越来越多的基本业务流程需要安全和 IT 运营团队共同承担责任。 不幸的是,他们的合作能力常常达不到所需要的。 优先事项冲突、文化差异和流程盲点导致系统效率低下、IT 风险,有时还会导致两个团队之间产生摩擦。 鉴于他们的共同责任越来越多,他们不能相互指责,而是需要利用流程来促进协作 自动化 创造共同点。
两个团队之间会产生摩擦,因为安全部门负责制定风险管理策略以及遵守各种内部和外部指令。 然而,由于 IT 运营团队积极管理 IT 资产,因此他们是实施这些策略的人,因此间接拥有策略执行权。 这就是为什么协作如此重要,特别是对于跨越多个组织孤岛和技术堆栈的复杂用例,例如安全员工离职、IT 审计和合规准备以及 SaaS 用户和生命周期管理等用例。
安全离职是一个涉及 IT、安全和人力资源的关键业务流程。 自大流行开始以来,它也一直承受着持续而巨大的压力。 鉴于持续的裁员、员工流动率的增加以及动态的远程工作政策,这种情况看起来不会很快消退。 所有这些因素都使得安全的离职流程已经成熟,可以实现自动化,以减少人工开销、错误和安全漏洞——即使是在拥有复杂和/或成熟流程的公司也是如此。
Block,Square 支付系统的所有者,当它经历了一次违规事件时,它经历了惨痛的教训,一名前员工使用仍然开放的访问凭据窃取了数百万用户的数据。 正如所做的那样 摩根士丹利同意支付 60 万美元 (PDF) 解决涉及数据中心设备不当退役导致重大数据泄露的法律索赔。 这些只是失败的离职流程如何影响公司利润的众多例子中的两个。
例如,如果 IT 运营人员正在管理离职流程,则需要与安全部门合作,以确定员工离职时需要执行的所有控制措施,否则就会产生安全风险。 需要取消配置哪些帐户、应用程序和访问权限? 哪些情况需要依法搁置? 需要保留哪些数据才能遵守数据保留要求? 此外,管理与回收和重新分配资产相关的操作任务和安全方面面临着越来越大的挑战。
IT 审计与合规性如何融合
IT 审计和合规性是另一个包含大量联合流程的领域,这些流程可能包含数十个故障点。 准确高效的 IT 审计需要基于所有硬件和软件的当前库存,在资产管理方面保持良好的卫生状况。 即使公司已经拥有资产管理工具,但考虑到大多数公司的 IT 足迹高度分散,完成这项任务比以往任何时候都更具挑战性。
例如,假设安全团队负责执行一项基本安全策略,即所有远程笔记本电脑上必须安装 CrowdStrike 和 Tanium,且必须处于活动状态并保持最新状态。 然而,他们依赖 IT 运营人员来执行该策略,因为他们拥有应用程序部署和补丁管理。
IT 运营人员可能了解该政策,但仍忙于其他职责。 因此,他们不会为其分配相同的优先级。 由于安全团队最终是对因不合规而发生的安全事件负责的人,因此他们可能不明白为什么安全部门在争先恐后地帮助他们时会抱怨。
管理 SaaS 产品组合
最后一个例子是管理不断增长的 SaaS 产品组合。 投资 SaaS 的业务部门行动迅速。 在评估选项后,做出选择并迅速实施。 IT 运营人员甚至可能不知道这一点。 这种分散采购的结果是 大约一半的 SaaS 应用程序是在 IT 范围之外购买的。
虽然这会加快业务发展速度,但也会带来问题。 组织如何准确预测续订,发现未使用许可证造成的低效率浪费,并确定整合机会以结合不同的供应商协议以提高谈判杠杆和节省成本?
