Gartner发布开发敏捷网络安全计划指南:安全计划是一个在快速变化的环境中运作的复杂生态系统

随着企业数字化程度的提高,它们面临的网络安全风险和威胁只会增加。这项研究有助于高管领导了解敏捷网络安全计划的重要性,以及如何与安全和风险利益相关者合作,为下一次重大破坏做好准备。

主要发现

  • 新冠肺炎疫情、地区冲突、全球政治紧张局势、经济不确定性和生成性人工智能等事件造成的破坏,正在催生新的技术采用模式(例如 IT 民主化、商业技术人员),这也带来了新的网络风险。

  • 这些事件凸显了严格、不灵活的安全计划所带来的挑战。它们还强调了对能够根据外部变化做出调整的敏捷网络安全计划的迫切需求。

  • 网络安全领导者面临着压力,他们需要支持和推动快速变化的业务需求和优先事项,而不是阻碍和减缓这些需求和优先事项。这需要新的网络安全治理、战略和运营方法。

建议

为了通过实施敏捷网络安全计划来加强风险管理,高管领导应:

  • 通过认识和理解敏捷安全和风险管理实践的重要性,实现分布式风险决策。

  • 支持安全和风险管理(SRM)部门改变安全战略和战术规划,以便更好地响应运营环境的变化。

  • 鼓励 SRM 发布安全运营模型,并在做出任何紧急决定之前对其影响进行快速桌面评估。

介绍

最近的全球社会经济和政治动荡对所有组织产生了深远的影响,这些影响包括:

  • 快速加速组织的数字化计划——例如,增强在家办公能力、更多地采用人工智能(AI)来调整供应链和制造流程,以及部署新的移动应用程序来与客户互动。

  • 针对远程员工的网络攻击有所增加——针对开始在家办公的员工的大量表面和不断变化的行为进行了调整。

  • 政府法规的快速演变——迫使许多企业对其现有运营模式做出快速改变,并对 IT 和安全人员提出挑战。

  • 供应链中断——凸显了许多此类系统的脆弱性以及许多企业对其供应链的高度依赖。

  • 压力和焦虑增加——分散了许多员工的注意力,使他们更容易成为网络犯罪分子的目标。这凸显了有效的环境、健康和安全能力的重要性。

这些影响已经形成了影响网络安全计划的持续力量(见图1 )。

图 1:影响网络安全计划的持久力量

结果,大多数安全团队不得不迅速重新调整其路线图和投资的优先顺序,这极大地扰乱了他们计划的工作计划。经济和政治冲击进一步凸显了对足够敏捷的安全计划的迫切需求,这些计划能够应对大大小小的外部冲击。在组织应对这些变化的影响时,高管必须了解重新设计网络安全计划以实现敏捷性的重要性。

分析

通过自适应治理实现分布式风险决策

远程工作加速了数字化进程,其特点是敏捷、分散的决策。传统的集中式安全治理阻碍了敏捷风险决策,需要安全治理实践做出相应调整。

高管领导应理解并强调正式化和培养安全风险所有者责任原则的重要性。该原则规定,资源所有者(例如业务流程、应用程序和数据所有者)负责保护组织的信息资源、业务流程和成果。这也意味着资源所有者必须拥有必要的自主权、权限、信息和工具,才能做出影响其资源的安全风险决策。当无法确定明确的业务资源所有权时(例如,在共享信息和基础设施的情况下),责任、风险所有权和相关权限必须由另一方承担。这通常是首席信息官 (CIO) 或其他核心职能,例如首席运营官 (COO)。

将能力、责任和相关的自主权和权力正式化是采用自适应数字风险治理模式的基础。自适应治理是一种组织能力,它决定了在特定环境下实现所需业务成果的正确治理方式和机制。最终,自适应风险治理是有效分布式风险决策的先决条件(见图 2)。

图 2:自适应风险治理模型

尽管分布式风险决策有助于提高敏捷性,但它本身并不能带来更敏捷的风险管理。此外,并非所有风险决策都可以下放。许多组织不具备所需的成熟度,一些企业项目仍然需要集中风险评估。如果风险管理实践以合规性和框架驱动的评估为中心,情况尤其如此。明确定义风险偏好有助于有效的分布式风险决策。

如今,大多数安全团队都执行非正式和直观的风险评估,通常没有意识到他们在没有任何正式评估的情况下做出了隐性风险决策。少数从业者有时会进行更严格、更有条理的评估。高管领导应鼓励安全团队制定更敏捷的风险评估,以便大多数评估能够快速完成,但又足够严格。同时,高管领导应要求安全团队确保在少数情况下(情况需要)能够执行更详细的评估(见图 3)。

