Важность использования шести сигм в безопасности бизнеса

Угрозы безопасности постоянно развиваются. От киберпреступников, нацеленных на цифровые активы через нарушение безопасности, до попыток провести кибератаку с планами вымогательства у организации, важность обеспечения безопасности вашей цифровой инфраструктуры безопасности сейчас важна как никогда. Чтобы укрепить свою целостность, организациям следует начать использовать «Шесть сигм» для всех уровней своей безопасности.

Как согласуются шесть сигм и безопасность?

Во-первых, важно понять, что такое шесть сигм. В своей самой базовой форме шесть сигм можно определить как методы управления, предназначенные для улучшения бизнес-процессов за счет снижения риска ошибки. Но как это соотносится с безопасностью? Опять же, в своем самом базовом контексте безопасность данных предназначена для обеспечения безопасности и защиты цифровых активов организации.

Учитывая, что существуют протоколы и процессы безопасности данных, было бы целесообразно использовать «Шесть сигм» для улучшения этих процессов, чтобы снизить риск угроз безопасности во всех аспектах. Внедряя одну из основных методологий «Шесть сигм», DMAIC, люди могут разбить процессы безопасности, чтобы определить любые слабые места. Оттуда они могут принять упреждающие меры, чтобы уменьшить окна угроз и обеспечить безопасность своих данных.

Рекомендуется для вас: 7 отличных способов обезопасить свой бизнес после утечки данных.

DMAIC, шесть сигм и безопасность

Методика шести сигм, DMAIC, в основном используется для оптимизации текущих бизнес-процессов. Метод DMAIC разбит на пять этапов: определение, измерение, анализ, улучшение и контроль. Данные являются важным компонентом бизнес-операций, и эти пять шагов можно применить к любым уже существующим процессам обеспечения безопасности данных. Внедряя метод DMAIC в методы и протоколы обеспечения безопасности данных, организация может лучше понять причины того, что делается на организационном уровне в отношении безопасности данных, выявить любые слабые места и снизить общие риски.

Определить проблему и цели проекта

Прежде чем вы сможете что-то решить, вы должны сначала определить проблему. Иногда эти проблемы будут реактивными, например, в организации произошло нарушение безопасности, и теперь они пытаются усилить свою цифровую безопасность, чтобы предотвратить будущие нарушения. Или некоторые организации могут принимать упреждающие меры для закрытия уязвимостей безопасности, обнаруженных во время оценки рисков безопасности. Эти проблемы могут быть как отдельными процессами, так и полным обзором процессов защиты данных в целом.

Если организации еще предстоит использовать шесть сигм в своих методах обеспечения безопасности данных, рекомендуется полный обзор. По мере того, как компания работает над каждым из пяти шагов, могут выявиться дополнительные проблемы. Они часто более специфичны для отдельных протоколов и процессов. Когда это происходит, для каждого из них могут быть установлены конкретные цели проекта.

После определения общей проблемы необходимо установить цели проекта. Вы не можете определить успех без конечной цели.

Детальное измерение различных аспектов текущего процесса

Это требует глубокого анализа, который часто начинается с начального отображения процесса. Для последовательности предположим, что это организация, которая только начинает внедрять «шесть сигм» в свои процессы обеспечения безопасности данных. Когда организация начинает картографирование процессов, стиль карты может начинаться с базовой блок-схемы для просмотра процедур безопасности.

По мере того, как эти процессы наносятся на карту, лица, разрабатывающие карту, должны понимать, как процесс протекает от начала до конца. Кроме того, сотрудники должны понимать причины, лежащие в основе текущего процесса. Могут быть случаи, когда другой процесс, на первый взгляд, имеет больше смысла; однако, без обсуждения обоснования текущих протоколов, могут иметь место изменения, которые снижают эффективность и результативность.

Чтобы в полной мере использовать эту методологию «Шесть сигм», стороны должны иметь полное и глубокое знание процессов, их потоков, почему они работают так, как они работают, и как их можно оптимизировать.

Вам могут понравиться: Документы и протоколы, необходимые вашему бизнесу для кибербезопасности.

Анализируйте данные, чтобы найти коренные дефекты в процессе

На этом этапе вы определили проблемы и цели и получили полное представление о процедурах с использованием картирования процессов. Теперь вы должны агрегировать данные, чтобы найти коренные дефекты в процессе. Те, кто участвует в DMAIC для оптимизации процессов безопасности, вероятно, имеют общее представление о том, в чем заключается основная проблема.

Иногда организации могут уже иметь точное представление о дефектах в своих системах, но они не знают, как их устранить. Например, они могут полностью осознавать, что их операционные системы устарели или что им необходимо добавить многоуровневый подход к существующему стеку безопасности. Использование DMAIC позволяет ключевым лицам, принимающим решения в организации, полностью понять, почему возникает эта проблема, и какие процессы необходимо рассмотреть, прежде чем можно будет приступить к реализации.

