高德纳主题演讲:利用自动化促进现代安全

当一家医疗保健提供商的首席信息官Amy研究整个企业的云安全时，她意识到默认访问控制模型正在创建各种各样的访问问题。BeWell的基础设施即服务(IaaS)提供者默认为安全状态，只允许所有者访问。

另一方面，软件即服务(SaaS)提供程序默认为完全开放访问。在使用多个云的情况下，Amy不可能手动放松IaaS的权限并确保对SaaS的适当控制。解决方案?自动化。

“今天为您的组织带来价值的最佳方式是利用自动化”

他说:“我们不再被问到一个单一的问题，‘你们是如何提供安全和管理风险的Katell Thielemann，副分析师，期间高德纳安全与风险管理峰会“我们现在被问到一个更复杂的问题，‘在评估和管理风险、安全甚至安全的同时，你如何帮助企业实现更多的价值?今天，为您的组织带来价值的最佳方式是利用自动化。”

自动化的影响

自动化已经在两方面影响着世界，第一，作为安全和风险功能的推动者，第二，作为需要被承认和理解的新的安全前沿。

随着部分业务开始采用从云到区块链致数字双胞胎身临其境的技术在美国，像艾米这样的CISOs会发现自己的优先事项太多了。

“其他业务部门可能在没有咨询我们这些安全部门的情况下就构建了解决方案。这意味着他们每天都在做与技术相关的选择，而往往没有意识到他们所做的事情的风险含义。贝丝Schumaecker， Gartner咨询总监。“这些业务选择——我们无法控制、也不总是能看到的选择——的后果可能是巨大的，尤其是在数字业务潜力持续增长的情况下。”

随着数字转型改变了安全需求以及必要的技能和能力，它产生了新的人才缺口，很难(如果不是不可能的话)填补。

商业中的自动化

许多自动化工具是临时的;另一些则正式地自动化流程的关键部分。一些工具使用一种技术，而其他类型的自动化使用一些技术。例如，机器人过程自动化最适合以任务为中心的环境和预测分析，使用预测建模、回归分析、预测和模式匹配来回答“可能发生什么”的问题。

一些公司将使用自动化来降低成本、标准化或提高生产率。其他人将使用它来提高风险控制的质量和一致性，同时减少人为造成的错误。组织也将使用自动化来提高速度或敏捷性。

CARTA是一个关键的推动者

无论如何使用自动化，安全和风险领导者都不能再依赖于传统的安全方法。持续的适应性风险和信任评估(CARTA)是一种安全战略方法，它承认没有完美的保护，安全需要随时随地的适应性。

“我们需要有意识地采取一种适应自动化的方法，在帮助我们的组织获得回报的同时，将风险最小化，”他说大卫救世主， Gartner的高级总监分析师。“为了交付价值，我们必须适应地平衡风险和信任，在自动化连续体中定位我们的位置。”

“任何自动化选择都必须是有意识的，必须适应当前的情况，也必须适应未来”

自动化确实增加了风险。例如，算法可能包含创建者的隐式和显式偏差，或者不可信操作系统上的算法可能在不知情的情况下被外部方控制。

Katell说:“任何自动化选择都必须是有意识的，必须适应当前的情况，也必须适应未来。”

但是，如果操作正确，自动化也可以给安全团队和业务带来巨大的好处。

用自动化交付价值

安全和风险专业人员必须在三个领域使用自动化交付价值:身份、数据和新产品或服务开发。

身份是所有其他安全控制的基础

关于身份的决定应该始终保持在安全和风险团队的控制范围内。随着企业越来越多地转移到云环境，这一点变得更加重要。随着系统和公司变得越来越复杂，仅依靠多个密码进行身份确认变得困难和有风险。

考虑使用智能风险引擎来自动化流程的某些部分。CARTA的身份识别方法将是确保风险引擎不太宽松或限制的关键，但也适用于用户。

数据是大部分企业价值所在

企业是数据产生的动力。不保护和监视数据可能代价高昂——事实上，还可能损害组织的价值。

回顾任何基础设施作为服务和SaaS应用程序的访问控制模型，并考虑使用云访问安全代理(CASB)来识别和分类数据和文件。将CASB与企业数字权限管理结合使用，可以扩展对整个企业的控制，而不管数据位于何处。

新产品或新服务的开发是公司关注的焦点

公司正在开发新的产品和服务以获得竞争优势，并利用新兴技术，这凸显了新的商业机会。随着人们越来越需要更快地进入市场，DevOps进程可能与安全协议冲突。自动化可以帮助实现DevSecOps的最终目标，在此过程的开始就将安全性构建起来，而不会产生负面影响。

考虑自动化选项，如交互式应用程序安全测试，这是一种基于机器的解决方案，使您能够从内部观察应用程序的行为。然后，您的团队可以将安全测试附加到质量保证测试上，并避免使用单个安全测试用例。

“考虑如何将自动化集成到系统中，以及如何在CARTA方法中合理地使用它。”

在这些关键任务优先级中，安全和风险管理领导者必须优先考虑他们想要处理什么，其他团队可以合理地做什么，以及什么不值得花时间或注意力。安全团队还必须考虑如何将自动化集成到系统中，以及如何在CARTA安全性方法中合理地使用自动化。

马赫迪说:“为了策划和支持价值保护，为价值创造赋权，我们的工作是认识和管理这种紧张关系，并在自动化连续体中找到我们的位置。”