0
0
Pergunta: Como eu decido quando comprar ou quando construir em segurança?
Neal Bridges, CISO da Query.AI: É fácil ver o apelo de construir sua própria pilha de segurança, pois há mais opções para código-fonte aberto e projetos do que nunca. Mas, para muitas empresas, comprar é a melhor alternativa — especialmente quando você considera o fato de que a manutenção a longo prazo e os custos associados à construção de sua própria infraestrutura de segurança podem ser um prejuízo para sua postura de segurança.
Ao determinar a melhor opção para o seu negócio, há duas coisas importantes a considerar.
Primeiro, você deve se perguntar se sua equipe é capaz de manter uma implementação a partir de um estilo de projeto “build-it-yourself”. Com essa abordagem, você não obterá um contrato formal de suporte, patches regulares ou garantia orientada à conformidade de risco de terceiros. Portanto, toda a transferência de risco se move para sua equipe de segurança contra o fornecedor. Esta pode ser uma troca aceitável para empresas menores (menos de US$ 1 bilhão em receita) que dependem do seguro de segurança cibernética como opção de deferência de risco, já que a punição por descumprimento é menos dolorosa. Mas para empresas maiores que enfrentam mandatos orientados por conformidade de entidades externas, isso provavelmente não é um risco que você quer correr.
A segunda consideração é aceitar que um cenário de construção-você-mesmo requer quaisquer novos recursos – que de outra forma seriam desenvolvidos ou avançados por entidades pagas – sejam tratados internamente como novo desenvolvimento ou sejam completamente abandonados. Sabemos e aceitamos que a segurança cibernética é cada vez mais ágil e muda regularmente. Muitas empresas dependem dos orçamentos de P&D do fornecedor de segurança profunda para acompanhar essas tendências para que suas equipes de segurança possam se concentrar na ameaça — não pesquisando e desenvolvendo essas próprias soluções. Se você levá-lo internamente, pode exigir um número adicional de funcionários em sua equipe de segurança ou sobrecarga de tempo adicional da equipe atual.
Resumindo, acho que construir versus comprar se resume a responder a essa pergunta por si mesmo: Estou disposto a colocar tempo e dinheiro para investir na capacidade da minha própria equipe, ou quero terceirizar esse risco?
FONTE: DARK READING