Terlepas dari keberadaan banyak mitos, jawaban atas pertanyaan ini relatif tidak ambigu. Dengan beberapa amandemen, itu bermuara pada tesis: outsourcing dalam keamanan cyber, khususnya layanan deteksi dan respons terkelola, jauh lebih efisien dan ekonomis untuk bisnis daripada memastikan seluruh proses secara umum oleh kekuatan struktur internal khusus.
Tugas Utamanya adalah Meminimalkan Biaya
Mitos yang paling gigih dalam keamanan siber dikaitkan dengan konsep biaya, masalah yang paling mendesak dan mendesak bagi manajemen puncak: outsourcing selalu lebih mahal daripada memiliki spesialis internal. Menghilangkan mitos ini tidak begitu sulit. Mari kita lanjutkan.
Perlu dimulai dengan fakta bahwa keamanan siber bekerja seefisien mungkin secara eksklusif dalam menghubungkan orang, teknologi, dan proses. Hanya dengan cara ini, dan bukan sebaliknya, adalah mungkin untuk memastikan siklus lengkap perlindungan perusahaan terhadap ancaman dunia maya eksternal dan internal.
Ketika memutuskan untuk mengalokasikan anggaran untuk keamanan siber, manajemen perusahaan sering kali dipandu oleh konsep yang ketinggalan zaman dan secara fundamental salah. Hanya investasi modal yang jelas dan prioritas dalam teknologi yang diperhitungkan. Lagi pula, seperti yang terlihat pada pandangan pertama, mata rantai paling mahal dalam rantai ini adalah teknologi. Anda dapat merasakannya dan setidaknya menilai secara visual hasil pengeluaran keuangan. Bahkan sekarang, bagi banyak orang, konsep proyek keamanan siber dikaitkan dengan pembelian sistem perlindungan khusus, yang, secara kasar, harus dibeli, dipasang, dan diterapkan. Ini adalah delusi pertama dan utama.
Membeli teknologi adalah investasi satu kali. Dengan kata lain, investasi yang wajar dan dapat dipahami. Agak merepotkan tetapi konstan, dan, akibatnya, biaya volume tersembunyi lebih dalam.
Orang yang Tepat adalah Investasi Penting
Orang adalah yang paling mahal dan, pada saat yang sama, aset bisnis yang paling berharga. Untuk memastikan prosesnya, sangat penting untuk memahami: apakah masuk akal untuk membentuk tim multidisiplin dan sangat terspesialisasi dalam perusahaan (yang persis seperti yang seharusnya dalam kondisi saat ini dari berbagai teknologi dan ancaman yang sangat kompleks) atau apakah itu masuk akal untuk mempercayakan proses ini secara keseluruhan atau sebagian kepada pelaksana kompeten eksternal yang dari A sampai Z dibangun dan fokus pada pemecahan masalah tersebut. Dalam bahasa sederhana, outsourcing, dan dalam istilah profesional, mendaftar untuk layanan DR (deteksi dan respons) keamanan terkelola.
Itulah mengapa penting untuk menghitung biaya secara komprehensif dan benar pada tahap perencanaan investasi keamanan siber. Anda harus mempertimbangkan, pertama-tama, bukan investasi satu kali dalam aset tetap, tetapi biaya operasional di masa mendatang untuk pemeliharaannya. Ini terutama menghasilkan investasi tambahan dalam personel dan pelatihan mereka. Dengan hanya mempertimbangkan yang pertama, perusahaan gagal mencapai keseimbangan yang tepat tetapi malah menciptakan efisiensi keamanan ilusi melalui akumulasi teknologi. Pada saat yang sama, proses yang mendasarinya kontraproduktif, dan hasilnya tidak berharga.
