Сигурност в облака: Важността на нулевото доверие

Сигурност в облака: Важността на нулевото доверие

С нарастването на заплахите и търсенето на конкурентни предимства в цифровите инициативи, киберсигурността се признава за бизнес императив, фактор и основа за поддържане на доверието на клиентите. Но в онези организации, където това все още не е признато, CISO може да се затруднят да продадат допълнителните ползи, които може да донесе една киберстратегия с принципи и рамки за нулево доверие – включително активирането на хората и организационните политики около хибридната работа, безопасната цифрова трансформация, по-добрата цялостна непрекъснатост на бизнеса, гъвкавостта и устойчивостта, както и опростяването на последователното потребителско изживяване.

Предприятията често отблъскват инициативите за сигурност от страх, че въведените контроли ще усложнят работата на бизнеса или ще повлияят на потребителското изживяване. Нулевото доверие обаче е опция, която може да подобри това, като същевременно осигури правилните ключови контроли, необходими за защита на съвременното предприятие.

В резултат на това от CISO зависи да представят многобройните ѝ предимства на главния мениджър и да преведат бизнес лидерите през процеса на организационна промяна. Изключително важно е организационните лидери от всички отдели (не само технологичния) да разберат защо нулевото доверие е нещо повече от сигурност – то е критичен бизнес императив.

Представяне на важността пред ръководителите

Когато представят нулевото доверие на главния изпълнителен директор, е важно CISO да подходят към това от няколко гледни точки. Перспективата на стратегията за сигурност е централна за представянето, но за да се предаде по-голямата картина, е от решаващо значение също така да се очертаят и разяснят оперативните и търговските ползи от нулевото доверие и как то може да се отрази положително на други организационни стратегии, като например технологиите и стратегиите на бизнес звената, както и на споделените услуги, като например хората, културата и финансите.

Бизнес разговорите за ползите трябва да бъдат търговски ориентирани и в контекста на бизнеса, за да се очертае изрично как архитектурата на нулевото доверие съответства на ключовите показатели и цели на главния изпълнителен директор и изпълнителния екип. В този случай е от решаващо значение да се съобщят тези ползи, за да се получи необходимото одобрение и подкрепа, преди да се представят на борда.

CISO не бива да се ограничават с определянето на най-добрите средства за доставка за финансиране на техните кибер инициативи, независимо дали става въпрос за бизнес инициатива, технологична инициатива или част от специална кибер програма. Инициативите за нулево доверие могат да бъдат включени в програмите за опростяване на мрежите, които организациите вече са въвели, за да позволят оперативна ефективност и да намалят техническия дълг – от управлението на жизнения цикъл на хардуера до оптимизирането на персонала за технологични задачи с по-висока стойност. Благодарение на това инициативите за нулево доверие могат да подобрят бизнес стойността и да помогнат за постигане на целите, свързани с поддържане на разходите, постигане на по-широка ефективност и допълване на избора на стратегически платформи, в които бизнесът вече е инвестирал.

По отношение на въздействието върху капиталовите и оперативните разходи внедряването на нулевото доверие може да помогне на кибернетичния екип да се възползва от две основни предимства. Първо, екипът е в състояние да наеме най-добрите служители в резултат на присъщия му оперативен модел, фокусиран върху задачи с висока стойност в областта на сигурността, като например оптимизиране на политиките, а не върху задачи с по-ниска стойност, като например управление на кръпките. От гледна точка на заплахите архитектурата с нулево доверие позволява на организациите да бъдат по-гъвкави по отношение на посрещането на бъдещи бизнес нужди, както и да допълват и интегрират съществуващите контроли. Това осигурява хармонизиране на контрола, за да може организацията да получи най-голяма стойност от инвестициите си в контрола на сигурността.

От ключово значение е да се продаде цялостната визия за наличие на синергии в една област и бизнес ползи в друга, да се очертаят средствата за доставка и възможностите за финансиране, като същевременно се подчертае стойността на технологичното опростяване и намаляването на риска.

Представяне на предложението пред борда

Бордът на директорите не е оперативно ориентиран, неговата цел е да гарантира, че ръководството е компетентно и изпълнява решенията си въз основа на правилните стратегически бизнес резултати. По отношение на киберсигурността, бордът и комитетът за одит и риск са фокусирани върху това да гарантират, че бизнесът работи в рамките на толерантността и апетита за риск и разполага с правилните контролни механизми, за да поддържа този апетит по устойчив начин. В този случай фокусът на CISO при представянето на концепциите за нулево доверие пред борда следва да се съсредоточи върху два ключови стълба: образование и управление.

Образователната част може да включва обща информация за нулевото доверие, като се разглеждат неотдавнашни нарушения в реалния свят и се представят начините, по които архитектурата и контролът на нулевото доверие работят за намаляване на риска на макроравнище. Очертаването на непрекъснатия пейзаж на заплахите с прости бизнес термини, които ще се харесат на тези, които нямат техническо образование, като част от постоянна кампания за повишаване на осведомеността, ще работи за образоване на управителния съвет относно стойността на кибернетиката при изграждането на доверие. В същото време това показва проактивност от страна на ръководството, вместо да се реагира на ситуацията.

Частта за управление трябва да включва ключови рискови индикатори, демонстриращи ефективността на контролите при управлението на операционния риск, като се използват както количествени, така и качествени методи за оценка на риска.

CISO обикновено имат един шанс да изградят доверие у своя борд и това трябва да се случи още на първата стъпка. За да бъде успешно, представянето трябва първо да премине през съответните вратички на етапа на управление, за да се гарантира, че изпълнителният екип подкрепя и разбира защо е необходимо нулево доверие. Тук е изключително важно да се обсъди цялостната идея на бизнес език, като се контекстуализира и концептуализира технологията по начин, който групата разбира въз основа на познанията си за индустрията.

Заключение

Докато гарантирате, че представянето на главния изпълнителен директор и борда на директорите е успешно, друга важна част от пъзела е подкрепата от страна на ключовите бизнес заинтересовани страни и ръководители. Разбирането на различните бизнес нужди в секторите на организацията и способността да се приложи обектив на сигурността в допълнение към това е ключов механизъм за създаване на стойност.

Успешното мащабиране на сигурността в организацията изисква подкрепа от много различни ръководители. Изграждането на шампиони в различни бизнес области е от решаващо значение за мащабирането и засилването на гласа на сигурността. Поддържането на тези взаимоотношения, демонстрирането на показатели и предоставянето на информация и прозрачност укрепва културата на организацията, която колективно разбира защо тя е важна и каква е нейната стойност.

Нулевото доверие предлага редица значими ползи, които го превръщат в незаобиколим бизнес императив за изпълнителните лидери и управителния съвет. Освен добре познатите аспекти на сигурността, чрез внедряването на нулево доверие организациите могат да имат подобрено преживяване на служителите, безопасно да преминат през цифрова трансформация и да подобрят бизнес възможностите, които влияят върху по-силното представяне и в резултат на това позволяват по-добри общи бизнес резултати.

 

 

Източник: e-security.bg

Сподели в:

Категории:

Следвай ни в: