Когда ИТ-директора не перегружены работой с данными, он переносят свое внимание на вопрос защиты данных. Они сталкиваются с давлением относительно сокращения расходов, пытаясь изловчиться и преодолеть трудности, связанные с подрядчиками и перемещением данных и услуг в облако. Все это время появляются новые угрозы, требующие немедленной реакции.

Поиск квалифицированных ИТ-профессионалов, их удержание при возникновении кризисных ситуаций -от этих и других проблем, связанных с персоналом, ИТ-директоров зачастую бросает в пот.

На чем стоит сконцентрироваться ИТ-директорам в 2018 году в этой бездне новых и старых проблем?  Мы собрали идеи от экспертов, руководства рекрутеров и обычных сотрудников, чтобы определить сегодняшние основные проблемы с и способы борьбы с ними.

Безопасность IoT

Недавнее исследование безопасности Forrester показало, что 82 процента организаций пытаются идентифицировать и защищать устройства, подключенные к сети. Хуже того, большинство из них не понимали, кто несет ответственность за управление устройствами.

«Результаты опроса показывают, что более половины респондентов (54%) заявили, что они обеспокоены безопасностью IoT», - говорится в исследовании.

Чаба Краснай, евангелист безопасности в BalaBit, говорит, что, наряду с традиционными  слабыми звеньями (пользователями), ИТ-директора должны думать о новых возникающих угрозах.

«В 2018 году меры безопасности должны быть более тесно связаны с ИТ-пользователями и их идентификацией, - говорит Краснай. «Поведенческий мониторинг может выявлять даже самых умных киберпреступников, скрывающихся за привилегированными полномочиями, взыскательными отклонениями в базовом поведении - даже на основе мгновенных биометрических признаков, таких как скорость набора текста или общие орфографические ошибки».

Переквалификация

Согласно данным недавнего опроса CompTIA, около 40% ИТ-специалистов говорят, что они не получают подготовку, необходимую для должной продуктивности на своей работе.

«Многие компании считают, что идти в ногу с технологией - обязанность каждого работника,» говорит Виктор Андонов из DataArt Bulgaria.. «Это могло быть правдой в 80-х и 90-х годах, но в 21-м веке сложность платформ сильно возросла. Подготовка на рабочем месте и обучение работе с новыми структурами осуществить чрезвычайно сложно, когда у сотрудников есть свои проекты и задачи ».

Большинство организаций мучаются в поиске квалифицированных технических специалистов, говорит Тодд Тибодо, президент и главный исполнительный директор CompTIA. Обучение их на рабочем месте не менее сложно.

«Хорошей новостью для работодателей является то, что большинство ИТ-профессионалов любят то, что они делают», - говорит Тибодо. «Их работа дает им чувство личного благополучия. Их навыки и таланты хорошо используются. Они видят возможности расти и развиваться в своей карьере - и они в целом довольны тем, что они за это получают».

«В то время как ИТ-персонал может получать удовольствие от работы, повышение квалификации предполагает долгий путь, помогая персоналу сохранить свое рабочее место», - говорит Тибодо.

«ИТ-профессионалы хотели бы получить больше ресурсов для обучения и развития, а также больше навыков и возможностей карьерного роста», - говорит он. «Они также заинтересованы в доступе к большему количеству инструментов и привлечению множества различных технологий и приложений. И они приветствовали бы возможность работать над новыми технологическими инициативами ».

Эта проблема не нова для 2017 года, говорит Тибодо, но она является постоянной. «В конце концов, время, отведенное для обучения персонала, - это время, включенное в рабочее. Здесь фигурирует и извечный вопрос:« Что, если я вкладываю в чье-то обучение, а этот сотрудник уходит?» Но на самом деле вопрос нужно задавать иначе: «Что, если я не вложусь в чье-то обучение, и этот сотрудник останется?»

Перегрузка данными

Современные методы анализа данных зачастую не показывают реального влияния данных на бизнес, говорит Майк Санчес, CISO United Data Technologies.

«Руководители и члены совета директоров должны иметь возможность принимать решения о том, как наилучшим образом распределить ресурсы, а также инвестиционные доллары в стратегии восстановления, которые могут снизить операционные расходы, или реальную подверженность риску компании или и то, и другое», - говорит Санчес. «Данных стало слишком много, и люди не знают, что им следует делать с точки зрения улучшения их общей позиции кибербезопасности. Ключевые показатели производительности должны рассказывать историю в простом формате панели инструментов ».

Разрыв навыков

Хорошей новостью является то, что число вакансий ИТ-специалистов продолжает расти. Плохие новости заключаются в том, что работников с необходимыми навыками для их заполнения пока  недостаточно, особенно что касается безопасности.

