2022年Gartner安全与风险管理峰会热点汇总
点击蓝字 关注我们 ///
@GoUpSec
2022年Gartner安全与风险管理峰会伦敦站于9月14日结束。该活动讨论了许多企业界非常关注的网络安全和风险管理热点议题,例如:
解决关键的战略要务,例如制定敏捷的安全战略
培养以人为本的安全意识文化
风险责任权力下放
建立一个新的简化的网络安全网格架构
随着全球企业加速向数字化和敏捷运营转型,企业的风险状况正在发生巨变。Gartner此次会议重点讨论了企业必须在2023年之前建立的新安全环境,这包括重新审视和思考当前的安全和风险评估思维,简化程序和组织层面的安全保障,并建立安全意识文化。
以下是为期三天的安全会议的主要亮点。
十个核心风险管理实践
安全和风险管理(SRM)高管正在努力推动其网络和IT风险管理流程超越风险评估。Gartner副总裁分析师Jie Zhang认为SRM高管可以使用以下十个核心风险管理实践来确保其公司IT风险管理目标的成功:
确定控制要求
进行业务影响分析
定义风险参数和风险管理策略
进行风险评估和评估控制
在风险登记册中记录风险并持续沟通
在项目生命周期中嵌入风险评估、安全测试和治理
投资于减少技术债务
确定范围
监控损失风险和其他指标
嵌入组织范围内的风险处理态度
云安全的关键战略和要点
云安全是一项关键责任。然而,公共云服务提供商自身导致了许多独特的威胁。在本次会议上,Gartner高级总监分析师Charlie Winckless强调了解决基础设施即服务(IaaS)和软件即服务(SaaS)的主要安全难题。Gartner提出了企业云安全战略的四个关键步骤:
云安全的关键要点
在采用云计算的早期阶段,一些企业开始在云中采用传统的安全技术。这种策略可能在短期内有效,但是当应用程序和DevOps团队采用云原生服务时,传统的安全技术可能无法服务于这些用例。
资源保护、云配置、工件扫描和DevSecOps支持都必须在云原生安全中得到解决。
云原生企业及其安全投资可以提供对未来安全状况的洞察。
使安全性与底层架构和业务的重要性保持一致,没有万灵药。
由于云安全功能可能会更新且适应性更强,因此请在适当的时候将它们整合到您的本地系统中。
更多地考虑云安全愿景,未来的技术和趋势可能包含:云提供商成为安全提供商、安全或策略即代码、数据和云主权、机密计算等。
如何有效地准备和应对不断
变化的威胁环境
攻击者正在根据企业的发展动态调整他们的方法和计划,威胁环境也在演变。Gartner副总裁分析师Jeremy D'Hoinne为安全和风险管理高管提供了重要的建议,以应对顶级、高级和新兴威胁。Gartner建议安全和风险管理人员关注三类风险:公认的常见主要威胁、高动量威胁以及新出现的、独特的和不可预测的危险。
主要威胁:公司敏锐地意识到由于潜在发展而年复一年仍然存在的威胁。
高动量威胁:正在上升但其意识还不能与顶级威胁相提并论的威胁。
新兴威胁:较罕见、不太明显但严重到足以引起安全和风险管理主管关注的威胁。
关键要点
在与主流威胁作斗争时,请密切关注那些导致脆弱面扩大的微观趋势。通过汇报这些主要威胁的微观趋势,安全团队可以争取到管理层对安全控制升级的持续投资和支持。
在安全运营部门内建立系统,以分析新兴和高动量威胁的影响。从API、供应链和网络物理系统(CPS)风险开始,重点关注风险意识、暴露管理、状态验证和基本安全卫生。
对于新兴和未来的威胁,专注于网络弹性并将安全与组织领导者(的战略)联系起来,以预见由于业务转型而导致的攻击面的增长。
2022年安全运营的巨变
安全运营的规划和输出方式正在发生巨大变化。Gartner副总裁分析师Pete Shoard在网络研讨会期间列举了2022年影响企业安全运营变革的关键技术、程序和服务。
企业制订2022年安全运营战略时需要重点关注以下三个方面:
如何优化威胁情报和威胁搜寻的价值。
能见度提升的重点是如何最大限度地减少暴露。
自动化和人工智能对您的安全运营是否有现实意义。
关键要点
评估威胁情报听起来很困难,事实往往也是如此。但是,您可以给情报源制订评估指标,以评估它们产生了多少可操作的指示,并衡量其是否有助于减少误报。
初期可以考虑用威胁情报帮助威胁狩猎,或者填补体系空白。将威胁狩猎正式化并使之成为SecOps计划的基本功能,在日程中安排时间来完成它。
攻击面、漏洞和验证是暴露控制的三大支柱。
多种暴露管理技术可用于增强检测分析的广度、自动化和准确性。
在投资自动化或人工智能解决方案之前,必须首先设计一个流程并配合一些资源来监控成效。
2022-2023年隐私前景预测
隐私显著影响着企业的数字化转型计划,并且是企业开发新客户参与模式和团队成员关系的核心。在会议上,Gartner副总裁分析师Nader Henein回顾了2022年及以后隐私领域的法律和技术演变,提出隐私治理的三个起点:
隐私体验:隐私体验包含通知与政策、cookie管理、CPM、对象权益管理等。
隐私管理:隐私管理包括隐私映射、ROPAs、PIA自动化;关注中央数据库合规问题的可以此为起点。
隐私控制:隐私控制包括发现、分类、PEC工具;试图控制流程活动的可以此为起点。
关键要点
法律隐私环境正变得越来越复杂,面对这样的限制,企业不能仅仅使用清单来追求合规性,必须适应并变得更有效率。
隐私部门的平均预算为220万美元,不太可能独占太多预算。因此,隐私主管必须找出合理路径并寻求其他业务部门的帮助。
锁定能够帮助推进隐私计划的关键人物,然后确定这些利益相关者在未来两到三年内的重要目标,看看您是否可以与之匹配的一项或多项(隐私)功能。
隐私控制是以数据为中心的工具,可以在数据级别获得洞察力并实现管理,例如自动数据查找和映射工具,类似于计时器或健身追踪器。
它们通常被称为隐私平台或隐私管理系统,是合规相关文书工作的主要存储库。这些技术有助于评估风险、处理运营文档以及创建隐私计划报告。
隐私用户体验包括显示和管理通知和政策声明、记录消费者同意和偏好以及处理主体权利请求的功能。
END
相关阅读