Computer Weekly Security Think Tank razmatra kako bezbednosni lideri mogu pomoći da se osigura pristup novoj i inovativnoj tehnologiji u oblaku, istovremeno minimizirajući rizik i osiguravajući da se ne pokvare regulatori.
By
- Ellie Hurst,Advent IM
- Mike Gillespie
Objavljeno: 16. septembar 2025
Klijenti bi trebalo da imaju jasna očekivanja od SLA u oblaku, a ako provajder ne uspe, moraju se smatrati odgovornim. Jednako tako, klijenti imaju odgovornost da razumiju šta SLA radi, a šta ne pokriva, tako da znaju tačno šta kupuju.
Prečesto dolazi do prekida veze kada timovi za nabavku pregovaraju o ugovorima bez potpunog razumijevanja operativnih zahtjeva, ostavljajući IT i sigurnosne timove sa SLA koji ne zadovoljava njihove potrebe.
Outsourcingu se ponekad pristupa isključivo kao vježbi za uštedu troškova, a ne kao način poboljšanja kvaliteta usluge. Ovakav način razmišljanja može dovesti do površnog poređenja među dobavljačima, jureći za najnižom cijenom, a ne fokusirajući se na vrijednost. Neminovno slijede kompromisi.
Da bi se to izbjeglo, kupci moraju provesti odgovarajuću dubinsku analizu i identificirati SLA istinske “must have” u odnosu na “treba imati”. Preopterećenje SLA sa svakim zahtjevom rizikuje zahtijevanje „zlatnog servisa“ koji malo provajdera može ispuniti. S druge strane, prihvatanje previše kompromisa povećava rizik, pa je organizacijama potrebno jasno razumijevanje njihove tolerancije na rizik.
Takođe je ključno uskladiti SLA sa poslovnim ciljevima. Šta organizacija pokušava postići novom platformom? Šta je minimalno održiv proizvod (MVP)? Sve što je izvan MVP-a je „lepo imati“.
Ovo zahtijeva od donosioca odluka da ne samo razumiju rizik već i da ga efikasno artikulišu i planiraju kako njime upravljati. Upravljanje rizikom ne mora uvijek biti tehničko – netehničke kontrole i upravljanje također mogu igrati glavnu ulogu.
Često ovaj proces naglašava organizacionu nepovezanost: može se očekivati da će nabavka eliminisati rizik, što je nerealno. Eliminacija rizika nije isto što i upravljanje njime.
Po definiciji, usvajanje nove, inovativne ili neprovjerene tehnologije nosi rizik, ali nosi i potencijalne koristi. Organizacije moraju odmjeriti rizik u odnosu na moguću prednost: poboljšanu efikasnost, bolju uslugu klijentima, poboljšanu podršku osoblja ili veću agilnost.
Kada se zalažu za inovativne platforme, IT i sigurnosni lideri bi trebali preoblikovati razgovor. Umjesto da se samo pitate: “Koji je rizik ako ovo ne uspije?” također bi trebali pitati: „Koja je nagrada ako ovo uspije?“ Ovo balansira diskusiju i pomaže donosiocima odluka da vide potencijalnu vrijednost uz rizike.
Da bi uspješno usvojili novu tehnologiju uz minimiziranje regulatorne izloženosti, IT i sigurnosni lideri moraju blisko sarađivati s menadžerima rizika.
Stručnjaci za rizik mogu pomoći u definiranju sklonosti i tolerancije rizika organizacije, osiguravajući da se rizicima upravlja, a ne samo minimizira. Prečesto je upravljanje rizikom u sajber sigurnosti uokvireno oko smanjenja rizika po svaku cijenu, što guši inovacije.
Integracijom menadžera rizika u nabavku i donošenje odluka, organizacije mogu postići pravi balans: omogućavanje inovacija dok ostaju unutar granica prihvatljivog rizika.