我们将为您带来来自高德纳安全与风险管理峰会该会议将于本周在澳大利亚悉尼举行。以下是会议发布的主要公告和见解的集合。你可以从第一天开始阅读集锦在这里.
在会议的第二天,我们重点介绍了安全和风险管理方面的主要趋势,并讨论了为什么第三方威胁应该成为CISOs的关键因素;向公司高层报告哪些安全指标;以及如何与董事会沟通安全和风险。
- Gartner的客户吗?登录个性化搜索结果。
2022世界杯半决赛走地
悉尼,2022年6月22日
2022年亚太高德纳安全与风险管理峰会:第2天亮点
重要公告
安全与风险管理的主要趋势
由高德纳高级总监分析师Richard addisco介绍
有许多业务、市场和技术动态是安全和风险管理领导者不能忽视的。在这次演讲中,理查德Addiscott, Gartner的高级总监分析师强调了未来一到三年有可能改变安全生态系统的主要趋势。
关键的外卖
- 攻击面扩展。由于数字系统使用的变化,攻击面急剧增加,包括新的混合工作、公共云的加速使用、更紧密连接的供应链、面向公共的数字资产的扩大以及运营技术的更多使用。
- 身份威胁检测和响应(ITDR)。ITDR描述了成功保护身份系统免受地方性攻击的工具和最佳实践的集合。
- 数字供应链风险。随着诸如URGENT/11和Log4j等广泛存在的漏洞通过跨所有类型的技术栈重用在整个供应链中传播,将出现更多的攻击。
- 供应商整合。由于需要减少复杂性、利用共性、减少管理开销并提供更有效的安全性,安全技术的融合正在加速。
- 网络安全网格。网络安全网格创建和利用安全工具之间的互操作连接,以促进一致的安全态势,允许工具共享和利用安全情报,并应用动态策略模型。
- 分配决策。到2025年,单一、集中的CISO将不再足以管理数字化组织的网络安全需求。
- 超越意识。人为错误仍然是大多数数据泄露的主要原因,这是一个明确的信号,表明传统的安全意识培训方法不再有效。
现在参加会议还不晚!
网络安全领导者不能再忽视第三方威胁
由Gartner副分析师Luke Ellery介绍
即使是安全和风险管理的领导者也可能没有意识到第三方所带来的威胁,因为第三方控制着他们组织中最敏感的数据、系统和关系。在这次会议上,卢克·埃勒里, Gartner的副分析师,探讨了这些领导者如何帮助利益相关者管理第三方威胁;以及他们如何评估威胁和制定预定义的行动,以解决关键的漏洞。
关键的外卖
- “作为一名首席信息官,你不可能独自解决第三方网络风险——你必须让利益相关者参与,帮助识别第三方业务中的威胁。首先解释网络风险的基本原理,然后制定政策,维持与风险相称的网络安全预期。”
- “通过确定第三方服务的范围及其托管的数据,采用分类方法应用适当级别的分析。这将有助于确定是否需要采取进一步行动。”
- “尽管对第三方网络风险进行了大量投资,但大多数评估都没有采取任何行动。帮助企业做决定,不要只是告诉他们弱点。用他们的语言,就他们关心的事情进行交流,并强调其中的价值。”
- “制定一套预先确定的行动,以减轻第三方带来的最常见风险。”
- “对不同类型第三方的期望更加自信,包括最低标准或控制,以保护您的组织免受不可接受的风险。”
- “尽管出于好意,入侵仍然会发生,所以要分配有能力应对的资源。通过实施监控和沟通第三方网络风险的计划,这些资源可以管理网络风险登记册,响应变化的因素和事件,并向相关利益攸关方报告。”
停止向高层报告运营指标,真的……停止
由高德纳公司执行副总裁Rob McMillan介绍
CISOs不断生成详细的图表,将它们放入50页的幻灯片中,扔给其他高管,希望他们能理解……甚至不在乎。在这次会议上,罗伯·麦克米兰高德纳(Gartner)的管理副总裁探究了向高管汇报时最能引起共鸣的信息;构建这些指标的最有效方法;以及如果必须使用运营指标,如何使它们更令人满意。
关键的外卖
- “有一个良好的网络安全计划和战略,与组织的目标和目标相联系,有助于构建您的度量计划。这为你用最熟悉的商业术语向你的高管们汇报奠定了基础。”
- “添加上下文,这样你的观众就能理解数据所代表的含义。如果你在每次呈现参数时都需要解释它们,那么你的用户便会问“那又怎样?”’在他们的头脑中,他们没有被恰当地组织或背景化。”
- “高管们没有直观地看到技术安全数据点与领导层负责实现的业务成果之间的联系。为他们提供多个技术数据点并不能有效地推动决策。”
- “确定并沟通业务相关的度量标准,这将使您能够演示活动的价值,并随着时间的推移显示改进。”
- “度量标准必须以一种具有成本效益的方式进行度量。识别、跟踪和报告这些指标所需的努力或成本越高,它们就越不可能成为组织治理和决策框架的一部分。”
- “确保你的参数能够推动行动。为你的听众定义一个清晰的前进方向和下一步的步骤或建议。一份无助于做出这些决定的报告是没有用的。”
- “通过确保指标清楚地与业务结果联系起来,为特定的用户定制故事,并让用户积极管理信息风险,来改变叙事。”
你可以用来与董事会沟通的五种安全和风险叙述
由高德纳公司首席分析师Deepti Gopal提供
董事会现在要求定期报告其组织的安全和风险管理状况。你如何开发有效的信息来平衡保护的需要和经营业务的需要?在这次会议上,Deepti Gopal高德纳(Gartner)的总监分析师,提供了五个可操作的叙述,供安全和风险领导者与董事会沟通时使用。
关键的外卖
- “在为你的董事会做报告之前,要了解每个人。他们的背景是什么?他们扮演什么角色?他们有网络安全专业知识吗?他们的偏见和热情是什么?”
- “当你与董事会沟通时,保持信息的连贯性。Think BOARD:简短、开放、准确、切题和外交。”
- 叙述。1:我们最大的网络安全风险是什么?“将企业的主要网络风险与如果这些风险得到有效管理就能获得的商业机会联系起来。强调有效的网络风险管理的好处,而不仅仅是避免不良后果。”
- 叙述。2:网络安全与我们的风险偏好有什么关系?“帮助董事会理解,没有完美的保护,只有持续的成本和风险。你的目标是建立一个可持续的计划,平衡保护的需要和经营业务的需要。”
- 叙述。3:谁在管理我们的网络安全风险?“安全领导者必须承认,董事会成员对网络安全、风险和投资的看法可能各不相同,你的组织计划应该反映出这一点。”
- 叙述。4:我们是否有一个文件化的、可审计的网络安全计划?“在可能的情况下,采用认可的架构。遵守法规是远远不够的。在法庭上,你不仅要符合规定,还要符合理性人标准。”
- 叙述。5 .我们能否将网络安全立场转变为市场差异化?这里要小心,因为“足够的”安全并不是一个区别。相反,要找到一种方法来展示安全对整体业务绩效的贡献,例如,使用平衡计分卡方法,配以一个简单的‘红绿灯’机制。”
世界杯足球比赛预选赛
Gartner, Inc.(纽约证券交易所代码:IT)为高管及其团队提供可操作的、客观的见解。我们的专世界杯欧洲杯赛程家指导和工具能够更快、更明智的决策和更强的绩效,在组织的关键任务优先级。欲了解更多,请访问gartner.com.