我们把新闻和突出的Gartner安全与风险管理峰会本周发生在悉尼,澳大利亚。下面是一组关键的公告和见解的会议。你可以阅读从第一天的亮点在这里。
2天的会议上,我们强调安全与风险管理的十大趋势,和会话为什么第三方威胁应该是一个关键CISOs命令式;安全指标向管理层报告;以及如何对安全和风险沟通。
- Gartner的客户吗?登录为个性化的搜索结果。
亚博国际官网登录
悉尼,2022年6月22日
Gartner安全与风险管理峰会2022年,亚太地区:第二天集锦
重要公告
顶级安全与风险管理的趋势
由理查德•Addiscott Gartner分析师,高级主管
有很多业务,市场和技术动态,安全和风险管理领导人不能忽视。在这演讲,理查德Addiscott高级主管Gartner的分析师,突出趋势可能将安全生态系统在未来一至三年。
关键的外卖
- 攻击表面扩张。大幅增加的攻击表面从改变数字系统的使用,包括新的混合动力工作,加速使用公共云,更紧密地相互联系的供应链,面向公众数字资产的扩张,并使用更多的操作技术。
- 身份威胁检测和响应(ITDR)。ITDR描述工具和最佳实践的集合成功捍卫身份系统特有的攻击水平。
- 数字供应链风险。普遍的弱点如紧急/ 11和Log4j传遍供应链通过重用所有类型的技术堆栈,会出现更多的攻击。
- 供应商整合。安全技术融合加速,由于需要减少复杂性,利用共性,降低管理成本,提供更有效的保障。
- 网络安全网格。网络安全网格创建和利用可互操作的安全工具促进一致的安全姿势之间的连接,允许工具共享和利用安全情报和应用动态策略模型。
- 分配决策。到2025年,一个单一的、集中的CISO将不再是足够的组织管理网络安全需求的一个数字。
- 超越意识。人为错误继续特性在大多数数据漏洞,一个明确的信号,传统的安全意识培训方法不再有效。
它不是太迟加入会议!
网络安全领导人再也不能忽视第三方的威胁
Gartner的分析师,副总裁提出的卢克·埃勒里
甚至安全和风险管理领导人可能不知道第三方带来的威胁与控制自己的组织最敏感的数据,系统和关系。在这个会话,卢克·埃勒里Gartner分析师副总裁,探索这些领导人如何帮助利益相关者管理第三方的威胁;以及如何评估威胁和开发预定义的行为来解决关键的漏洞。
关键的外卖
- “作为CISO,地址是不可能的第三方网络风险自己——你必须帮助识别威胁的利益相关者参与的第三方业务。首先解释网络风险的基础,然后设置政策,维护网络安全预期的风险。”
- “采用分类方法应用适当的水平的分析通过识别第三方服务的范围和数据在他们的监护权。这将有助于确定是否需要采取进一步行动。”
- “尽管重大投资第三方网络风险,评估结果的多数没有行动。帮助企业做出决定,不要仅仅告诉他们的弱点。使用自己的语言,沟通问题上他们关心,强调价值的股份。”
- “有一组预定义的行动减少最常见的风险,第三方在场。”
- “更自信的期望不同类型的第三方,包括最低标准或控制保护组织免受不可接受的风险。”
- “违反仍然发生尽管最好的意图,所以分配资源授权作出回应。通过实施一个计划,监控和沟通第三方网络风险,这些资源可以管理注册的网络风险,应对不断变化的因素和事件,并报告相关的利益相关者。”
停止报告管理层运营指标,真的…停止
提出的罗伯•麦克米兰管理副总裁,Gartner
CISOs保持生成详细的图表,转储到五十页幻灯演示和扔在其他高管,希望他们理解他们…甚至照顾。在这个会话,罗伯·麦克米兰常务副总裁Gartner研究时产生共鸣最好的消息汇报给主管;这些度量结构的最有效方法;如何使其更容易操作指标,如果他们必须使用。
关键的外卖
- “有良好的网络安全程序和策略,是与组织的目标和目的协助构建度量程序。奠定了基础为报告你的管理层而言他们是最熟悉…业务术语。”
- “添加上下文所以听众理解数据所代表的含义。如果指标需要解释每一次你现在或你的听众本身有问题”那又怎样?在他们的头,他们没有适当的结构化或语境。”
- “高管不直观地看到技术安全数据点之间的联系和领导负责实现的业务成果。向他们提供多个技术数据点不是有效地驾驶决策。”
- “识别和沟通业务相关的度量标准,将使您能够展示的价值活动和展示改进。”
- “指标必须是可测量的符合成本效益的方式。努力或成本越高它需要识别、跟踪和报告这些指标,就不可能成为一个组织的治理和决策框架的一部分。”
- “确保你的指标驱动作用。定义一个明确的前进方向和下一步或对你的听众的建议。一份报告,不使这些决定不是有用的。”
- “改变叙事通过确保指标显然连接业务成果,调整一个故事以适合您的特定的观众和听众积极管理其信息风险。”
五个安全和风险叙述,您可以使用与你的董事会进行沟通
主任由Deepti Gopal分析师,Gartner
董事会现在需要定期报道国家的安全和风险管理组织。如何开发有效的平衡需要保护的消息需要运行您的业务?在这个会话,Deepti GopalGartner分析师主任提供五个可行的叙述,安全和风险领导人可以使用与董事会沟通。
关键的外卖
- “在发展中演示你的董事会之前,了解他们作为个体。他们的背景是什么?又有什么作用呢?他们有专业网络安全吗?他们的偏见和激情是什么?”
- “当与董事会沟通,保持信息。认为板:是短暂的,开放的,准确的,相关的和外交”。
- 叙述。1:我们的网络安全风险是什么?“让企业最大的网络风险之间的联系和业务机会,可以实现是否有效地管理这些风险。强调有效的上行网络风险管理,不仅避免了坏的结果。”
- 叙述。2:网络安全与风险偏好?“帮助董事会明白,没有所谓的完美保护,只是连续的成本和风险。你的目标是建立一个可持续发展的项目,平衡需要防止需要运行业务。”
- 叙述。3:谁是管理我们的网络安全风险?“安全领导人必须承认董事”的网络安全、风险和投资不同,和您的组织的计划应该反映这一点。”
- 叙述。4:我们有记录,可审计的网络安全计划吗?“在可能的情况下,采用公认的框架。合规监管永远是不够的。在法庭上你将不仅满足监管遇到了理性人测试”。
- 叙述。5:我们可以把我们的网络安全的姿态进入市场的区别?“小心,“足够的”安全不是一个区别。相反,找到一个方法来证明安全有助于整体业务性能,例如,通过使用平衡计分卡的方法说明了用一个简单的“红绿灯”机制。”
关于Gartner
Gartner Inc .(纽约证券交易所:它)提供可操作的客观洞察力驱动智能决策和更强的性能在一个组织的关键任务的优先级。要了解更多,请访问2020年亚博收网行动 。