Kontrola nad bezpieczeństwem infrastruktury IT

Do czego służą hamulce w samochodzie? Zadawałem to pytanie wiele razy, rozmawiając z klientami lub organizacjami. Często wywołując irytację połączoną ze zmieszaniem na ich twarzach. Niezmiennie odpowiedź brzmiała: „Aby zatrzymać samochód”. W tym momencie nasuwało mi się pytanie: „W takim razie, w jaki sposób chcesz osiągnąć cel podróży?”
Kiedy ludzie myślą o kontrolach, szczególnie w przestrzeni technologii informatycznych, myślą, że kontrole zlecone przez audytorów są na drodze, aby im przeszkodzić. Mają wrażenie, że wszystkie wymagania związane z PCI, SOX, HIPAA, NIST, NERC itp. Są po to, aby uniemożliwić im robienie interesów tak, jak chcą. Organizacje, z którymi się spotkałem, mają wrażenie, że jeśli bezpieczeństwo lub audytorzy zejdą im z drogi, będą mogli sprzedawać więcej widżetów lub tworzyć więcej gadżetów. „Ufamy naszym ludziom, że postępują właściwie…” U podstaw tego leży niewypowiedziana fraza: „Mamy nadzieję, że zrobią to, co należy…” Istnieją utarte stereotypy, które wynikają z takiego przekonania:

Nadzieja nie jest strategią, a zaufanie nie jest kontrolą.

To samo można powiedzieć o każdej kontroli IT, o którą pytają audytorzy:

  • „Czy wyłączyłeś TELNET, TFTP lub inne niepewne usługi?”

  • „Czy masz skonfigurowane co najmniej 13-znakowe hasło?”
  • „Jak często użytkownicy muszą je zmieniać?”

  • „Czy mogą ponownie używać haseł?”

Audyty IT w biznesie

Podczas audytu IT istnieją setki, jeśli nie tysiące rzeczy, których audytor szuka. Jeśli Twoja organizacja nie ma skutecznego i wydajnego programu zgodności, możesz czuć, że cały swój czas spędzasz na odpowiadaniu na te pytania i przedstawianiu dowodów, że Twoja teza jest prawdą.

Im mniej zdefiniowany jest program zgodności, tym bardziej tym bardziej audytor przeszukuje infrastrukturę IT. Audytorzy najczęściej sprawdzają bezpieczeństwo sytemu ERP wdrożonego w firmie. Twoi pracownicy działu IT i bezpieczeństwa będą musieli zalogować się do systemu, i sprawdzą, czy faktycznie wyłączyłeś TELNET lub inne usługi i protokoły, o których udowodniono, że w przeszłości są skompromitowane. Im bardziej efektywny jest program zgodności, tym mniej może wymagać audytor i tym mniej czasu pracownicy będą musieli poświęcić na wykonanie całej tej pracy.
Jeszcze łatwiej byłoby mieć rozwiązanie, które może proaktywnie przetestować te rzeczy i dostarczyć raporty, które można po prostu przekazać audytorowi.

Zarząd po Twojej stronie

Kluczowym elementem jest to, w jaki sposób możemy zaangażować nasz zespół wykonawczy.

Zarząd firmy powinien ustanowić skuteczny i wydajny programu zgodności. Bez zarządzenia wyższej kadry kierowniczej nie ma możliwości, aby ktokolwiek pod nimi podjął się poważnie wymogów audytu. W końcu, jeśli ich to nie obchodzi, dlaczego nas powinno? Wyższe kierownictwo, to ci, którzy czują, że wymagania w zakresie bezpieczeństwa i audytu staną na przeszkodzie, aby wykonywać działalność. Do której oczywiście zostali zatrudnieni. Niektóre wymogi kontroli wiążą się z karami. W przypadku niepowodzenia audytu PCI organizacja może stracić możliwość korzystania z kart kredytowych. Niepowodzenie audytu NERC może wiązać się z wysokimi grzywnami. Firmy, które nie przejdą audytu SOX, mogą nawet dostać zarzuty karne.
Ok, ale co z firmami, które nie mają tych wymagań? Czy to oznacza, że ​​CEO lub CISO są w stanie zignorować dobrą higienę audytu?”

Konkluzja

Z tym problemem boryka się wiele organizacji. Kontrola nad bezpieczeństwem infrastruktury IT. Jak przekonać zarząd, gdy nie ma wymogu zgodności? Najchętniej wybiorą najtańsze i najprostsze rozwiązanie aby wszystko jak najszybciej poszło w niepamięć.
Całe książki i traktaty zostały napisane, aby przekonać C-Suite o znaczeniu dobrej kontroli nawet w obliczu braku wymagań, więc nie będę cię tu nudzić tymi szczegółami. Możemy jednak wrócić do naszego pierwotnego pytania, które brzmiało następująco: „Do czego służą hamulce w samochodzie?

Prawdziwa korzyść z kontroli bezpieczeństwa

W przeciwieństwie do domyślnej odpowiedzi podanej powyżej, chciałbym postawić na nowy sposób myślenia. Hamulce w samochodzie nie są zaprojektowane do jego zatrzymania. Zamiast tego hamulce w samochodzie są zaprojektowane tak, aby umożliwić bezpieczną jazdę samochodem.

W ten sposób organizacje, zwłaszcza kierownictwo, muszą zacząć myśleć o kontrolach IT. Muszą zacząć myśleć poza polem wyboru. Kontrola nie ma na celu uniemożliwienia ci prowadzenia działalności. Kontrola umożliwia szybsze prowadzenie działalności. Jaki samochód chciałbyś mieć? Ferrari Enzo bez hamulców czy Nissan Micra z hamulcami? Który samochód byłby w stanie pokonywać zakręty i zakręty toru wyścigowego i dotrzeć do mety?

W biznesie droga do zysku nigdy nie jest linią prostą. Są nierówności, ostre zakręty, spadki i inne przeszkody. Bez skutecznej kontroli, jaką program zgodności zapewnia organizacji, równie prawdopodobne jest, że uda się uciec od klęski bankructwa z powodu naruszenia bezpieczeństwa, tak jak ma to na celu wyrównywanie dochodów lub księgowanie utraconych dochodów.

Od początku tego stulecia mieliśmy komputery do noszenia, ale były one zwykle bardzo ograniczone i koncentrowały się na zadaniach, w których użytkownik pracuje, potrzebuje komputera, ale także musi pracować bez użycia rąk. Były one kiedyś używane do inwentaryzacji, a ostatnio jako wydajne platformy VR (przychodzi na myśl komputer HP do noszenia). Niestety wydają się być duże, ciężkie i niepraktyczne jako codzienne rozwiązanie na komputery PC.

Jeśli jednak zmniejszysz je, sprawisz, że będą bardziej przystępne cenowo, dasz im znacznie lepszy zestaw słuchawkowy z mieszaną rzeczywistością, który lepiej zintegruje użytkownika zarówno ze światem rzeczywistym, jak i wirtualnym, i wykorzystasz zasoby chmury do zwiększenia wydajności, myślę, że miałbyś coś, co może potencjalnie zastąpić wszystko, co jest obecnie na rynku.

W ciągu kolejnych 5 lat na rynku komputerów przenośnych szykuje się rewolucja, gdy tylko te 3 technologie połączą się ze sobą.

Outsourcing IT Szczecin ⭐⭐⭐⭐⭐ | Ocena 5/5 | Głosów 43