ИТ-отделам и службам безопасности нужна автоматизация, а не семейная терапия

Существует растущий набор важных бизнес-процессов, за которые группы безопасности и ИТ-операции несут совместную ответственность. К сожалению, их способность к партнерству часто не соответствует тому, что необходимо. Противоречивые приоритеты, культурные различия и слепые зоны процессов привели к системной неэффективности, ИТ-рискам, а иногда и к трениям между двумя командами. Учитывая их растущий набор совместных обязанностей, они не могут позволить себе указывать виноватыми и, вместо этого, должны поощрять сотрудничество, используя процессы. автоматизация для создания общей почвы.

Разногласия между двумя командами возникают из-за того, что безопасность отвечает за установку политик управления рисками и соблюдение различных внутренних и внешних требований. Однако, поскольку группы ИТ-эксплуатантов активно управляют ИТ-ресурсами, именно они реализуют эти политики и, следовательно, косвенно контролируют их соблюдение. Вот почему совместная работа так важна, особенно для сложных случаев использования, которые охватывают несколько организационных хранилищ и технологических стеков — таких случаев использования, как безопасное увольнение сотрудников, ИТ-аудит и готовность к соответствию, а также управление пользователями SaaS и жизненным циклом.

Безопасный перенос — это критически важный бизнес-процесс, который затрагивает ИТ, безопасность и управление персоналом. Он также находится в постоянном и сильном напряжении с начала пандемии. Учитывая продолжающиеся увольнения, увеличение текучести кадров и динамичную политику удаленной работы, похоже, что в ближайшее время ситуация не утихнет. Все эти факторы привели к тому, что безопасные процессы выноса созрели для автоматизации, чтобы уменьшить ручные накладные расходы, ошибки и пробелы в безопасности — даже в компаниях со сложными и/или зрелыми процессами.

Блок, владелец платежной системы Square, узнал об этом на горьком опыте, когда произошел взлом, когда бывший сотрудник использовал все еще открытые учетные данные для доступа, чтобы украсть данные о миллионах пользователей. Как и Morgan Stanley, который согласился выплатить $60 млн. (PDF) для урегулирования судебного иска, связанного с ненадлежащим выводом из эксплуатации оборудования центра обработки данных, что привело к серьезной утечке данных. И это два из многих примеров того, как нарушенные процессы вывода из эксплуатации влияют на прибыль компании.

Например, если ИТ-операторы управляют процессами увольнения, ему необходимо сотрудничать с службой безопасности, чтобы определить все средства контроля, которые необходимо применять при увольнении сотрудника, иначе возникает угроза безопасности. Какие учетные записи, приложения и доступ необходимо деинициализировать? Что нужно заморозить по закону? Какие данные необходимо сохранить, чтобы соответствовать требованиям по хранению данных? Кроме того, возрастает сложность управления операционными задачами и аспектами безопасности, связанными с возвратом и переназначением активов.

Как ИТ-аудит и соответствие требованиям

ИТ-аудит и соответствие нормативным требованиям — еще одна область, включающая в себя широкий набор совместных процессов, которые потенциально могут включать в себя десятки точек отказа. Точные и эффективные ИТ-аудиты требуют соблюдения правил гигиены в отношении управления активами на основе текущей инвентаризации всего аппаратного и программного обеспечения. Даже если у компании уже есть инструменты управления активами, это задача, которую, учитывая сильно распределенную ИТ-инфраструктуру большинства компаний, выполнить сложнее, чем когда-либо.

Например, предположим, что группа безопасности отвечает за соблюдение основной политики безопасности, согласно которой CrowdStrike и Tanium должны быть установлены, активны и обновлены на всех удаленных ноутбуках. Однако они зависят от ИТ-специалистов в обеспечении соблюдения этой политики, поскольку они владеют развертыванием приложений и управлением исправлениями.

ИТ-специалисты могут знать о политике, но у них есть другие обязанности. В результате они не присваивают ему одинаковый приоритет. А поскольку за инциденты безопасности, возникающие из-за несоблюдения требований, в конечном итоге отвечают группы безопасности, они могут не понимать, почему служба безопасности жалуется, когда пытается им помочь.

Управление портфелями SaaS

Последний пример — управление растущими портфелями SaaS. Бизнес-подразделения, инвестирующие в SaaS, развиваются быстро. После оценки вариантов делается выбор, который быстро реализуется. IT-операторы могут даже не знать об этом. Результатом этой децентрализованной закупки является то, что примерно половина приложений SaaS приобретается вне компетенции ИТ.

Хотя это ускоряет развитие бизнеса, это также создает проблемы. Как организация точно прогнозирует продления, находит бесполезную неэффективность с неиспользованными лицензиями и определяет возможности консолидации для объединения соглашений с различными поставщиками для повышения эффективности переговоров и экономии средств?

Есть также много соображений безопасности. ИТ-специалистам и службам безопасности необходимо сотрудничать, чтобы определить, какие приложения требуют соответствия SOC 2, хранят конфиденциальные данные или PHI-данные или имеют циклы обновления, ориентированные на соответствие требованиям. Служба безопасности и ИТ должны вместе разобраться в этом и внедрить соответствующие политики для портфеля SaaS, чтобы убедиться, что бизнес управляет своими рисками.

Понятно, что когда дело доходит до эффективных операций, ИТ-операторы и службы безопасности больше не могут работать только в своих собственных полосах — нравится вам это или нет, но их тележки прицеплены. Первым шагом к улучшению их динамики является стратегическое согласование того, каким должен быть данный процесс и почему. Как только это будет установлено, они могут работать вместе, чтобы совместно создавать и внедрять автоматизированные рабочие процессы, которые служат долгосрочной цели обеих команд — по отдельности и вместе.

Это четкий путь, по которому ИТ-специалисты и службы безопасности могут перейти от «несчастливых свиданий» к браку, заключенному на небесах. - а также предприятию от этого будет лучше.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/operations/it-ops-and-security-teams-need-automation