还有很多安全考虑。 IT 和安全部门需要协作来确定哪些应用程序需要 SOC 2 合规性、存储敏感数据或 PHI 数据,或者具有合规性驱动的刷新周期。 安全和 IT 需要共同解决这个问题,并为 SaaS 产品组合实施适当的策略,以确保企业能够管理其风险。
显然,当谈到有效运营时,IT 运营和安全部门不能再只在自己的车道上运行——不管你喜欢与否,他们的车已经搭好了。 改善其动态的第一步是战略性地调整特定流程的内容和原因。 一旦建立,他们就可以共同创建和实施自动化工作流程,为两个团队的长期目标服务——无论是单独还是共同。
这是一条 IT 运营和安全人员可以遵循的清晰路径,从“不愉快的约会”演变为天作之合 - 和 企业将因此变得更好。
- :具有
- :是
- :不是
- $UP
- 31
- a
- 对,能力--
- 关于
- 关于它
- ACCESS
- 完成
- 问责制
- 账户
- 精准的
- 准确
- 横过
- 要积极。
- 积极地
- 后
- 议定
- 协议
- 对齐
- 所有类型
- 已经
- 还
- an
- 和
- 另一个
- 回答
- 任何
- 应用领域
- 应用领域
- 适当
- 应用
- 保健
- 国家 / 地区
- 围绕
- AS
- 方面
- 财富
- 资产管理
- 办公室文员:
- At
- 审计
- 审计
- 自动化
- 自动化和干细胞工程
- 察觉
- 基于
- BE
- 因为
- 很
- 开始
- 更好
- 之间
- 都
- 半身裙/裤
- 违反
- 破
- 商业
- 业务流程
- 但是
- CAN
- 例
- Center
- 挑战
- 挑战
- 要求
- 清除
- 合作
- 合作
- 结合
- 购买的订单均
- 相当常见
- 公司
- 公司
- 符合
- 复杂
- 执行
- 冲突的
- 注意事项
- 合并
- 常数
- 控制
- 价格
- 节约成本
- 创建信息图
- 创建
- 创建
- 资历
- 危急
- 文化
- 电流
- 裁员
- 周期
- data
- 数据泄露
- 数据中心
- 日期
- 成人约会
- 分散
- 依赖的
- 部署
- DID
- 差异
- 不同
- 分布
- 不
- 不
- 几十个
- 两
- 动态
- 有效
- 高效
- 员工
- 执行
- 强制
- 强制执行
- 企业
- 设备
- 故障
- 特别
- 必要
- 成熟
- 房地产
- 评估
- 甚至
- EVER
- 发展
- 例子
- 例子
- 有经验
- 外部
- 因素
- 失败
- 下降
- 快
- 数字
- 最后
- 找到最适合您的地方
- (名字)
- 适合
- 遵循
- Footprint
- 针对
- 收益预测
- 前
- 向前
- 培育
- 摩擦
- 止
- ,
- 此外
- 差距
- 特定
- 目标
- 非常好
- 陆运
- 成长
- 半
- 手
- 硬
- 硬件
- 有
- 帮助
- 高度
- 举行
- 创新中心
- 但是
- hr
- HTML
- HTTPS
- 鉴定
- if
- 影响力故事
- 实施
- 实施
- 实施
- 改善
- in
- 包括
- 增加
- 增加
- 间接
- 安装
- 代替
- 内部
- 库存
- 投资
- 涉及
- 问题
- IT
- 它的
- 联合
- JPG
- 知道
- 笔记本电脑
- 裁员
- 知道
- 导致
- 法律咨询
- 让
- 杠杆作用
- 许可证
- 生命周期
- 喜欢
- Line
- 长期
- 不再
- 寻找
- 制成
- 主要
- 使
- 管理
- 颠覆性技术
- 管理工具
- 管理的
- 任务
- 手册
- 许多
- 匹配
- 成熟
- 可能..
- 可能
- 百万
- 更多
- 最先进的
- 移动
- 移动
- 多
- 必须
- 需求
- 打印车票
- 需要
- 没有
- of
- 经常
- on
- 一旦
- 一
- 那些
- 正在进行
- 仅由
- 操作
- 操作
- 运营
- 机会
- 附加选项
- or
- 组织
- 组织
- 其他名称
- 除此以外
- 输出
- 学校以外
- 己
- 业主
- 流感大流行
- 合伙人
- 打补丁
- 径
- 支付
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 大量
- 点
- 点
- 政策
- 政策
- 个人档案
- 投资组合
- 可能
- 优先
- 过程
- 过程
- 购买
- 购买
- 放
- 很快
- 急速
- 准备就绪
- 减少
- 有关
- 远程
- 远程工作
- 要求
- 责任
- 提供品牌战略规划
- 导致
- 保留
- 风险
- 变更管理
- s
- SaaS的
- 同
- 储
- 对工资盗窃
- 安全
- 保安
- 选择
- 敏感
- 服务
- 集
- 设置
- 解决
- Share
- 短
- 应该
- 筒仓
- 自
- So
- 软件
- 或很快需要,
- 极致
- 跨度
- 广场
- 堆栈
- 赤柱
- 步
- 商店
- 从战略
- 这样
- 肯定
- 系统的
- 任务
- 任务
- 团队
- 队
- 专业技术
- 比
- 这
- 其
- 他们
- 那里。
- 因此
- 博曼
- 他们
- Free Introduction
- 那些
- 次
- 时
- 至
- 一起
- 工具
- 营业额
- 二
- 最终
- 下
- 理解
- 不幸
- 单位
- 未使用
- 使用
- 用过的
- 用户
- 用户
- 运用
- 各个
- 供应商
- 方法..
- 井
- 什么是
- ,尤其是
- 这
- 为什么
- 宽
- 将
- 工作
- 一起工作
- 工作流程
- 和风网