Security aS a Service
Business Benefits with Security, Governance and Assurance Perspectives
Недавно глобальной ISACA была опубликована статья Security aS a Service (SecaaS), содержащая результаты исследования в этом быстро развивающемся направлении. Актуальность этой тематики несомненна - во всем мире наблюдается увеличение спектра и качества предоставляемых услуг в области информационной безопасности.
Традиционный подход создания собственных команд специалистов в рамках IT подразделений, как правило, уже не справляется с быстрым развитием и эволюцией угроз информационным активам компаний. В то же время SecaaS обещает предоставить компаниям все необходимые инструменты и компетенции для обеспечения защиты данных в полном объеме и масштабе, при этом уменьшая расходы и ресурсы, связанные с информационной безопасностью.
Однако все не так просто и радужно. Преимущества использования SecaaS тесно связаны с рисками, которые компании, готовые рассматривать подобную альтернативу, должны понимать и оценить свою готовность принять эти риски. Тем более, что использование третьей стороны для обеспечения критических сервисов потребует от компаний передачи части контроля, но при этом ответственность за информационную безопасность всегда остается за компанией, вне зависимости от того, где информация располагается, и кто ее контролирует.
«In the cloud-based world, enterprises cannot grant trust on the basis of advertising or sales claims. Trust must only come as the result of a reasoned analysis that takes into account all the physical, administrative and technical parameters that can support consistent and effective risk management.»
ISACA предлагает использовать исчерпывающий фреймворк COBIT 5 для того, чтобы определить функции, которых выиграют от перехода к SecaaS, а также оценить риски и ресурсы, необходимые для принятия взвешенного решения. Можно также использовать модель обеспечения качества услуг в COBIT 5 для выбора и проверки контролей защиты информационных активов.
Подробно результаты исследования, включая предлагаемые сервисы, описание преимуществ для бизнеса, связанные с этим риски и вопросы безопасности, а также возможные стратегии их снижения, доступны на сайте глобальной ISACA.
