是不够安全优点找出如何保护数字企业可以毁了业务的风险,他们必须有效地卖给公司董事会的祝福是需要授权计划,Gartner分析师告诉与会者的安全与风险管理峰会。
有鉴于此,三个Gartner安全专家走了大约3400人的观众通过如何创建一个计划来管理风险和减少损失——如果攻击成功,和董事会的战略支持。
“百分之一百保护不应该是我们的目标,”Gartner的分析师Peter Firstbrook告诉聚会。“我们的目标应该是弹性”。
这意味着如何快速检测攻击,然后尽快回复,他说。
计划应该找到前六个风险威胁的业务,这是不一定相同的影响,获得分析师Jeff Wheatman说。要解决的问题是,“最重要的是相关的风险,可能导致商业风险变成真实的吗?”他说。这是企业决策者所关心的。
安全管理人员必须创建控制平衡需要保护业务和保持高效运行的需要。这样做安全专家和商业领袖创建计划时,他说。作为试验运行的飞行计划时提交给董事会。
商业团体领导人的反应可以三种方式:我们从来没想过这个问题;我们担心别的,不是在你的列表;我们不关心你的列表项。
这些答案都是有用的,因为他们是安全计划关注重要的业务涉众,他说。“他们都重要的给你一个更好的主意,“Wheatman说。
数字企业依赖于复杂的机器,组合技术,合作伙伴和服务提供商,其中许多是直接公司控制,所以重要的是要信任到微积分工作,他说。公司将承担损害赔偿责任源于一个违反一个数字业务虽然利用的元素是不能直接控制的公司吗?
对舞弊的风险进行对数字业务是最关心的问题,他说。欺诈和法律责任都可以解决通过建立一个有效的信托计划,帮助阻止攻击者,他说。
需要的是分散的分布式信任平台在两个平台之间建立信任,从未见过,Gartner分析师Felix Gaehtgens说。的架构应该适应方法到信任,从信任一切,直到证明自己不值得信任信任什么,直到它证明自己值得信赖。他将此称为适应性信任。
按比例,企业必须调整所以信任水平等于或大于风险的业务。如果不是,业务需求调整信托或风险,他说。
上下文决定信任很重要,他说。这台机器连接到一个网络,用户是谁,如何联系,用户的角色和数据从哪里来都是信任属性的例子可以在信任决策。联合身份验证、访问控制属性,标准和方法展示信任所有导致分配适当的信任水平,他说。
这必须平衡个人和企业数据的隐私的担忧。可以支撑的辅助与加密区块链技术,用于验证比特币交易。他说公司正在适应这交付安全交易和担保隐私通过启用共享身份属性没有惨败。
工具可以帮助包括可信虚拟机监控程序和不受信任的设备上的集装箱化、过滤与安全网关和普遍使用的加密与信任密钥管理。
它需要与软件开发人员的桥梁,鼓励建筑安全软件开发生命周期,Gaehtgens说。“我们需要参与SDLC的在每一个阶段,”他说,鼓励使用安全API的应用程序,然后用API网关来保护它们。
尽管尽力服务,安全计划可能会被打破,检测和快速应对这些入侵必须到位,Firstbrook说。
工具包括两个用户的行为分析和设备使用机器学习识别行为的改变,可能表明麻烦。欺骗工具可以捕获攻击者和揭示他们的目标,他说。
企业需要找到安全的猎人去消化这些信息快速获取安全事故,他说。当这些发现,企业需要隔离可疑设备和用户和控制交易悬而未决的调查,他说。
危机管理团队跨越法律、人力资源,公关和企业单位需要创建,训练和练习,这样就可以迅速行动起来当事件出现时,他说。
一旦全部到位,计划必须卖给董事会使用这个模板:
- 你提交给董事会了解其业务战略目标和战术目标。
- 列出你可以控制或管理的风险,以帮助满足业务目标。
- 指定您将采取技术措施应对风险和满足业务目标。