图 3:敏捷风险评估方法

为了采用敏捷风险评估方法,执行领导应让 SRM 领导者认真完成以下步骤:

  • 确定相关利益者。

  • 确定评估范围,并与相关利益者达成一致。

  • 将评估范围与现有的类似领域、解决方案或基础设施模式进行比较。这将有助于确定重复使用现有评估结果和控制决策的机会。

  • 与主要利益相关者讨论以决定是否:

o   需要更详细的风险评估。如果需要,请安排评估。

o   有足够的信息和控制来就剩余风险达成一致。如果是这样,请记录该决定、所遵循的流程和风险接受声明。

风险决策应分散,不再由信息安全职能部门或正式定义的风险所有者子集负责。自适应风险管理是有效、分布式风险决策的先决条件。高管领导应了解正式化和巩固所有者问责制原则的重要性,因为这将使安全和风险领导者能够巩固自适应风险管理的基础。

改变安全战略和战术规划

大多数安全战略计划每年制定一次,有时每三至五年制定一次。数字化带来的变化速度因近期的经济和政治冲击而加剧。明确的年度安全战略计划不一定是敏捷的。

高管领导应支持 SRM 领导举办季度情景规划研讨会,以确定需要对安全战略和路线图进行重大改变的重大影响事件的关键领先指标。此类研讨会的议程应包括:

  • 评估当前商业、技术和威胁环境中的宏观趋势。这应包括企业运营所在的商业、政治、技术、经济或健康环境中正在出现或即将发生的变化。

  • 识别任何可能影响业务的潜在情景以及任何相关的网络风险。

  • 确定如果情景出现则必须考虑的潜在宏观行动。

o   执行领导还应决定是否应对其中一种或多种情景进行风险和业务影响评估。

o   根据这些评估的结果,或者一旦触发事件出现,安全路线图就应该进行调整,以反映对应对新情况的新功能、新政策和新控制的投资。

  • 识别将启动这些操作的触发事件并需要制定额外的详细响应。

这些研讨会的结果应得到高管领导的认可,其中包括:

  • 首席运营官

  • 首席营销官或销售副总裁

  • 首席风险官

  • 首席财务官

  • 隐私官

  • 法律顾问

  • 首席信息官

  • 企业架构主管

敏捷安全规划和决策的一个关键制约因素可能是组织的安全策略所规定的限制。用更广泛的安全原则取代一些详细的安全策略可以加快决策速度。例如,强制性用户识别和身份验证方法的规定性政策可以用一个简单的原则来取代,该原则规定:“所有需要访问组织系统的人员或服务都必须具有唯一的标识符和风险适当的身份验证。”这为快速控制决策提供了更大的灵活性——尤其是对于动态和敏捷的数字化项目。这种方法在缺乏政策、标准、指南或程序的领域也很有用。

安全原则的示例包括:

  • 控制措施将与明确的风险决策挂钩

  • 风险决策将与业务需求和记录的风险挂钩

  • 每项政策、控制措施或流程都会有一个负责的人员或角色

  • 我们将在切实可行的情况下实施纵深防御(或分层)安全控制架构/环境

  • 我们将始终采用侵入性最小的方法

发布安全运营模型,降低快速决策固有的风险

安全计划是一个在快速变化的环境中运作的复杂生态系统。执行领导应该意识到,SRM 领导做出的改变某件事的每一个决定都会对生态系统产生影响。其中一些影响是可以预料到的,希望总体上是积极的。然而,有时可能会出现意想不到的和意想不到的后果。

安全运营模型可用于在实施变更决策之前快速评估其潜在后果(见图 4)。

图 4:信息安全运营模型

Gartner 的研究表明,网络安全运营模式正在一些关键领域发生深刻变化:

  • 网络风险所有者责任正在正式化

  • 网络风险管理在风险所有者和中央风险保证职能之间正变得更加协作

  • 基于不太规范的安全政策,网络安全政策管理变得更加灵活

高管领导应鼓励 SRM 领导在针对技术或业务环境的变化做出任何紧急变更决策之前,对使用运营模式的影响进行快速桌面评估。这将有助于 SRM 领导了解他们的决策对整体安全运营模式的广泛影响。