«Наш последний анализ данных о рабочих местах из разных источников показывает, что в третьем квартале 2017 года работодатели США опубликовали открытые вакансии для почти 604 000 ИТ-рабочих мест», - говорит Тибодо CompTIA. «Что касается рабочих мест в кибербезопасности, мы добились некоторого поэтапного прогресса в сокращении разрыва за последний год, но не так много, как это необходимо».

Тибодо говорит, что фирмам придется принять некоторые жесткие решения относительно того, как заполнять кадровые потребности и что нужно делать внутри компании.

«Какие функции могут быть определены на аутсорсинг поставщику технологических решений?» - говорит Тибодо. «Многие организации считают, что заключение контрактов с технологическим партнером для некоторых рутинных текущих задач может освободить внутренние технические команды, чтобы сосредоточиться на более продвинутых и стратегических задачах для бизнеса».

Мера Раджавель, директор ИТ-службы кибербезопасности фирмы Forcepoint, говорит, что проблема нехватки навыков не решится в ближайшее время.

«Мы видим, что слишком много компаний не готовы к новым угрозам кибербезопасности, таким как вымогательство или промышленный шпионаж», - говорит Раджавел. «Любая коррекция курса должна включать в себя надлежащее взращивание своих талантов снизу вверх и более широкую подготовку по вопросам безопасности рабочей силы, которая должна быть своевременной и основанной на опыте, а не просто заключаться в соблюдении».

Инновации и цифровая трансформация

По данным Gartner, около двух третей бизнес-лидеров считают, что их компаниям необходимо ускорить цифровую трансформацию, чтобы не потерять позиции на рынке.

По словам Меррика Олива, управляющего партнера облачной консалтинговой фирмы Candid Partners, большинство компаний будут продолжать идти путем трансформации, пока они не будут вынуждены действовать иначе.

«Привязывание ИТ-ресурсов к стратегическим возможностям бизнеса и ответы на вопрос« Как это сделает нас более конкурентоспособными? » крайне важно, - говорит Оливия. «Модели финансирования, основанные на потоках данных, в отличие от финансирования на основе проектов, становятся все более эффективными при привязке целей к бюджетным влияниям. Унаследованные структуры затрат и эффективность процесса сильно отличаются от быстро адаптируемых цифровых возможностей - гибкость позволяет снизить стоимость и добиваться большей эффективности.

Ужесточение бюджетов

Согласно опросу Forester, опубликованному в ноябре 2017 года, почти половина респондентов из сферы ИТ и деловых кругов заявили, что ограничение бюджета- основное препятствие, стоящее на пути укрепления безопасности IoT.

Тибодо из компании CompTIA говорит, что риски выходят за рамки угроз безопасности.

«Речь идет о том, хочет ли бизнес расти, процветать или отставать от своих конкурентов», - говорит Тибодо. «По мере того как компании становятся более цифровыми,  технология выходит из тени и занимает центральное место, становясь основным двигателем при достижении долгосрочных целей. Квалифицированные, обученные и сертифицированные ИТ-специалисты необходимы для того, чтобы инвестиции в технологии окупались. У них есть опыт архитектуры и подключения ИТ к общим корпоративным целям и они способны обеспечить руководство, которое должно принять решение, советами, чтобы прийти к компромиссам, связанным с выбором устройств, приложений или операционных моделей ».

Поиск новых источников дохода

Ян Мюррей, вице-президент телекоммуникационной компании Tangoe по управлению расходами, говорит, что, хотя бизнес-ландшафт постоянно развивается, основная предпосылка получения прибыли одинакова.

«Процесс поиска и использования возможностей получения доходов принципиально не изменился - найдите проблему, которую мы можем решить, которая распространена, и за решение которой люди готовы платить», - говорит Мюррей.

Изменилось то, что акцент на получении прямых доходов сместился в сторону  ИТ-директоров, - говорит Майк Фурман, главный менеджер по продуктам гибридного поставщика ИТ-инфраструктуры Peak 10 + ViaWest.

«Возможно, я представитель старой школы, но я не думаю, что ИТ-директор должен беспокоиться о том, чтобы напрямую получать доход», - говорит Фурман. По моим наблюдениям это все чаще практикуется среди моих сверстников. Чтобы оставаться актуальным в качестве ИТ-директора, многие из них работают над тем, чтобы сделать себя “продуктом”. Хотя у них есть основания думать так, это также может привести к смещению целей команды и руководства. Когда дело доходит до прибыльных возможностей,  CIO и его окружение фокусируется на этих проектах и оцифровывает бизнес в автоматизированную платформу.  Нам нужно сосредоточиться на выведении расходов из бизнеса и масштабировании с точки зрения выхода на рынок. Вот каким образом ИТ-директор должен сосредоточиться на доходах ».

Обновление устаревших систем

Кадровая фирма Robert Half этим летом создали отчет,  по которому почти четверть ИТ-директоров больше всего интересовала модернизация устаревших систем для повышения эффективности.

