Преди години, когато ERP системите набираха популярност, компаниите уверяваха бизнеса, че „трябва да преработи своите бизнес-процеси, за да внедри ERP“. Днес, с възхода на управляваните услуги за сигурност, организациите отново трябва да променят себе си: да преработят своите практики за информационна сигурност. Ако бизнесът иска да минимизира рисковете и да остане на върха на технологиите, трябва да следва препоръките на професионалистите, които постоянно развиват и надграждат уменията си в киберсигурността, сподели в интервю Максим Акимов, мениджър дистрибуторски продажби за Северна, Централна и Източна Европа в N-able. Компанията е световен лидер в предлагането на интегрирани решения за доставчици на управлявани услуги.
Г-н Акимов, киберсигурността изглежда като безкрайно предизвикателство за бизнеса. Кои са най-големите проблеми, с които компаниите се борят?
Проблем, който започва да избледнява, но все още се сблъскваме с него, е, че някои от по-малките фирми все още вярват, че не са мишена за киберпрестъпниците. Те смятат, че нямат много стойност, която може да да бъде открадната. Това е толкова далеч от реалността! Фирмените и клиентските данни са един от най-ценните активи, които бизнесът притежава – и независимо от размера на компанията те „хващат окото” на киберпрестъпниците.
Фишинг, зловреден софтуер, атаки от типа „нулев ден” и уязвимости на приложенията представляват заплаха за малкия и среден бизнес.
Много собственици на фирми днес имат правилно разбиране за сигурността на своя бизнес и търсят насоки от доставчиците на управляеми услуги (MSP). Никога не е имало по-важен момент да държим на киберхигиената. За предотвратяването на кибератаките е ключово да спазваме основните правила.
Препъникамък често може да е инвестицията, необходима за достигане на минималния стандарт за сигурност и намаляване на рисковете. MSP трябва да могат да обучат клиентите и да планират правилния процес, за да насочат тези организации към по-голяма степен на сигурност. Сигурността е партньорство, а не еднопосочна улица.
Екипите по информационна сигурност и ръководителите им, CISO, претърпяха тежко прегаряне по време на пандемията. Каква е текущата ситуация?
CISO трябва да продължат да гледат в бъдещето, за да осигурят правилните мерки за сигурност, които смекчават както днешните, така и утрешните заплахи – както за тяхната организация, така и за нейните клиенти. Атаките са по-усъвършенствани от всякога. Затова, за да сме пред тенденциите, най-добре е хората да загърбят конкуренцията и да работят заедно, за да се борят с общия враг. Мисля, че е необходимо всички да се учим един от друг.
Недостигът на умения засяга всички. Но тук, в N-able, ние се справяме с него, като създаваме фирмена култура, която хората намират за привлекателна. Служителите ще останат във фирмата само ако виждат добра кариерна стълбица за себе си. Това означава, че хората могат да растат и да постигат успех в организацията. Да гарантираме, че служителите израстват в рамките на организацията, и да им даваме ясна кариерна пътека напред – това ни помага да намираме хора за всички роли, вместо да чакаме правилните хора да искат да сменят ролите си.
Управляемите услуги би трябвало да разтоварят голяма част от рутинните задачи, с които се занимават екипите за информационна сигурност. В действителност много експерти по информационна сигурност се боят, че управляемите услуги ще отнемат работата им. Каква е реалността?
Има няколко фактора, които фирмите вземат предвид, когато решават дали да възложат или не ИТ дейностите и ИТ сигурността на външен доставчик. Повечето от тях могат да бъдат обобщени в три големи групи: цена на аутсорсинга в сравнение с цената на вътрешните ИТ; способността на външния доставчик да свърши добре работата, като се грижи за текущата ИТ настройка; готовността на MSP да поддържа планираните растеж и трансформация.
И в трите области MSP се развиват много по-бързо от вътрешните ИТ екипи. Според скорошни проучвания, американските компании виждат спад в разходите за ИТ с близо 25%, след като възложат своите ИТ дейности на външни доставчици на услуги. В Европа това спестяване все още може да не е толкова значително, но повишаването на заплатите, нарастването на сложността на ИТ и повишаването на ефективността на MSP правят така, че то нараства всяка година.
Трудно е да се сравни нивото на професионална експертиза на MSP и на вътрешните ИТ екипи във всеки отделен случай. Но ако погледнем тенденциите, става ясно, че общността на MSP развива своите умения и способности много по-бързо от вътрешните организации за ИТ сигурност поради по-заострения фокус и естеството на бизнес-модела.
Що се отнася до способността да подкрепят трансформацията, MSP могат да бъдат добър партньор в подкрепа на промените, но също така и доверен съветник, управляващ тези промени въз основа на богат опит в индустрията. Ако е избран правилният MSP, разбира се.
Не мога да кажа, че утре всички клиенти – нито дори по-голямата част от клиентите – ще се отърват тотално от служителите по вътрешна ИТ сигурност в полза на услугите на MSP. Но, според мен, броят на тези клиенти определено ще расте.
Как компаниите трябва да оценят и планират партньорството с MSP, преди да пристъпят към него?