关于商业价值

执行领导必须在经营业务的需要与业务面临的风险之间取得平衡。随着数字业务要求的日益严格,应该进一步审查 SRM 领导的绩效和效率。执行领导应该了解如何才能让 SRM 不再成为成本中心,而是成为业务部门或组织的价值创造者。

执行领导应支持 SRM 领导促进此类业务成果,并有理有据地展示组织的价值创造。这样,SRM 功能就成为企业的竞争优势。执行领导还应鼓励 SRM 领导制定并向非 IT 高管(包括董事会)传达叙述。这将有助于他们重新审视组织对安全和风险的看法。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/744227.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

cropperjs 裁剪/框选图片

1.效果 2.使用组件 <!-- 父级 --><Cropper ref"cropperRef" :imgUrl"url" searchImg"searchImg"></Cropper>3.封装组件 <template><el-dialog :title"title" :visible.sync"dialogVisible" wi…

游戏服务器研究二:大世界的 scale 问题

这是一个非常陈旧的话题了&#xff0c;没什么新鲜的&#xff0c;但本人对 scale 比较感兴趣&#xff0c;所以研究得比较多。 本文不会探讨 MMO 类的网游提升单服承载人数有没有意义&#xff0c;只单纯讨论技术上如何实现。 像 moba、fps、棋牌、体育竞技等 “开房间类型的游戏…

前端:HTML、CSS、JavaScript 代码注释 / 注释与代码规范

一、HTML 行内注释 HTML注释是在HTML代码中添加说明和解释的一种方法&#xff0c;这些注释不会被浏览器渲染或显示在页面上&#xff0c;而是被浏览器忽略。HTML注释对于代码的可读性、可维护性和团队协作非常重要。 1.1、HTML注释的语法 HTML注释的语法是以<!--开始&…

中小学劳技课程开展创意木工 传承非遗木工魅力

学生劳技课程&#xff0c;全称劳动技术课程&#xff0c;是一门旨在通过实践活动培养学生的劳动技能、创新思维、实践能力和社会责任感的基础教育课程。这门课程强调学生的参与和体验&#xff0c;让学生在动手实践中学习并掌握知识&#xff0c;提高解决问题的能力。 学生劳技课程…

大模型应用研发基础环境配置(Miniconda、Python、Jupyter Lab、Ollama等)

老牛同学之前使用的MacBook Pro电脑配置有点旧&#xff08;2015 年生产&#xff09;&#xff0c;跑大模型感觉有点吃力&#xff0c;操作起来有点卡顿&#xff0c;因此不得已捡起了尘封了快两年的MateBook Pro电脑&#xff08;老牛同学其实不太喜欢用 Windows 电脑做研发工作&am…

解码数智升级良方:中国一拖、中原传媒、神火股份等企业数字化实践分析

大模型、AI等技术的成熟以及政策法规的细化&#xff0c;数据资源的权属论证、合规确权、资产论证等环节逐渐走向实用性、价值化。 而伴随着“业财税数融”综合性数字化成为企业数字化转型的主流选择&#xff0c;财务部门的纽带属性被放大&#xff0c;财务数据的融合能力成为企业…

ABC234G Divide a Sequence 题解

题目来源 ABC234G 洛谷 Description 给定长度为 n n n 的序列 { a n } \{a_n\} {an​}。定义一种将 { a n } \{a_n\} {an​} 划分为若干段的方案的价值为每段的最大值减去最小值的差的乘积。求所有划分方案的价值的总和并对 998244353 998244353 998244353 取模。 1 ≤…

Vue3 使用 Vue Router 时,params 传参失效

前言&#xff1a; 在写项目的时候&#xff0c;使用了 vue-router 的 params 进行传参&#xff0c;但是在详情页面中一直获取不到参数。原因&#xff1a;Vue Router 在2022-8-22的那次更新后&#xff0c;使用这种方式在新页面上无法获取&#xff01; 正文&#xff1a; 在列表页进…

从零开始做题:老照片中的密码

老照片中的密码 1.题目 1.1 给出图片如下 1.2 给出如下提示 这张老照片中的人使用的是莫尔斯电报机&#xff0c;莫尔斯电报机分为莫尔斯人工电报机和莫尔斯自动电报机&#xff08;简称莫尔斯快机&#xff09;。莫尔斯人工电报机是一种最简单的电报机&#xff0c;由三个部分组…

