При федеративном подходе руководители служб информационной безопасности (CISO) устанавливают общекорпоративную политику и стратегию управления рисками, в то время как владельцы данных отвечают за внедрение мер безопасности, пишет на портале The New Stack Джош Лемос, CISO компании GitLab.

ИБ-руководители предприятий оказались на распутье. Их бюджеты растут недостаточно быстро, ИИ поглощает все корпоративные данные, а программные среды, за которые отвечают CISO, становятся все более разнообразными и динамичными.

И еще одна плохая новость: эти проблемы нельзя решить, нанимая больше людей, покупая больше инструментов или работая дольше. Традиционная централизованная модель безопасности больше не масштабируется. Вместо этого CISO теперь должны распределить модель безопасности между владельцами бизнеса, которые находятся ближе всего к местам возникновения рисков. Короче говоря, CISO необходимо принять федеративную модель управления безопасностью.

Хорошая новость заключается в том, что при федеративном подходе CISO могут устанавливать общекорпоративную политику и стратегию управления рисками, в то время как владельцы данных и технические команды отвечают за внедрение мер безопасности в своих бизнес-подразделениях. Это обеспечивает централизованное управление, гарантируя при этом эффективное внедрение политик.

Федерализация обеспечивает гибкость и масштабируемость

Традиционные модели безопасности требуют от CISO экспертных знаний о самых разных бизнес-подразделениях и функциях со своими наборами проблем. Требования к защите данных, местные правила и соответствие отраслевым нормам могут сильно различаться в разных бизнес-подразделениях и операционных структурах.

В отличие от этого, федеративная модель предполагает, что руководители бизнес-подразделений лучше всех понимают нюансы своих подразделений. При наличии соответствующих структур их специализированные знания помогают им внедрять стратегии безопасности, соответствующие их контексту.

При федеративном подходе организации могут немедленно получить три мощных преимущества:

  1. Контекстно-ориентированная безопасность минимизирует трение. В федеративной модели решения по безопасности принимаются быстрее, поскольку они принимаются ближе к месту событий. Когда команда разработчиков хочет развернуть новый API для взаимодействия с клиентами, ей не нужно ждать три недели для проверки безопасности. Ответственный за безопасность, который уже понимает модель данных и требования соответствия, может утвердить его в течение 48 часов.
  2. Гибкие политики ускоряют внедрение технологий. При федеративном управлении CISO может устанавливать общие организационные стандарты для внедрения технологии, в то время как его технические партнеры в бизнесе отвечают за реализацию. Сегодня централизованный подход может означать полный запрет ИИ-помощника по кодированию, поскольку он может раскрыть конфиденциальные данные. В федеративной модели CISO устанавливает политику, согласно которой инструменты ИИ не должны передавать код, содержащий данные клиентов или регулируемые данные, а затем бизнес-подразделения внедряют соответствующие меры контроля.
  3. Масштабируемая безопасность обеспечивает рост организации. Приобретения, запуск новых продуктов и географическое расширение увеличивают нагрузку на централизованные команды безопасности. Например, экспансия в Европу означает, что они должны стать экспертами в GDPR, местных законах о данных и региональной облачной инфраструктуре. В федеративной модели CISO устанавливает глобальные стандарты классификации и защиты данных, в то время как региональные ИТ-руководители внедряют меры контроля, соответствующие их регионам. Это позволяет бизнес-подразделениям действовать гораздо быстрее, сохраняя при этом единый уровень безопасности.

Когда федерализация становится проблемой

Однако организации могут испытывать трудности с этим более распределенным подходом к безопасности. Если на предприятии существует множество разрозненных подразделений, жесткая структура и иерархическая культура управления, федерализация будет непростой задачей.

Для этого перехода требуется новый подход, основанный на принципе общей ответственности. Руководители служб безопасности должны работать совместно со своими коллегами в бизнес-подразделениях, чтобы обеспечить гладкое внедрение новых политик и фреймворков. Стандарты и политики должны учитывать реалии современных технологических стеков, а не просто пытаться насильно привести их в соответствие.

На практике это может выглядеть очень похоже на то, что сделала команда безопасности Netflix со своей философией «Мощеные дороги». Она добилась успеха во внедрении политик, сделав безопасные варианты наиболее простыми для разработчиков.

Помимо инженерного аспекта, общеорганизационные стандарты должны обеспечивать гибкость. Избегайте чрезмерной специфичности стандартов, чтобы они оставались актуальными для каждого бизнес-подразделения. Партнеры из бизнес-подразделений должны гарантировать, что структуры контроля соответствуют их классификации данных и общим политикам организации. Внедрение процесса самостоятельного реагирования на исключения из рисков также может упростить работу подразделений в особых ситуациях, с учетом рисков и последствий.

При этом безопасность не будет излишне препятствовать функционированию бизнес-подразделений. Напротив, она ускорит внедрение технологий и поможет подразделениям быстрее и эффективнее достигать своих бизнес-целей.

Рентабельность инвестиций в федерализацию

Руководство высшего звена и советы директоров будут продолжать оценивать инвестиции в безопасность, исходя из ее способности компенсировать риски, одновременно продвигая бизнес-цели организации. Давление на CISO с целью обеспечения рентабельности инвестиций и снижения рисков останется высоким в 2026-м и в последующие годы. Федерализация позволит им более эффективно обеспечивать бизнес-результаты, одновременно рассматривая организационные риски в более широком контексте.

Необходимость в новом подходе является неотложной. Системы ИИ становятся все более автономными и взаимосвязанными, создавая обширную и постоянно растущую поверхность атаки. Многие из этих систем уже давно выходят за рамки возможностей любой централизованной команды по эффективному управлению. В этой среде федерализация в области кибербезопасности является необходимостью.

Федерализация также изменит то, как предприятия организуют, бюджетируют и реализуют программы безопасности. Для крупных, сложных организаций получение стратегического преимущества будет зависеть от того, насколько быстро они внедрят федеративный подход и примут более ориентированную на сотрудничество, распределенную культуру безопасности. Без этого их команды безопасности останутся узким местом. С федерализацией они смогут процветать в этом сложном и разнообразном ландшафте.