Orientovať sa v zložitom labyrinte, ktorý predstavuje trh dodávateľov kybernetickej bezpečnosti, je náročné - a rozhodne to nebude jednoduchšie. Každý rok sa objavuje viacero dodávateľov, ktorí sa uchádzajú o pozornosť zákazníkov a tvrdia, že využívajú najnovšie technológie, ktoré ponúkajú najlepšiu obranu proti minulým, súčasným i budúcim kybernetickým hrozbám.
V mnohých organizáciách, najmä v tých, ktoré nemajú dostatočne široké odborné znalosti v oblasti kybernetickej bezpečnosti, môže byť správna voľba náročná a môže viesť k nerozhodnosti. Oddelenia IT sú preťažené a zamestnanci sú často prepracovaní a nemajú dostatok zdrojov. Na vedúcich pracovníkov v oblasti IT, alebo kybernetickej bezpečnosti, je vyvíjaný obrovský tlak, aby ochránili svoju organizáciu pred ransomwarom, cielenými phishingovými útokmi a mobilnými hrozbami. Kde majú začať a čo presne potrebujú? To sú len niektoré z otázok, s ktorými sa musí vysporiadať.
Ak sa rozhodnú zle, môžu sa ocitnúť v situácii, keď budú viazaní ročnou (alebo dlhšou) zmluvou s riešením, ktoré nespĺňa to, čo sľubuje. Tento pesimistický scenár nie je len hypotetický. Podľa našej nedávnej správy Cybersecurity Assessment Report 54 % respondentov uviedlo, že len v tomto roku zakúpili nástroj kybernetickej bezpečnosti, ktorý nenaplnil svoje marketingové sľuby.
Ako sa teda môžete stať informovanejším zákazníkom, dopytujúcim riešenie kybernetickej bezpečnosti? Tento článok ponúka poznatky o niektorých kľúčových aspektoch pri výbere nástroja kybernetickej bezpečnosti a poskytuje užitočné tipy, ktoré vám pomôžu urobiť kvalifikované rozhodnutia, ktoré skutočne prispejú k posilneniu kybernetickej ochrany vašej organizácie.
Problém: Neviete, čo potrebujete
Jedným z problémov, s ktorými sa organizácie pri nákupe nástrojov kybernetickej bezpečnosti často stretávajú je, že nemajú jasno o vlastných potrebách organizácie. Napríklad, sú zamestnanci prevažne vzdialení alebo hybridní? Kde sú uložené najkritickejšie informácie a aké typy ochranných opatrení sú už zavedené. A aké investície do IT už boli vykonané a bude treba ich zohľadniť? Ak ste nevykonali zodpovedajúce interné posúdenie, možno ani neviete, aké máte potreby a nakoniec môžete kúpiť nástroj, ktorý nemusí nutne vyhovovať vašej organizácii, alebo je dokonca pre vašu infraštruktúru kybernetickej bezpečnosti vyložene nevhodný.
Tento problém môže byť ešte zhoršený marketingovým reklamným tlakom, ktorý mnohé produkty kybernetickej bezpečnosti sprevádzajú. Predajcovia často využívajú "módne slová", technický žargón a prehnane sľubujú funkcie a výhody svojho produktu alebo služby. Kupujúci IT s minimálnymi skúsenosťami s kybernetickou bezpečnosťou môžu nakoniec uveriť týmto reklamným trikom a nakoniec si zaobstarať nevhodný nástroj. Pre iné organizácie môže byť nástroj úplne vyhovujúci, ale jeho súbor funkcií sa nebude uplatňovať v praktických každodenných činnostiach, ktoré vaša organizácia potrebuje. Skončíte s nástrojom, ktorý je v lepšom nevhodný a ťažko využiteľný, a v horšom prípade prakticky nepoužiteľný. Spýtajte sa ktoréhokoľvek skúseného odborníka na bezpečnosť IT a pravdepodobne budete počuť nejakú peknú historku o tom, ako sa z vychvaľovaného produktu stal "shelfware".
Problém: Nákup prehnaného marketingu
Ďalším významným úskalím, ktorému sa organizácia musí pri orientácii na trhu kybernetickej bezpečnosti vyhnúť, je podľahnutie prehnanému marketingu. Hovorili sme o tom, že to môže viesť
k výberu nástroja, ktorý nie je pre organizáciu vhodný, ale existuje aj riziko výberu vyložene zlého dodávateľa alebo preplatenie priemerného nástroja, čo môže mať interné dôsledky pre organizáciu, ktoré prekračujú rámec samotného vplyvu na rozpočet.
Odvetvie dodávateľov kybernetickej bezpečnosti prosperuje z technologických inovácií a často naskakuje na najnovšie módne slová ako "deep learning", "machine learning", "next-gen", "AI-powered" a podobne, aby si udržalo svoju relevanciu. Aj pre skúsených nákupcov IT môže byť ťažké rozlúštiť, čo tieto pojmy vlastne znamenajú. Pre neskúsených nákupcov je to problém ešte väčší.