Banyak perusahaan mengalami situasi yang sama – mereka ditumbuhi kompleks keamanan teknologi yang mahal. Mereka tidak dapat mengatasi beban kerja operasional pemeliharaan mereka. Ini bukan hanya tentang layanan, tetapi ini bukan hanya tentang layanan, tetapi ini bukan hanya tentang layanan. Intinya adalah menganalisis dan menerapkan hasil sistem tersebut untuk meningkatkan proses operasional. Ada banyak teknologi, tetapi efisiensi menuju nol.
Apakah Aman Menyerahkan Keamanan ke Tangan Orang Lain?
Mitos persisten kedua, yang logis, dan mungkin, sebaliknya, tidak logis, muncul dalam situasi keamanan informasi dan paling sering terdengar dalam bentuk pertanyaan retoris: "Bagaimana kita bisa mengalihdayakan keamanan jika itu adalah keamanan?" Tapi tunggu, bukankah Anda mengalihdayakan perawatan kesehatan Anda di poliklinik? Apakah Anda tidak mengalihdayakan perawatan anak-anak Anda ke babysitter? Untuk beberapa alasan, area-area ini tidak menyebabkan perdebatan sengit, perselisihan, keraguan, atau pemikiran yang mendalam. Itu sangat berharga karena dokter adalah spesialis, dan Anda tidak akan selalu membuat diagnosis sendiri, dan Anda tidak akan menghilangkan radang usus buntu. Meskipun sekilas cukup membeli pisau bedah, kapas, dan perban, tetapi apa selanjutnya?
Pengalihdayaan dalam keamanan siber bukanlah contoh klasik pengalihdayaan dalam bentuk transfer proses yang lengkap ke kontraktor eksternal. Itu selalu merupakan sinergi dari upaya pelanggan bersama dengan tindakan penyedia keamanan. Selain semuanya, seluruh proses diatur dan dicatat secara ketat dalam SLA (perjanjian tingkat layanan), yang jaminannya sama sekali tidak sebanding dengan tingkat tanggung jawab karyawan tertentu dari staf perusahaan.
Paling sering, kami mengamati situasi di mana ada "beberapa operator" di perusahaan, yang melayani sistem dan menghasilkan laporan tentang efisiensi proses. Dengan kata lain, seorang spesialis yang menetapkan tugas untuk diri mereka sendiri kemudian melakukannya sendiri. Tidak setiap organisasi, bahkan yang besar, mampu mempertahankan tim spesialis dan manajer proses yang besar. Pada saat yang sama, tidak mungkin untuk secara objektif mengevaluasi hasil dari satu "multi-prosesor" yang menjadi dasar semua proses. Lagi pula, paling sering, manajemen jauh dari kompeten dalam masalah keamanan siber. Tidak ada yang menilai risiko yang muncul dalam kasus ini, dan konsekuensinya bisa menyedihkan.
Perusahaan yang keamanannya di-outsource tidak dapat secara apriori merugikan bisnis klien, karena ini adalah masalah reputasi. Selain itu, pada kenyataannya, layanan keamanan tidak secara langsung berkaitan dengan informasi komersial.
Pada saat yang sama, perusahaan pelanggan menerima perlindungan skala penuh terhadap ancaman 24/7, teknologi terbaik hingga saat ini, dan tim profesional yang memiliki staf. Yang terakhir direkrut tepat dalam proporsi itu dan dalam jumlah yang sesuai dengan ruang lingkup dan kekhususan teknologi yang diperlukan untuk bisnis tertentu.
Urgensi pilihan sangat relevan mengingat peristiwa baru-baru ini. Runtuhnya sistem proteksi yang rapuh menyadarkan betapa pentingnya membentuk keamanan multi-level dan profesional. Tambalan buatan sendiri tidak berfungsi. Ribuan perusahaan memiliki kesempatan untuk melihat ini. Pertanyaan tentang outsourcing menghilang dengan sendirinya. Jawabannya jelas: menarik spesialis berpengalaman dan bertindak di sini dan sekarang diperlukan.
Tinggalkan komentar
Memiliki sesuatu untuk dikatakan tentang artikel ini? Tambahkan komentar Anda dan mulai diskusi.