【笔记】从零开始做一个精灵龙女-拆uv阶段

目录 先回顾一下拆uv的基础流程吧 肩部盔甲分UV示例 手环UV部分 腰带UV部分 其它也差不多&#xff0c;需要删掉一半的就先提前删掉一半&#xff0c;然后把不需要的被遮挡的面也删掉 龙角UV 胸甲UV 侧边碎发UV 马尾UV 脸部/耳朵UV 特殊情况&#xff1a;如果要删一半再…

kafka的命令行操作

kafka-topics.bat 该命令行和主题相关 kafka启动后&#xff0c;默认端口为9092,可修改 找到kafka_2.13-3.6.2\bin\windows目录下的kafka-topics.bat&#xff0c;用cmd执行 按下会有提示&#xff0c;REQURIED代表为必输项 创建topic 创建一个名为test的topic队列 kafka-t…

绘制图形

自学python如何成为大佬(目录):https://blog.csdn.net/weixin_67859959/article/details/139049996?spm1001.2014.3001.5501 在前3节的实例中&#xff0c;我们一直绘制的都是直线&#xff0c;实际上&#xff0c;海龟绘图还可以绘制其他形状的图形&#xff0c;如圆形、多边形等…

FineReport聚合报表与操作

一、报表类型 模板设计是 FineReport 学习过程中的主要难题所在&#xff0c;FineReport 模板设计主要包括普通报表、聚合报表、决策报表三种设计类型。 报表类型简介- FineReport帮助文档 - 全面的报表使用教程和学习资料 二、聚合报表 2-1 介绍 聚合报表指一个报表中包含多个…

STM32的SPI通信

1 SPI协议简介 SPI&#xff08;Serial Peripheral Interface&#xff09;协议是由摩托罗拉公司提出的通信协议&#xff0c;即串行外围设备接口&#xff0c;是一种高速全双工的通信总线。它被广泛地使用在ADC、LCD等设备与MCU间&#xff0c;使用于对通信速率要求较高的场合。 …

扩散模型 GLIDE:35 亿参数的情况下优于 120 亿参数的 DALL-E 模型

节前&#xff0c;我们星球组织了一场算法岗技术&面试讨论会&#xff0c;邀请了一些互联网大厂朋友、参加社招和校招面试的同学。 针对算法岗技术趋势、大模型落地项目经验分享、新手如何入门算法岗、该如何准备、面试常考点分享等热门话题进行了深入的讨论。 合集&#x…

LeetCode 算法:二叉树的层序遍历 c++

原题链接&#x1f517;&#xff1a;二叉树的层序遍历 难度&#xff1a;中等⭐️⭐️ 题目 给你二叉树的根节点 root &#xff0c;返回其节点值的 层序遍历 。 &#xff08;即逐层地&#xff0c;从左到右访问所有节点&#xff09;。 示例 1&#xff1a; 输入&#xff1a;roo…

TensorFlow开源项目

欢迎来到 Papicatch的博客 文章目录 &#x1f349;TensorFlow介绍 &#x1f349;主要特点和功能 &#x1f348;多语言支持 &#x1f348;灵活的架构 &#x1f348;分布式训练 &#x1f348;跨平台部署 &#x1f348;强大的工具链 &#x1f348;丰富的社区和生态系统 &a…

人工智能与物联网:融合创新驱动未来

引言 人工智能&#xff08;AI&#xff09;指的是计算机系统模拟人类智能的能力&#xff0c;包括学习、推理、问题解决、理解自然语言以及感知和响应环境的能力。AI技术涵盖了机器学习、深度学习、神经网络、自然语言处理等领域&#xff0c;广泛应用于图像识别、语音识别、自动驾…

FPGA学习笔记(5)——硬件调试与使用内置的集成逻辑分析仪(ILA)IP核

如果要对信号进行分析&#xff0c;可以使用外置的逻辑分析仪&#xff0c;但成本较高&#xff0c;对初学者来说没有必要&#xff0c;可以使用Xilinx Vivado内自带的逻辑分析仪IP核对信号进行分析&#xff0c;不过需要占用一定的芯片资源。 本节采用上一节配置的LED灯闪烁代码&a…

如何改善老年人的行走姿势以减少小碎步现象?

改善老年人行走姿势的方法 为了改善老年人的行走姿势并减少小碎步现象&#xff0c;可以采取以下几种方法&#xff1a; 平衡训练&#xff1a;通过使用单脚站立架、平衡板等器械&#xff0c;提高身体稳定性和协调性&#xff0c;增强核心稳定性及下肢肌肉力量&#xff0c;从而改善…