Компаниите избират MSP с идеята за дългосрочни взаимоотношения. Ето защо е важно да положат усилие и да си свършат добре работата, преди да навлязат в подобно партньорство, за да са сигурни, че „бракът“ няма да се разпадне по никое време.
Бизнесът трябва да започне с оценка и документиране на своите вътрешни процеси и работни потоци, за да се увери, че бъдещите MSP партньори разбират ключовите пречки, болезнените точки и областите за подобрение.
Наред с това бизнесът трябва ясно да дефинира своите бизнес-цели и визия за следващите няколко години. Това е необходимо, защото MSP трябва да бъде подготвен да подкрепи тези промени и да ги реализира от гледна точка на ИТ средата.
И накрая, фирмите трябва да определят как ще бъдат разпределени отговорностите между MSP и вътрешните ИТ хора – и къде е границата.
Всички тези неща ще помогнат на бизнеса да бъде подготвен за сътрудничество с MSP, но също и да избере правилния MSP, защото ако някой не е готов да обсъжда партньорството в такива условия и подробности, не би бил правилният вариант.
Трябва ли организациите да преработят своите практики за сигурност?
Адаптирането на бизнес-практиките и процесите към изискванията за ИТ сигурност е обща тенденция. Свързана е с повишеното разчитане на ИТ, от една страна, и с нарастването на ИТ заплахите, от друга.
Днес вътрешните ИТ организации предоставят информация въз основа на най-добрите практики за ИТ сигурност и развиващите се регулации. Утре това може да бъде MSP. Но резултатът е все същият – ако бизнесът иска да минимизира рисковете и да остане на върха на технологиите, трябва да следва препоръките на професионалисти, които прекарват часове всеки ден в изучаване на най-добрите практики и нови инструменти, без значение къде работят тези професионалисти – в организацията или в MSP компанията.
За какви потенциални грешки трябва да внимават организациите при избора на MSP?
Темата за избора на правилния MSP за даден бизнес е голяма. Като цяло повечето от най-добрите MSP имат много общи черти – те предлагат цялостни управлявани услуги, могат да опишат подробно своя обхват на работа и граници на отговорност. Говорят предимно за своите процеси, а не за основните технологии. Имат голям набор от доволни клиенти, които са готови да предоставят препоръки.
Но номерът е да изберете не просто „добър“ MSP, а този, който е най-подходящ за конкретния случай. И най-голямата грешка, която бизнесът може да направи тук, е да не си напише “домашното” – а това е да идентифицира какви точно рискове и какви точно болежки иска да пребори – и да не ги съпостави с уменията и способностите на MSP.
Ами ако работите в регулирана индустрия като здравеопазването? Трябва да се уверите, че MSP разбира нормативните изисквания и практики и има клиенти с подобни нужди. Ами ако вашият бизнес силно зависи от продължителността на работа на вашата инфраструктура? Проверете условията на SLA и избягвайте MSP, предлагащи договори тип срив/поправка. Работите ли с големи количества чувствителни данни? Попитайте за честотата на архивиране и процедурата за връщане назад.
Все повече организации избират MSP партньори по отношение на ИТ сигурността, но самите MSP все повече се превръщат в мишена за киберпрестъпниците. Как MSP се справят с тази тенденция?
За съжаление, никой не може да се чувства напълно сигурно в съвременния свят на непрекъснато нарастващи и еволюиращи киберзаплахи. Предимството, което имат MSP, е нивото на информираност. Това се дължи на постоянното излагане на реални инциденти и техните последствия. Всеки ден им се налага да се справят със злонамерен софтуер, фишинг, DoS и вътрешни атаки. Затова те знаят точно колко реални са тези заплахи и каква може да бъде цената на небрежността, неосведомеността и неподготвеността.
Според статистиката, около 60% от малките и средни компании спират дейността си в рамките на 6 месеца след претърпяване на кибератака. За MSP този процент се очаква да бъде още по-висок. Така че няма избор за MSP – ако искат да останат в бизнеса, те трябва да разширят своя опит и да го използват, за да защитят първо себе си. И MSP знаят това.
Никой доставчик не може да предложи добри услуги за сигурност, без да разполага с „правилните“ хора. Как вие в N-able се грижите за служителите си?
Ние в N-able се гордеем със създаването на култура от световна класа, където хората са в центъра на вниманието. Знаем, че когато се грижим за нашите способни хора, те ще могат да влагат най-добре енергията си в работа всеки ден и да фокусират времето и вниманието си върху нашите клиенти.
В N-able екипът по грижа за кадрите умишлено очертава определящите моменти от жизнения цикъл на нашите служители и посочва как нашите ценности подкрепят всяка стъпка от това пътуване. От привличането и наемането през адаптирането и интегрирането до ангажираността и принадлежността – нашите основни ценности служат като наши ръководни принципи и ни помагат да управляваме своите решения и действия за всичко, което правим.
КОМПЮТЪР 2000 България е ексклузивен дистрибутор на N-able за България и Румъния. Тази година спечели наградата “N–able Best Newcomer 2022″ сред всички световни дистрибутори на N–able.