В последнее время компании все чаще рассматривают технологическую стратегию с точки зрения скорости. Для удовлетворения ненасытного аппетита сегодняшней цифровой экономики им требуются команды, подобные DevOps, с кросс-функциональными гибкими процессами разработки и обеспечивающие высокую скорость. В то же самое время, команды сетевых инженеров тоже участвуют в гонке, стремясь обеспечить бесперебойную работу в реальном времени в непрерывно усложняющейся среде ЦОД, облачных и виртуальных средах. Но плохие парни тоже не отстают, а порой и опережают, особенно в «золотой век» большого числа подключенных к сети устройств, которые практически приглашают получить доступ к ним. Ландшафт киберугроз – это новый дикий запад, и безопасность не может здесь быть на втором плане.
Умные компании уходят от реактивного подхода к новой стратегии, которая предполагает более тесную интеграцию команд DevOps, сетевых инженеров и специалистов по ИБ и выдерживает баланс между технологическими инновациями и минимизацией риска. Эксперты, с которыми мы говорили во время прошедшего в Лондоне летом 2019 форума директоров по ИБ, назвали ее тенденцией будущего.
Безопасность – отныне не независимая функция
«Лично я считаю, что отношение к безопасности как к независимому процессу осталось в прошлом, - говорит Крис Уоллис, основатель компании Intruder, работающей в сфере ИБ. – В будущее мы увидим намного большую интеграцию между подразделениями разработчиков и инженеров. У специалистов по кибербезопасности просто нет того знания о бизнесе, как у тех людей, которые создают бизнес».
Джон Чайлдрес, президент технологической и консультационной компании Cultursys, согласился с этим. «Технологии, операционная безопасность в масштабе предприятия и физическая безопасность – все это должно быть в распоряжении CISO, который связан со всеми элементами в компании, - сказал он, - безопасность должна занять свое место за столом. Зачастую безопасность является второстепенным вопросом при планировании». Кроме того, согласно Чайлдресу, бюджет часто бывает недостаточным для соответствующей минимизации рисков. «Безопасность говорит на языке технологий, а не на языке бизнеса, и это одна из проблем, - добавляет Чайлдрес, - Нужно формулировать проблемы кибербезопасности с точки зрения рисков и возможностей для бизнеса».
Том Айлюб, исполнительный директор Crossword Cybersecurity, также полагает, что команды DevOps и подразделения, ответственные за ИБ, должны быть объединены, но также необходим и отдельный контроль безопасности. «Важно присматривать за тем, что делают эти объединенные команды DevOps и специалистов по ИБ, - предупреждает он. – Компаниям потребуется кто-то, кто будет издалека присматривать за ними. Говоря в общем, подразделения, отвечающие за эксплуатацию, и команды разработчиков должны быть более осведомленными о вопросах безопасности. Эти сотрудники должны пройти обучение по кибербезопасности, и должен быть человек, который внимательно приглядывает за ними».
Взвесьте на чаше весов свои риски и желание минимизации последствий
Игнорирование рисков безопасности – это, за неимением лучшего слова, рискованно. «Неспособность оценки рисков безопасности представляет дополнительный риск, который скрыт под поверхностью, - сказал Ник Миллер из Aedile Consulting, работающей в сфере кибербезопасности. – Важно задавать правильные вопросы». «Бизнес должен оценивать свою склонность к риску, - добавил он, - соответствует ли эта склонность размеру компании, типу данных в компании, отрасли? Критически важным является хорошее понимание того, сколько риска мы принимаем в кибербезопасности и как он будет меняться с ростом вашей компании».
Работа CISO, CTO и директора по трансформации все чаще будет сводиться к одной роли согласно Майклу Филдхаусу, лидеру практики социального воздействия в DXC Technology. «Для поддержки цифровой трансформации, - сказал он, - компаниям нужна гибкая среда. Жизненно важным компонентом такой среды является доктрина безопасности. Это похоже на воспитание детей. Хотите ли вы, чтобы дети убегали и падали, а затем сами поднимались? Или вы хотите работать с установленными «защитными ограждениями»? Предпочитаете ли вы более организованный процесс? Для любой компании определение подходящего подхода и объема принимаемого риска является сложной задачей».
Сегодня полным ходом идет захват киберпространства, и на каждый забор, который вы установите (и неважно, насколько он инновационен) найдется свой злоумышленник, желающий перелезть через него. Защита своих границ на передовой линии через объединение функций эксплуатации и безопасности - это один из способов, как держать преступников на расстоянии.
Дэвид Питлик уже давно пишет о технологиях и бизнесе, в том числе и для блога NETSCOUT.
Примечание: информация в этой статье основана на интервью, проведенных корреспондентами Wall Street Journal в июне 2019 на форуме WSJ Pro Cybersecurity Executive Forum от имени NETSCOUT.
Посмотреть интервью с посетителями WSJPro Cybersecurity Executive Summit можно по ссылке.