Malgré l'existence d'une masse de mythes, la réponse à cette question est relativement sans ambiguïté. Avec quelques modifications, on se résume à la thèse : l'externalisation en cybersécurité, notamment services de détection et de réponse gérés, est beaucoup plus efficace et économique pour les entreprises que d'assurer l'ensemble du processus en général par les forces d'une structure interne spécialisée.
La tâche principale est de minimiser les coûts
Le mythe le plus persistant en matière de cybersécurité est associé à la notion de coûts, le problème le plus pressant et le plus urgent pour la haute direction : l'externalisation est toujours plus chère que d'avoir des spécialistes en interne. Dissiper ce mythe n'est pas si difficile. Continuons.
Il convient de commencer par le fait que la cybersécurité fonctionne aussi efficacement que possible exclusivement en connectant les personnes, la technologie et les processus. Ce n'est qu'ainsi, et pas autrement, qu'il est possible d'assurer un cycle complet de protection de l'entreprise contre les menaces externes et internes du cyberespace.
Lorsqu'elle décide d'allouer un budget à la cybersécurité, la direction de l'entreprise est souvent guidée par des concepts dépassés et fondamentalement incorrects. Seuls les investissements en capital clairs et prioritaires dans la technologie sont pris en compte. Après tout, comme il semble à première vue, le maillon le plus cher de cette chaîne est la technologie. Vous pouvez les sentir et au moins évaluer visuellement le résultat des dépenses financières. Aujourd'hui encore, pour beaucoup, le concept d'un projet de cybersécurité est associé à l'achat de systèmes de protection spécifiques, qui, en gros, doivent être achetés, installés et mis en œuvre. C'est la première et la plus importante des illusions.
L'achat d'une technologie est un investissement ponctuel. Autrement dit, un investissement raisonnable et compréhensible. Un peu gênant mais constant, et, par conséquent, les coûts de volume sont cachés plus profondément.
Les bonnes personnes sont l'investissement essentiel
Les gens sont l'actif commercial le plus cher et, en même temps, le plus précieux. Pour assurer le processus, il est crucial de comprendre : s'il est judicieux de former une équipe multidisciplinaire et hautement spécialisée au sein de l'entreprise (ce qui est précisément ce qu'elle devrait être dans les conditions actuelles d'une variété très complexe de technologies et de menaces) ou s'il est il est logique de confier ce processus en tout ou en partie à un exécuteur externe compétent qui de A à Z est construit et concentré sur la résolution de tels problèmes. En langage clair, externalisez et, en termes professionnels, inscrivez-vous aux services de sécurité gérés DR (détection et réponse).
C'est pourquoi il est important de calculer les coûts de manière complète et correcte au stade de la planification des investissements dans la cybersécurité. Vous devez tout d'abord prendre en compte non pas les investissements ponctuels dans les immobilisations, mais les coûts opérationnels futurs pour leur entretien. Il se traduit principalement par des investissements supplémentaires dans le personnel et sa formation. En ne considérant que les premiers, l'entreprise ne parvient pas à trouver le juste équilibre mais crée plutôt une efficacité de sécurité illusoire par l'accumulation de technologies. En même temps, le processus sous-jacent est contre-productif et le résultat est sans valeur.
De nombreuses entreprises sont arrivées à la même situation – elles sont envahies par des complexes de sécurité technologiques coûteux. Ils ne peuvent pas faire face à la charge de travail opérationnelle de leur maintenance. Ce n'est pas seulement une question de service, mais ce n'est pas seulement une question de service, mais ce n'est pas seulement une question de service. Il s'agit d'analyser et d'appliquer les résultats de tels systèmes pour améliorer le processus opérationnel. Il existe de nombreuses technologies, mais l'efficacité tend vers zéro.
Est-il sûr de remettre la sécurité entre les mains de quelqu'un d'autre ?
Le deuxième mythe persistant, logique, et peut-être au contraire illogique, surgit dans la situation de la sécurité de l'information et résonne le plus souvent sous la forme d'une question rhétorique : « Comment peut-on externaliser la sécurité si c'est la sécurité ? Mais attendez, vous n'externalisez pas vos soins de santé à la polyclinique ? Ne confiez-vous pas la garde de vos enfants à des baby-sitters ? Pour une raison quelconque, ces zones ne provoquent pas de débats aussi violents, des disputes, des doutes ou des pensées profondes. Cela en vaut la peine car un médecin est un spécialiste, et vous ne ferez pas toujours un diagnostic vous-même, et vous ne supprimerez pas l'appendicite. Bien qu'à première vue, il suffise d'acheter juste un scalpel, du coton et un pansement, mais ensuite ?
L'externalisation en cybersécurité n'est pas un exemple assez classique d'externalisation sous la forme d'un transfert complet de processus à un sous-traitant externe. C'est toujours une synergie des efforts du client avec les actions du fournisseur de sécurité. En plus de tout, l'ensemble du processus est strictement réglementé et consigné dans le SLA (accord de niveau de service), dont les garanties ne sont en aucun cas comparables au niveau de responsabilité d'un employé spécifique du personnel de l'entreprise.
Le plus souvent, on observe une situation où il y a « plusieurs opérateurs » dans l'entreprise, qui à la fois servent les systèmes et génèrent des rapports sur l'efficacité des processus. En d'autres termes, un spécialiste qui se fixe des tâches puis les exécute lui-même. Toutes les organisations, même les plus grandes, ne peuvent pas se permettre de maintenir une grande équipe de spécialistes et de gestionnaires de processus. Dans le même temps, il est tout simplement impossible d'évaluer objectivement les résultats d'un seul « multiprocesseur » sur lequel reposent tous les processus. Après tout, le plus souvent, la direction est loin d'être compétente en matière de cybersécurité. Personne n'évalue les risques qui se présentent dans ce cas, et les conséquences peuvent être déplorables.
Une entreprise à qui la sécurité est externalisée ne peut a priori nuire à l'activité du client, car il s'agit d'une question de réputation. De plus, dans les faits, les services de sécurité ne concernent pas directement les informations commerciales.
Dans le même temps, l'entreprise cliente bénéficie d'une protection complète contre les menaces 24h/7 et XNUMXj/XNUMX, des meilleures technologies à ce jour et d'une équipe de professionnels. Ce dernier est recruté précisément dans cette proportion et dans ce montant correspondant à l'étendue et à la spécificité des technologies requises pour une activité particulière.
L'urgence du choix est particulièrement pertinente à la lumière des événements récents. L'effondrement des systèmes de protection fragiles lui a fait réaliser à quel point il est important de former une sécurité à plusieurs niveaux et professionnelle. Les patchs faits maison ne fonctionnent pas. Des milliers d'entreprises ont eu l'occasion de le voir. La question de l'externalisation a disparu d'elle-même. La réponse est claire : attirer des spécialistes expérimentés et agir ici et maintenant est nécessaire.
Laissez un commentaire
Avez vous quelque chose à dire sur cet article? Ajoutez votre commentaire et lancez la discussion.