2018年8月08
- Gartner的客户吗?登录为个性化的搜索结果。
网络安全技能短缺
贡献:罗伯·范德Meulen
“精益”方法编制的IT安全人才日益增长的需求。
传统智慧,增加网络安全威胁需要越来越大的安全团队。Gartner的研究副总裁汤姆Scholtz说,这是时间的想法不同。”数字业务永久改变了风险格局,”Scholtz说。“即使在可能的情况下,没有资源约束,扩大一个集中的网络安全功能越来越多的威胁出现不一定是最好的方法来保护组织。”
“许多常规安全功能可以执行其他IT或业务功能”
那些考虑一种不同的方法必须遵守的原则数字业务安全:
- 发展安全团队被保护者的所有基础设施和数据基于风险的决策在整个组织的协调员。
- 完全集成的安全实践织物的组织,而不是螺栓和执行通过一个集中的安全功能。
- 分享责任为保护企业资源与业务流程、应用程序和数据拥有者——不再是仅仅负责安全团队。
”这些原则背道而驰的想法建立一个日益增长的安全团队来应对日益增长的威胁,“Scholtz说。事实上,“许多常规安全功能可以被执行,如果不是更好,通过其他IT或业务功能。”
确定安全功能,可以转移开
评估你目前的安全团队的有效性,识别函数或功能(如用户感知通信),可以下放在业务或IT部门。确定哪些功能运行良好,因此不应中断,并执行有效的或根本不可能。
下一个识别安全问题的根源。目前人员超载吗?业务单位之间有政治或文化障碍?有扩展问题吗?函数问题等原因可能候选人权力下放。
如果没有专门的安全组织,这意味着它和非IT员工目前执行所有安全功能,最主要的问题可能是由于缺乏协调。这种情况表明潜力建立精益治理功能。
找到一个新家业绩不佳的安全功能
基于你的评估,确定替代的位置在业务或IT部门尚未underresourced或执行安全功能。选择应具备的能力、资源、政治影响力和商业动机迁移功能的支持。另一种可能性是外包管理服务提供商。
“移动安全决策接近受影响的业务单位也可以帮助推动更明智的决策”
许多传统的端点和网络安全实践与专业人士能找到一个新家IT基础设施和运营团队。应用程序安全功能可以迁移到应用程序开发和DevOps团队。“这种方法可能会导致“精益”的设计安全组织在一个专用的安全领导管理集中协调的关键管理和经营活动,“Scholtz说。
精益方法的利弊
精益方法数字安全可以缓解在网络安全领域的技能短缺。它还可以帮助建立一个广泛的理解在一个组织的安全问题。这是完全适当的,因为所有员工应该了解并能够管理安全的影响他们的工作。移动安全决策接近受影响的业务单位也可以帮助推动更明智的决策,以更好地理解底层的流程和业务的影响。
一个关键的缺点,然而,可能是破碎的安全角色和安全责任在不同的报告行可能会扰乱协调,尤其是在地理上分散的组织。但Scholtz补充说,“明确方向,强有力的治理和有效的项目管理应该足以控制这种风险,帮助实现精益安全组织的好处。”
经验信息技术会议
加入你的同行在Gartner会议上公布的最新见解。
Gartner的客户推荐资源*:
*请注意,某些文件可能不会Gartner提供给所有客户。
订阅最新的洞察力
通过单击“继续”按钮,你同意Gartner的使用条款和隐私政策。