Müşterilerin bir bulut SLA’sı beklentileri olmalı ve bir sağlayıcı yetersiz kalırsa, sorumlu tutulmalıdır. Aynı şekilde, müşterilerin SLA’nın ne yaptığını ve neyi kapsadığını anlama sorumluluğu vardır, bu nedenle ne satın aldıklarını tam olarak bilirler.
Çok sık, tedarik ekipleri operasyonel gereksinimleri tam olarak anlamadan sözleşmeler müzakere ettiklerinde, BT ve güvenlik ekiplerini ihtiyaçlarını karşılamayan bir SLA ile bıraktığında, bağlantıları ortaya çıkar.
Dış kaynak kullanımı bazen hizmet kalitesini iyileştirmenin bir yolu yerine tamamen maliyet tasarrufu sağlayan bir alıştırma olarak yaklaşılır. Bu zihniyet, sağlayıcılar arasında yüzeysel karşılaştırmalara yol açabilir ve değere odaklanmak yerine en düşük fiyatı kovalayabilir. Kaçınılmaz olarak, uzlaşmalar takip ediyor.
Bundan kaçınmak için, alıcılar uygun bir özen göstermeli ve SLA’nın gerçek “sahipleri” ve “sahip olmalı” ve tanımlamalıdır. SLA’nın her gereksinimle aşırı yüklenmesi, az sayıda sağlayıcının karşılayabileceği bir “altın hizmet” talep eden riskler. Öte yandan, çok fazla uzlaşmayı kabul etmek riski artırır, bu nedenle kuruluşlar risk toleranslarını net bir şekilde anlamaya ihtiyaç duyarlar.
SLA’yı iş hedefleriyle hizalamak da kritiktir. Yeni platformla ne elde etmeye çalışan organizasyon nedir? Minimum uygulanabilir ürün (MVP) nedir? MVP’nin ötesindeki her şey “sahip olmak güzel”.
Bu, karar vericilerin sadece riski anlamalarını değil, aynı zamanda etkili bir şekilde ifade etmelerini ve nasıl yönetileceğini planlamalarını gerektirir. Risk yönetiminin her zaman teknik olması gerekmez-teknik kontroller ve yönetişim de önemli bir rol oynayabilir.
Genellikle, bu süreç örgütsel bir bağlantıyı vurgular: Tedarikin gerçekçi olmayan riski ortadan kaldırması beklenebilir. Riski ortadan kaldırmak onu yönetmekle aynı şey değildir.
Tanım gereği, yeni, yenilikçi veya test edilmemiş teknolojiyi benimsemek risk taşır, ancak aynı zamanda potansiyel faydalar da taşır. Kuruluşlar olası yukarı yönlü riski tartmalıdır: gelişmiş verimlilik, daha iyi müşteri hizmeti, gelişmiş personel desteği veya daha fazla çeviklik.
Yenilikçi platformları savunurken, BT ve güvenlik liderleri konuşmayı yeniden çerçevelemelidir. Sadece “Bu başarısız olursa risk nedir?” Ayrıca, “Bu başarılı olursa ödül nedir?” Diye sormalılar. Bu tartışmayı dengeler ve karar vericilerin risklerin yanında potansiyel değeri görmesine yardımcı olur.
Düzenleyici maruziyeti en aza indirirken yeni teknolojiyi başarılı bir şekilde benimsemek için BT ve güvenlik liderlerinin risk yöneticileri ile yakın çalışmaları gerekir.
Risk profesyonelleri, kuruluşun risk iştahını ve toleranslarını tanımlamaya yardımcı olabilir, bu da risklerin yönetilmesini sağlamak, sadece en aza indirilmez. Çoğu zaman, siber güvenlikte risk yönetimi, yenilikleri engelleyen her ne pahasına olursa olsun risk azaltma etrafında çerçevelenir.
Kuruluşlar, risk yöneticilerini tedarik ve karar almaya entegre ederek doğru dengeyi vurabilir: kabul edilebilir risk sınırları içinde kalırken inovasyonun sağlanması.