Сбор данных для определения того, какие угрозы представляются, как их можно смягчить, а также вероятность того, что в результате будет нарушена целостность инфраструктуры безопасности, — все это ключевые элементы этого этапа. Сделав еще один шаг вперед, важно, чтобы все соответствующие стороны понимали данные, которые были агрегированы, а также то, как лучше всего двигаться вперед.

При сборе этих данных не только определяются основные проблемы, но и люди будут лучше подготовлены для поиска решений для улучшения процесса.

Улучшить процесс

Имея в виду долгосрочные цели, а также данные, собранные на предыдущем этапе, теперь люди могут рассматривать решения для устранения основных дефектов. Это может быть использование ИИ в кибербезопасности, переход к многофакторной аутентификации (MFA) или шифрование данных. В конечном счете, это будет зависеть от определенных проблем, целей и основных недостатков компании.

Лица, принимающие решения, должны помнить о нескольких вещах при улучшении своих процессов, таких как опыт сотрудников. Понятно, что безопасность не должна быть скомпрометирована. Просто потому, что двухфакторная аутентификация может показаться неудобной, ее не следует сбрасывать со счетов. Однако при изменении процессов важно учитывать всех вовлеченных сотрудников. Кроме того, лица, принимающие решения, должны учитывать цены и потенциальную интеграцию с текущим программным обеспечением.

Чтобы все сотрудники были согласны с изменениями, которые непосредственно повлияют на них, жизненно важно разъяснить им причины, лежащие в основе этих изменений. Например, если реализована многофакторная аутентификация, это может повлиять на их доступ или основной процесс входа в систему. Если сотрудники чувствуют болевые точки этого, не понимая почему, они будут сопротивляться, находить обходные пути, и весь процесс подрывается. Однако, если сотрудники знают, что этот новый процесс повышает безопасность данных, снижает риск утечки данных, улучшает репутацию организации в целом и влияет на самый низкий доллар, что, в свою очередь, может повлиять на их заработную плату, они внедрят эти изменения. Почему? Потому что теперь они понимают, что для них это значит.

Если компания потеряет семизначную сумму из-за атаки вредоносного ПО, которая остановит производительность и доходы, это повлияет на ее бонусы на конец года. Или, если репутационный ущерб оказывает долгосрочное влияние на компанию после утечки данных, могут потребоваться увольнения. Эти примеры могут показаться крайними, но учтите это. 99,9% предприятий в Америке — это малые предприятия, и когда малый бизнес подвергается кибератаке, 60% из них закрываются в течение шести месяцев после инцидента. Зная это, эти примеры уже не кажутся слишком крайними.

При внедрении нового процесса и/или программного обеспечения необходимо учитывать несколько моментов, таких как взаимодействие с пользователем, цены и возможная интеграция с существующими решениями.

Контролируйте, как будет происходить процесс в будущем

После завершения первых четырех шагов DMAIC последний и, возможно, самый важный этап — внедрение политик, обеспечивающих выполнение нового процесса не только сейчас, но и в будущем. Реальность такова, что был проведен полный аудит всего процесса обеспечения безопасности данных. Теперь организация знает свои сильные и слабые стороны и имеет план и процессы для снижения рисков. Это в целом поддерживает целостность инфраструктуры безопасности. Если не будет политики для поддержки этих новых процессов, организация слишком быстро окажется в компрометирующем положении.

Важное значение будет иметь создание политик, обеспечивающих не только выполнение процессов, но и соблюдение сотрудниками этих новых протоколов безопасности. Благодаря максимально быстрому и эффективному вовлечению всех сотрудников в новые процессы уязвимости системы безопасности будут устранены. Уже одно это снижает риск стать жертвой угроз кибербезопасности, которые в случае их реализации значительно повлияют на доходы компании из-за потери производительности, простоев, затрат на восстановление, репутационного ущерба и многого другого.

Установление политик, обеспечивающих внедрение новых процессов как в настоящее время, так и в будущем, является последним элементом процесса DMAIC.

Вам также может понравиться: 12 типов Endpoint Security, которые должен знать каждый бизнес.

Заключение

Было доказано, что шесть сигм являются эффективной методологией для улучшения деловой практики во всех отделах во множестве секторов. Применение такого же подхода при пересмотре и усовершенствовании методов обеспечения безопасности не только укрепит целостность инфраструктуры безопасности, но и немедленно снизит риски для минимального дохода организации.

Эта статья написана Аароном Смитом. Аарон — контент-стратег и консультант из Лос-Анджелеса, поддерживающий фирмы STEM и консалтинговые компании, занимающиеся цифровой трансформацией. Он освещает отраслевые разработки и помогает компаниям общаться с клиентами. В свободное время Аарон любит плавать, танцевать свинг и читать научно-фантастические романы.