локальной среды к облаку. Не только предприятия, но и предприятия малого и среднего бизнеса все чаще используют облачные приложения, отказываясь от старых добрых времен локальной реализации. Это означает, что цифровые данные вашего предприятия в большинстве случаев теперь находятся в удаленном центре обработки данных вместе с данными десятков других организаций, часто на том же серверном оборудовании. Результат – тревога, отсутствие контроля, подверженность большим рискам.
Интернет вещей: предприятия находятся на пути к внедрению интеллектуальных инфраструктурных устройств, таких как кулеры для воды, кондиционеры, лифтовые системы, осветительное оборудование и мини-роботы, в сферу повседневного рабочего дня. Результат – все эти миниатюрные устройства находятся в одной сетевой магистрали с компьютерными терминалами и серверным оборудованием организации. ИТ-специалистам может быть сложно следить за тем, как сотрудники взаимодействуют с этими устройствами, что затрудняет предотвращение любых событий, которые могут сделать сети уязвимыми для несанкционированного доступа.
BYOD: Благодаря хорошо продемонстрированным бизнес-преимуществам и возможности удаленной работы персонал, BYOD никуда не денется. Однако остается множество рисков для безопасности данных и конфиденциальности, которые несут с собой любые устройства, принадлежащие конечным пользователям и контролируемые ими. Любое пользовательское устройство может непреднамеренно раскрыть защищенные корпоративные данные в сетях со слабыми брандмауэрами или без них. Уравновешивание преимущества BYOD с проблемами ИТ-безопасности является одной из самых больших задач, с которыми сталкиваются специалисты по безопасности данных.
Помимо этого, в игру вступают и другие силы, такие как необходимость работы во взаимосвязанной ИТ-экосистеме, когда приложения поставщиков и клиентов объединяются. Злоумышленники становятся все более изощренными в своих попытках злонамеренных киберпреступлений. Вы поняли идею; давайте продолжим и поймем, как предприятия могут сохранять контроль над ИТ-безопасностью даже в быстро меняющейся экосистеме.
Понимание изменений в ИТ-безопасности
Поверьте, несмотря на массовые обновления ИТ-инфраструктуры и каталогов приложений, свидетелями которых стали предприятия, вероятность нарушений безопасности ИТ не сильно изменилась. Что изменилось, так это потенциальный ущерб, который может вызвать нарушение. ИТ-директорам и директорам по информационной безопасности следует рассматривать проблемы безопасности ИТ через призму культурных изменений и контроля.
Акцент на ИТ-безопасность должен проявляться через подход «снизу вверх», когда каждый аспект создания данных, сбора данных и доступа к данным регулируется основными практиками и принципами полной ИТ-безопасности, конфиденциальности и безопасности.
Централизованное формирование политики в отношении методов работы с данными является отправной точкой, за которой следуют сильные тренинги по ИТ-безопасности и методы повышения осведомленности. Все, от новичка-стажера до ИТ-директора, должны участвовать в этом организационном пути к полной безопасности ИТ.
Сегментированные приложения поставщиков ИТ-безопасности становятся унифицированными наборами
Кульминацией событий последнего десятилетия стало то, что предприятия неизменно имеют несколько приложений для обеспечения ИТ-безопасности, несколько поставщиков для управления ими и, конечно же, несколько групп управления для контроля.
В конечном итоге отношение должно сместиться в сторону интеграции и консолидации, чтобы обеспечить максимальную выгоду и синергию между разрозненными в противном случае приложениями, связанными с единым входом в систему, многофакторной аутентификацией, брандмауэрами, обучением сотрудников ИТ-безопасности, и, ну, вы поняли картину.
Только тогда пробелы, оставленные системами с несколькими приложениями и разными поставщиками, могут быть заполнены для обеспечения полноценной ИТ-безопасности. Консолидация в управлении идентификацией, в частности, представляет собой мыслительный процесс, который уже хорошо находит отклик у корпоративных клиентов, и этот мыслительный процесс вскоре распространится на другие технологии, связанные с безопасностью.
Обучайте лиц, принимающих решения в области ИТ, для более эффективных переговоров с поставщиками
Приложения управления, управления рисками и соответствия требованиям (GRC) становятся все более популярными, и поставщики стремятся выйти на расширяющийся рынок кибербезопасности. Тенденция, наблюдаемая в настоящее время, сосредоточена на предприятиях, которые хотят узнать о технологиях, прежде чем принимать решение о покупке.
Новаторские поставщики ИТ используют эту тенденцию, позиционируя себя как поставщики образовательных услуг, предлагая подробные курсы и демонстрации жизнеспособности своих технологических предложений. Такие проблемы, как трудности со сменой поставщика, затраты на смену, неполное использование функций текущего приложения и т. д., слишком часто оставляли неприятный осадок во рту ИТ-директоров. Понимание всех возможностей, масштабируемости и готовности к будущему дорогостоящих инструментов ИТ-безопасности — правильный путь вперед.
Ключевые мысли
Согласитесь, понятие «ценность» теперь не ограничивается деньгами. Данные могут стоить фунтов золота (и если вы посмотрите «Золотую лихорадку» на канале Discovery, вы узнаете, как трудно найти золото!) для предприятий, поэтому киберпреступность находится на рекордно высоком уровне и ожидается, что она будет расти.. Если ИТ-безопасность еще не стоит на первом месте в вашем списке стратегических задач в качестве ИТ-директора, то вскоре она будет.
Разумный шаг должен быть подготовлен к следующей волне значительных и быстрых изменений во всей концепции ИТ-безопасности, критических приложениях безопасности и методах защиты данных. Поняв эти движущие силы изменений и поняв стратегические усилия, которые могут смягчить последствия этих движущих сил, вы сможете подготовить свое предприятие к тому, чтобы двигаться по дорогам технического прогресса.