«Это большая проблема, особенно среди нескольких отраслей, где большое количество устаревших систем или систем с истекающим сроком службы  все еще используется для хранения критически важных данных или приложений», - говорит Санчес «United Data Technologies». «Эти системы больше не поддерживаются их соответствующими производителями и поэтому больше не могут быть исправлены с последней версией обновлений, оставаясь уязвимыми для эксплойтов. Эти платформы могут быть связаны с другими сетями, что позволяет уязвимостям выходить наружу и задействовать связанные между собой системы при атаках ».

Отсутствие гибкости

Организации, которые стремятся внедрить гибкие методы, иногда получают неэффективную гибридную модель, состоящую из гибких практик и, в то же время , более линейных методов «водопада». Короче говоря, худшее из обоих миров.

Мюррей из Tangoe поясняет: «Разработчики кодируют конкретные спецификации с небольшим концептуальным пониманием того, как эта кнопка или функция вписывается в общий пользовательский интерфейс. Для этого требуется дисциплинированный подход, в котором решение определенных проблем рассматривается в определенной версии. Каждая версия затем координируется для набора спринтов, поэтому комплексное решение, которое добавляет UX, достигается с каждой версией, а не только с набором запрошенных функций, которые могут или не могут поддерживать друг друга ».

Мюррей указывает на последние обновления Apple iOS, которые исправили некоторые ошибки и представили другие. «Эта проблема затрагивает крупные и малые компании, приводя к обновлениям, которые могут устранять недостатки безопасности и включать новые функции, а также создавать хорошо разрекламированные проблемы для пользователей.

Аутсорсинговые риски

Недостаток навыков заставляет многие организации искать помощь извне. Но такие, иногда необходимые, решения могут привести к проблемам с надежностью и безопасностью.

«Наша основная задача - предоставить обещания, которые мы предоставляем каждому клиенту, - говорит Санчес. «Вы строите свою репутацию и бизнес на этом важном аспекте. При аутсорсинге вашей работы качество предоставляемой продукции иногда оказывается во власти фирмы, на которую вы передаете аутсорсинг. Учитывая чувствительный характер проектов, которыми мы управляем, мы используем строгие оценки сторонних поставщиков для оценки партнеров в случае, когда проект требует от нас рассмотрения аутсорсинга некоторых или всех необходимых задач ».

Помимо проблем с качеством, аутсорсинг открывает угрозы безопасности, которые хорошо известны. «Конкретные угрозы для ИТ-директоров, которые должны быть в совершенстве, - это внутренний сотрудник и подрядчик», -говорит Френч Колдвелл, главный евангелист с MetricStream и бывший советник по кибербезопасности Белого дома. «Пока мы не отступим от паролей для учетных данных, люди будут оставаться самой большой угрозой».

Ловушки при переходе в облако

По мере того, как все больше данных и сервисов выгружается в облако, потенциальный риск несет просмотр облака как единого публичного объекта, говорит Баск Айер, ИТ-директор VMware и Dell.

«ИТ-специалисты также должны рассмотреть частные облачные и / или мультиоблачные решения, если они оценивают, что лучше для бизнеса», - говорит Айер. «Это обеспечивает выбор и позволяет избежать блокировки одного поставщика. ИТ также необходимо выяснить, какие приложения должны идти в то  или иное облако. С ростом IoT требуется больше мощности, поэтому ИТ-специалисты должны расширить свои возможности для облака ».

По словам Санчеса, ИТ-директора не могут передавать ответственность за обеспечение безопасности своих данных и приложений. «Организации должны определить элементы управления безопасностью для защиты своих данных в облаке так же, как и на своем сайте. Многие организации не применяют эти стандарты и автоматически предполагают, что хостинговая компания предоставляет все необходимые им гарантии ».

Множественные уязвимости безопасности

По словам Ларри Лунетты, вице-президента подразделения Aruba Hewlett-Packard, ужасы в области безопасности продолжатся в этом году, и главное беспокойство скрывается на поверхности.

«В будущем широкое распространение получат те эксплойты, которые будут кооптировать законные учетные данные в качестве отправной точки для атаки, ущерб от которой может проявиться через несколько дней, неделей или даже месяцев», - говорит Лунетта. Эти внутренние атаки могут начинаться с того, что пользователь нажимает на неправильное вложение электронной почты, недовольный сотрудник начинает жульничать, или в результате ненадежных паролей или обмена учетными данными среди коллег»

«В 2018 году для устранения потребуются новые методы обнаружения, основанные на поведенческой линии»,- говорит Лунетта.

«Все чаще организации используют системы анализа User and Entity Behavior Analytics, основанные на искусственном интеллекте, для выявления небольших изменений в поведении пользователей и устройств, подключенных к сети, которые часто свидетельствуют о гестационной атаке».

No Comments