Klientiem vajadzētu būt skaidrām cerībām uz mākoņu slaun, ja pakalpojumu sniedzējs ir īss, viņiem jābūt atbildīgiem. Tāpat klientiem ir pienākums saprast, ko SLA dara, un nesedz, tāpēc viņi precīzi zina, ko viņi iegādājas.
Pārāk bieži atvienojas, kad iepirkumu komandas risina sarunas par līgumiem, pilnībā neizprotot darbības prasības, atstājot to un drošības komandas ar SLA, kas neatbilst viņu vajadzībām.
Ārpakalpojumi dažreiz tiek vērsti tikai kā izmaksu ietaupīšanas vingrinājumi, nevis Pakalpojuma kvalitātes uzlabošanas veidsApvidū Šis domāšanas veids var izraisīt virspusēju salīdzinājumu starp pakalpojumu sniedzējiem, dzenoties pakaļ zemākajai cenai, nevis koncentrējoties uz vērtību. Neizbēgami seko kompromisi.
Lai no tā izvairītos, pircējiem ir jāveic pienācīga uzticamības pārbaude un jāidentificē SLA patiesais “obligāti” pret “vajadzētu būt“ vajadzētu būt ”. SLA pārslodze ar visām prasības riskiem, kas prasa “zelta pakalpojumu”, ar kuru var satikties daži pakalpojumu sniedzēji. No otras puses, pārāk daudz kompromisu pieņemšana palielina risku, tāpēc organizācijām ir nepieciešama skaidra izpratne par viņu riska toleranci.
Ir arī svarīgi arī saskaņot SLA ar biznesa mērķiem. Ko organizācija mēģina sasniegt ar jauno platformu? Kas ir Minimālais dzīvotspējīgais produkts (MVP)? Viss, kas pārsniedz MVP, ir “patīkami būt”.
Tas prasa lēmumu pieņēmējiem ne tikai izprast risku, bet arī efektīvi formulēt un plānot, kā to pārvaldīt. Riska pārvaldībai ne vienmēr jābūt tehniskai-galveno lomu var būt arī tehniska kontrole un pārvaldība.
Bieži vien šis process izceļ organizatorisko atvienojumu: var sagaidīt, ka iepirkums novērsīs risku, kas ir nereāls. Riska novēršana nav tas pats, kas tā pārvaldīšana.
Pēc definīcijas jaunas, inovatīvas vai nepārbaudītas tehnoloģijas pieņemšana rada risku, bet tā arī nes potenciālus ieguvumus. Organizācijām ir jāsver risks pret iespējamo augšupvērsto: uzlabotu efektivitāti, labāku klientu apkalpošanu, uzlabotu personāla atbalstu vai lielāku veiklību.
Atbalstot novatoriskas platformas, IT un drošības vadītājiem vajadzētu pārveidot sarunu. Tā vietā, lai tikai jautātu: “Kāds ir risks, ja tas neizdodas?” Viņiem arī jājautā: “Kāda ir atlīdzība, ja tas izdodas?” Tas līdzsvaro diskusiju un palīdz lēmumu pieņēmējiem redzēt potenciālo vērtību līdztekus riskiem.
Lai veiksmīgi pieņemtu jaunu tehnoloģiju, vienlaikus samazinot regulatīvo iedarbību, IT un drošības vadītājiem ir cieši jāsadarbojas ar riska pārvaldītājiem.
Riska speciālisti var palīdzēt noteikt organizācijas riska apetīti un pielaides, nodrošinot risku pārvaldīšanu, nevis tikai samazinātu. Pārāk bieži riska pārvaldība kiberdrošībā tiek veidota par riska samazināšanu par katru cenu, kas apslāpē jauninājumus.
Integrējot riska vadītājus iepirkumā un lēmumu pieņemšanā, organizācijas var panākt pareizo līdzsvaru: ļaujot jauninājumiem, ievērojot pieņemamās riska robežas.
