Soru: Ne zaman satın alacağıma veya ne zaman güvenlik oluşturacağıma nasıl karar veririm?
Neal Bridges, Query.AI’de CISO: Açık kaynak kodu ve projeler için her zamankinden daha fazla seçenek olduğundan, kendi güvenlik yığınınızı oluşturmanın çekiciliğini görmek kolaydır. Ancak birçok şirket için satın almak daha iyi bir alternatiftir – özellikle de kendi güvenlik altyapınızı oluşturmaya ilişkin uzun vadeli bakım ve maliyetlerin güvenlik durumunuza zarar verebileceğini düşündüğünüzde.
İşletmeniz için en iyi seçeneği belirlerken göz önünde bulundurmanız gereken iki önemli nokta vardır.
İlk olarak, ekibinizin “kendin yap” tarzındaki bir projeden bir uygulamayı sürdürüp sürdüremeyeceğini kendinize sormalısınız. Bu yaklaşımla, resmi bir destek sözleşmesi, düzenli yamalar veya üçüncü taraf riskine ilişkin uyumluluk odaklı güvence almayacaksınız. Bu nedenle, tüm risk aktarımı, satıcıya karşı güvenlik ekibinize geçer. Uyumsuzluğun cezası daha az acı verici olduğundan, bir risk erteleme seçeneği olarak siber güvenlik sigortasına güvenen daha küçük şirketler (gelirleri 1 milyar dolardan az olan) için bu kabul edilebilir bir takas olabilir. Ancak, dış kuruluşlardan uyum odaklı yetkilerle karşı karşıya olan daha büyük şirketler için bu, büyük olasılıkla almak isteyeceğiniz bir risk değildir.
İkinci düşünce, kendin yap senaryosunun, aksi takdirde ücretli kuruluşlar tarafından geliştirilecek veya geliştirilecek olan yeni özelliklerin şirket içinde yeni geliştirme olarak ele alınmasını veya tamamen terk edilmesini gerektirdiğini kabul etmektir. Siber güvenliğin giderek daha çevik olduğunu ve düzenli olarak değiştiğini biliyor ve kabul ediyoruz. Pek çok şirket, güvenlik ekiplerinin bu çözümleri araştırmak ve geliştirmek yerine tehdide odaklanabilmesi için bu trendlere ayak uydurmak için derin güvenlik sağlayıcısı Ar-Ge bütçelerine güveniyor. Bunu şirket içinde alırsanız, güvenlik ekibinizde ek personel sayısı veya mevcut ekipten ek zaman yükü gerektirebilir.
Özetle, inşa etmeye karşı satın almayı düşünüyorum, bu soruyu kendi kendinize cevaplamaya geliyor: Kendi ekibimin kapasitesine yatırım yapmak için zaman ve para harcamaya istekli miyim, yoksa bu riski dış kaynaktan mı almak istiyorum?