近期频发的网络攻击事件,包括最近针对拉斯维加斯几家大型赌场的攻击事件,更加凸显了对专业安全服务的迫切需求。然而,熟练劳动力的稀缺导致实施内部安全措施的成本激增,这使得外包成为组织目前更有吸引力的选择,特别是那些已经关注于在不确定的经济环境中削减成本的组织。组织通常也面临有限的时间和资源,进一步阻碍了它们建立内部安全系统的能力。为了解决这个紧迫的问题,并支持安全领导者确保健全的业务安全,Info-Tech Research Group发布了其选择安全外包合作伙伴研究蓝图。
在新的资源中,Info-Tech 报告说,IT 领导者在选择适当的外包合作伙伴时可能会面临各种复杂情况。由于这个领域有许多服务提供商和技术工具可供选择,选择合适的安全提供商变得特别具有挑战性。该公司建议,了解自己的内部安全需求并理解更广泛的商业环境是做出决定之前的关键步骤,因为只有通过这种深入的知识,安全领导者才能有效地选择与其需求相符的外包合作伙伴,并帮助防范不断发展的网络威胁格局。
“我们经常建议组织将其信息安全组合的某些方面外包给提供商,因为我们认识到提供商将保卫免受攻击并使组织合规作为自己的业务。” Info-Tech Research Group首席研究总监Fred Chagnon说,“挑战在于,当客户尽可能相似时,这些服务提供商经常实现规模和盈利能力,这种趋同倾向可能导致一刀切的方法。”
该公司的蓝图强调安全领导者了解哪些安全功能可以由内部有效处理以及哪些应该外包的重要性。这个过程对于实现成本节省、优化资源分配和提高整体安全态势至关重要。同样重要的是要考虑外包与内部资源的长期财务影响,以确定最经济的方法。
Info-Tech 分析师建议安全领导者考虑以下方法来选择合适的外包合作伙伴,以降低风险和潜在攻击:
- 确定责任。 考虑可能外包给服务合作伙伴的责任,并分析哪些任务可能由外部更有效地处理,而不是内部最好管理的任务。根据这些确定的责任,决定是否需要与服务合作伙伴接洽。
- 确定范围要求。 细化基于角色的要求、变量和功能列表。使用公认的关键安全控制列表作为框架来确定这些活动,并发出请求提案(RFP)以选择最适合组织的候选人。
- 管理外包计划。 相信托管安全服务提供商(MSSP),但验证他们的结果以确保组织获得承诺的服务级别。
该资源解释说,尽管组织可以选择外包特定职责或整个功能,但他们无法转移问责制。如果发生数据泄露或黑客入侵,组织的安全领导者最终负责。因此,谨慎选择值得信赖的 MSSP 作为合作伙伴,并记住外包并不意味着放弃责任。
要了解更多关于组织安全需求的信息以及有关选择合适外包合作伙伴的见解,请下载该公司的完整选择安全外包合作伙伴蓝图。