数字时代的高德纳IT安全方法

数字商业的现实意味着，企业要么创新，要么消亡。但是，当涉及到云服务和大数据、移动和it设备、快速DevOps以及诸如此类的技术时，安全是数字业务方程式中不可或缺的一部分区块链．安全专家必须调整安全技术以适应数字时代。

“事实是，我们对世界的二元观点已经不存在了。黑或白，好或坏答案是我们在任何极端都不确定。两者都有可能。两者都可以。尼尔·麦克唐纳副总裁兼杰出分析师，在开幕式主题演讲中2017高德纳安全与风险管理峰会模棱两可是新的现实。拥抱灰色。”

他说:“现实是，不管有没有你，商业领袖们都在全速前进。”

一种新的安全和风险思维

2014年，Gartner推出了自适应安全架构(Adaptive Security Architecture)，但企业现在需要改进。

现在，安全专家必须采用一种新的方法:CARTA——持续适应性风险和信任评估。这是为了在新兴的商业机会中保持竞争力。关键是在整个业务范围内从DevOps应用到外部合作伙伴。

麦克唐纳说:“我们需要在任何地方都能适应的安全系统，以拥抱这个新的数字世界带来的机会，并管理风险，提供与数字业务发展速度一致的安全系统。”

运行，构建，计划

麦克唐纳先生，还有Eric Ahlm他是研究主管，以及雷蒙Krikken他探讨了如何在信息安全和风险管理的三个阶段应用CARTA。

运行:运行时威胁保护和访问保护

构建:发展和生态系统伙伴

规划:自适应安全治理和评估新供应商

研究副总裁Ramon Krikken在2017年Gartner安全与风险管理峰会上介绍了CARTA的想法。

运行的法令

当涉及到CARTA时，数据分析需要成为武器库的标准部分。企业可以从机器学习中获得真正的价值——尽管大数据被大肆宣传。

“异常检测和机器学习正在帮助我们找到那些绕过我们基于规则的预防系统的坏人，”Ahlm说。“这就是为什么分析与当今的安全操作如此相关，它们擅长在其他系统遗漏的数据中发现坏人。”

在美洲，检测到数据泄露的平均时间为99天，平均成本为400万美元。分析将加快检测速度，自动化将加快响应时间，充当力量倍增器，在不增加人员的情况下扩展团队。分析和自动化确保企业将有限的资源集中在风险最高和最有信心的事件上。

为了保护数字世界的访问权，公司必须不断监控。当威胁通过大门时，一次性认证从根本上是有缺陷的。例如，如果用户正在将敏感数据下载到设备。在下载数据之前，应该使用数字权限管理对数据进行加密，然后对用户进行监控。如果他开始下载太多，限制访问或提高调查警报。

构建的法令

当涉及到DevOps时，安全需要在开发的早期开始，并在它们发布到生产环境之前确定对组织构成风险的问题。现代应用程序不是开发的，而是由库和组件组装的。扫描库中已知的漏洞并消除大部分风险。对于自定义代码，要在速度需求和安全性需求之间取得平衡。

生态系统合作伙伴增加了新的业务功能和新的安全复杂性。

“风险管理不再是单一企业的领域，必须从生态系统层面考虑，”阿尔姆说。“我的产品或服务的成功现在基本上与其他产品或服务交织在一起。我的风险就是他们的风险。他们的风险就是我的风险。这是一回事。”

在CARTA思维模式下，组织必须持续评估生态系统风险，并在必要时进行调整。您的合作伙伴还应该评估您的企业、基础设施、控制和数字品牌声誉。对于拥有主要锚定提供商的生态系统，允许公司进入的唯一途径是进行安全和风险评估。如果你的公司风险太大，这个组织可能会被从生态系统中移除。持续监测和评估主要数字合作伙伴的风险和声誉至关重要。

规划的法令

评估企业级别的遵从性和治理。什么程度的风险是商业领袖可以接受的?分析将提供关于风险领域的建模和预测，以及如果企业愿意接受更多的风险，可以获得哪些机会。对分析的持续监控将允许您用商业术语解释风险。企业在设定优先级方面需要支持，安全专家必须尽最大努力建立合理的护栏，并帮助确定可接受的信任和风险水平。

CARTA还应用于评估供应商，以确保他们提供五个标准:开放api，支持现代IT实践(如云和容器)，支持自适应策略(如能够根据上下文更改安全状态)，完全访问数据而不受惩罚，以及多种检测方法。

“CARTA战略方法使我们能够更经常地说‘是’。使用传统的允许/拒绝二元方法，我们别无选择，只能保守地说不，”MacDonald说。“通过CARTA战略方法，我们可以说是，我们将监督和评估它，以确保我们能够抓住过去被认为风险太大的机会。”