Цифровая трансформация становится неотъемлемой частью многих бизнес-инициатив, и, конечно же, безопасность является одним из главных приоритетов. Можно подумать, что две такие важные области будут существовать в тесной гармонии, но это не всегда так. В эпоху цифровой трансформации безопасность может остаться позади. Итак, что могут сделать компании, чтобы обеспечить защиту цифровых инициатив с самого начала? Что нужно учитывать? Эти и другие актуальные вопросы мы рассмотрим сегодня в статье:
Почему так важно с самого начала проектировать безопасность в цифровую трансформацию?
Для начала стоит прояснить, когда вы разрабатываете программы безопасности, которые вписываются непосредственно в инициативы по трансформации бизнеса, скорость бизнеса не затрагивается, поскольку безопасность - это часть процесса, а не сущность, основанная на фактах. Если команда безопасности вовлекается в процесс разработки программного обеспечения в конце цикла и выявляет проблему безопасности, команде разработчиков необходимо будет вернуться, заново открыть написанный код и обновить свою память в соответствии с логикой, которую они создавали. Все это ненужное занятие тратит время и ресурсы. Благодаря заранее встроенной в эти процессы программы безопасности, необходимые исправления могут быть внесены в режиме реального времени.
Расширяет ли тенденция к цифровой трансформации поверхность потенциальной атаки?
Да! Исследование, проведенное Институтом Ponemon и ServiceNow, отмечает, что 60 процентов организаций, которые пострадали от утечки данных за последние пару лет, назвали виновника уязвимостью, которую не удалось устранить. Даже в самых маловероятных организациях, которые сейчас разрабатывают программное обеспечение, очень важно, чтобы каждая отдельная строка кода была защищена до начала производства для защиты активов организации и ограничения рисков.
Каждый раз, когда новая строка кода попадает в производственную среду, поверхность атаки расширяется, поскольку это еще одна строка кода, которую хитрые хакеры могут использовать и исследовать, чтобы найти легкую точку входа в организацию. Буквально миллионы строк кода разрабатываются каждый год, чтобы повысить ценность для клиентов и бизнеса, а объем выталкиваемого кода растет в геометрической прогрессии благодаря цифровой трансформации. Эта реальность должна усилить необходимость превратить безопасность в заблаговременный процесс.
Как организации могут преодолеть разрыв между командами безопасности и разработки?
Оба департамента должны быть заинтересованы в достижении успеха, для этого необходимо полностью понять потребности другого. В настоящее время между этими двумя командами возникают большие разногласия - в основном из-за того, что разработчики находятся в организации, чтобы быстро создавать и перемещаться - а группы безопасности обычно привлекаются в неподходящее время, чтобы помочь устранить любые обнаруженные уязвимости. Это существенно прерывает рабочий процесс команды разработчиков, вызывая трения.
Ключом к устранению этого трения является проектирование безопасности в процессах разработки с самого начала. Вместо того, чтобы отделять команды, организациям необходимо переосмыслить способы развертывания людей, процессов и технологий для создания единой среды, обеспечивающей беспрепятственное сотрудничество.
Какое влияние оказывает новое законодательство о конфиденциальности на проекты цифровой трансформации?
Нет никаких сомнений в том, что законодательство о конфиденциальности влияет на проекты цифровой трансформации и на бизнес в целом. Что касается проектов цифровой трансформации, предприятия должны подумать о том, какие данные им необходимо собирать, чтобы обеспечить ценность для своих клиентов и рынка, а затем обеспечить наличие хороших политик управления данными для их поддержки.
Понятно, что данные являются невероятно мощным инструментом для бизнеса, но если компания очень беспокоится о конфиденциальности, они просто не должны брать и хранить данные, которые им не нужны. Тем не менее, те, кто предлагает услуги, как правило, должны иметь персональные данные, поэтому необходимы зрелые структуры управления данными.
Рост правительственных постановлений также является важным фактором для более безопасного программного обеспечения. С бесчисленными громкими нарушениями, непосредственно связанными с уязвимостями в программном обеспечении, ясно, что программное обеспечение является одним из главных путей, с помощью которых хакеры стремятся закрепиться в организациях. Когда это происходит, и у предприятия украдены данные, конфиденциальность нарушается, и регулирующие органы могут серьезно пострадать.
Какие вопросы следует задавать предприятиям при освоении новой технологии?
Прежде чем внедрять какую-либо новую технологию, предприятия должны тщательно оценить ее с точки зрения безопасности, чтобы понять, как выглядит программа безопасности поставщика. В качестве отправной точки лидеры бизнеса должны искать ответы на такие вопросы, как: Есть ли какие-либо уязвимости в их коде? Есть ли в бизнесе надежные программы кибергигиены? Каковы их возможности реагирования в случае нарушения? Соответствуют ли их процессы и нормативные требования требованиям моего бизнеса?
По сути, бизнес должен рассматривать и проверять любую новую технологию через призму безопасности, чтобы получить полную картину любого риска, который может возникнуть при внедрении. Если опытный член команды безопасности дает ему A + с точки зрения безопасности, отлично. Но любая другая оценка должна быть немедленным красным сигналом, означающим, что пришло время пересмотреть, стоит ли инвестировать в новую технологию.