Niektorí dodávatelia môžu tiež preháňať možnosti svojich nástrojov a tvrdiť, že ich produkty sú vybavené určitými funkciami, možnosťami alebo integráciami, ktoré neexistujú, nefungujú tak, ako je inzerované, alebo sú doplnené ďalšími podmienkami, o ktorých ste nevedeli. V dôsledku toho môžu organizácie nakoniec zakúpiť produkt, ktorý sa zásadne líši od toho, čo im bolo ponúknuté.
Nakoniec organizácii zostane nástroj kybernetickej bezpečnosti, ktorý len málo prispieva k zlepšeniu kybernetickej odolnosti a bezpečnostnej situácie. Stáva sa z neho zbytočná investícia - stoja peniaze a zdroje, ale jeho prínos je minimálny.
Záverom je, že je potrebné sa uistiť, či vediete so zástupcami potenciálneho dodávateľa správnu konverzáciu, aby ste získali čo najviac informácií o tom, ako ich nástroj funguje a ako sa ich marketingové termíny skutočne vzťahujú k vlastnostiam a prínosu produktu. Je tiež dôležité vykonať overenie konceptu (POC) vo vašom prostredí, aby ste zistili, ako technológia skutočne funguje. Táto hĺbková kontrola je kľúčom k tomu, aby sa vám investícia do nástrojov kybernetickej bezpečnosti vyplatila.
Problém: Nedostatočná aktivita vašej organizácie/oddelenia
Efektivita nástroja nie je len o jeho individuálnych schopnostiach, ale závisí aj od toho, ako dobre je využívaný v kontexte vašej organizácie. Mať aktívne zapojené oddelenie alebo organizáciu, ktorá dokáže nový nástroj maximálne využiť, je kľúčové najmä pokiaľ ide o nástroj so širokým dosahom naprieč celou organizáciou.
Niektoré nástroje kybernetickej bezpečnosti môžu dosahovať vynikajúce výsledky, ale na ich efektívnu obsluhu sú potrebné špecifické zručnosti alebo dostatočne veľký tím. Napríklad nástroj využívajúci pokročilé strojové učenie môže vyžadovať, aby používatelia rozumeli určitým konceptom umelej inteligencie, aby ho mohli efektívne nakonfigurovať. Ak tímu tieto znalosti chýbajú, môže mať problémy s vhodným používaním nástroja. Takmer 40 % respondentov v našej správe o Cybersecurity Assessment uviedlo, že nedostatok interných zručností vedie k tomu, že nástroj kybernetickej bezpečnosti nemá z hľadiska bezpečnosti maximálnu úžitkovú hodnotu, pričom viac ako 40 % respondentov uviedlo ako dôvod jeho zložitosť.
Nie je však dôležité iba zabezpečiť, aby vaše oddelenie mohlo nástroj plne využívať, ale pre optimálnu implementáciu je nutné vybudovať kultúru kybernetickej bezpečnosti v rámci celej organizácie. Zvážte nasledujúci scenár: zakúpite nový nástroj kybernetickej bezpečnosti bez účasti tímu IT. Keď dôjde na implementáciu, dostanete spätnú väzbu, nástroj nie je dobre prijatý a trvá potom mesiace, kým začne vo vašej organizácii skutočne fungovať.
Ak ste však vo svojej organizácii vybudovali kultúru bezpečnosti a do procesu nákupu zapojíte kľúčové zúčastnené strany, budete môcť lepšie využiť akékoľvek nástroje a zároveň budete mať podporu externých oddelení.
Ako sa vedúci oddelenia môžu stať lepšími obstarávateľmi IT zákaziek
Efektivita a spoľahlivosť nástroja kybernetickej bezpečnosti závisí nielen od jeho vlastných schopností, ale aj od ľudí a procesov, ktoré za ním stoja. Organizácia preto musí zabezpečiť, aby mali k dispozícii zdroje a to tak z hľadiska personálu, ako aj z hľadiska zručností, ktoré im umožnia pracovať s nástrojmi, do ktorých investujú. Tu sú niektoré z kľúčových poznatkov, ktoré môžu vašu organizáciu pripraviť na to, aby sa stala lepším zadávateľom IT zákaziek.
Stanovte si priority interného hodnotenia kybernetickej bezpečnosti - Než začnete hľadať nástroje, ujasnite si, čo vaša spoločnosť potrebuje a čo vaše oddelenie zvládne, pomôže vám to zúžiť okruh hľadania.
Vytvorenie kultúry bezpečnosti pre lepšiu integráciu - To zaistí, že vaše nástroje budú správne integrované a že vedúci oddelenia budú presadzovať používanie všetkých nástrojov a nadväzujúcich procesov.
Váhate, či je pre Vašu organizáciu alebo firmu Bitdefender riešenie to pravé? Naši experti Vám radi poradia, stačí si rezervovať konzultáciu prostredníctvom nášho formulára.