2022 年 Gartner 安全与风险管理峰会：必知亮点

Gartner 2022 年安全与风险管理峰会于 2022 年 9 月 12 日在伦敦拉开帷幕。以下是为期三天的峰会的主要亮点，包括来自 Gartner 团队的最佳行业见解。

Gartner 安全与风险管理峰会的伦敦站于 9 月 14 日结束。该活动包括了许多精彩的会议——从解决关键的战略要务，例如制定敏捷的安全战略、培养以人为本的安全意识文化，到权力下放风险责任，并建立一个新的简化的网络安全网格架构。以下是为期三天的安全会议的主要亮点。

随着组织迅速接受数字化和敏捷运营，他们的风险状况正在发生巨大变化。Gartner 的伦敦活动于 9 月 14 日结束，强调构建企业必须在 2023 年之前采用的新安全环境。为期三天的安全和风险管理研讨会拥有令人印象深刻的专家阵容，他们强调重新思考当前的安全和风险评估思维，简化程序和组织层面的安全保障，并建立安全意识文化。

Gartner 2022 年安全与风险管理峰会的主要亮点

 要了解的十个网络和 IT 风险基础知识

安全和风险管理 (SRM) 高管正在努力推动其网络和 IT 风险管理流程超越风险评估。Gartner 副总裁分析师 Jie Zhang 讨论了 SRM 专业人员必须使用的十个核心风险管理实践来处理其公司的网络和 IT 风险。

SRM 高管可以使用以下十个核心风险管理程序来确保其公司 IT 风险管理目标的成功：

• 确定控制要求
• 进行业务影响分析
• 定义风险参数和风险管理策略
• 进行风险评估和评估控制
• 在风险登记册中记录风险并持续沟通
• 在项目生命周期中嵌入风险评估、安全测试和治理
• 投资于减少技术债务
• 确定范围
• 监控损失风险和其他指标
• 嵌入组织范围内的风险处理态度

云安全范围

 云安全是一项关键责任。然而，公共云服务提供商构成了许多独特的威胁。在本次会议上，Gartner 高级总监分析师 Charlie Winckless 强调了解决基础设施即服务 (IaaS) 和软件即服务 (SaaS) 的主要安全难题的问题和建议的技术和新产品类型.

 

关键要点

• 在云采用的早期阶段，一些企业开始在云中采用传统的安全技术。这种策略可能在短期内有效，但是当应用程序和 DevOps 团队采用云原生服务时，传统的安全技术可能无法服务于这些用例。
• 资源保护、云配置、工件扫描和 DevSecOps 支持都必须在云原生安全中得到解决。
• 云诞生的公司及其安全投资可以提供对未来安全状况的洞察。
• 使安全性与底层架构和业务的重要性保持一致。没有一种尺寸适合所有人。
• 由于云安全功能可能会更新且适应性更强，因此请在适当的时候将它们整合到您的本地系统中。
• 更多地考虑云安全愿景，未来的技术和趋势可能涉及云提供商成为安全提供商、安全或策略即代码、数据和云主权、秘密计算等。

如何有效地准备和应对不断变化的威胁环境

 随着攻击者根据公司的发展方式调整他们的方法和计划，威胁环境也在演变。在她的会议上，Gartner 副总裁分析师 Jeremy D'Hoinne 为安全和风险管理高管提供了重要的建议，以应对顶级、高级和新兴威胁。

 

 安全和风险管理人员应考虑三类风险：公认的常见威胁、高动量威胁以及新出现的、独特的和不可预测的危险。

• 主要威胁：公司敏锐地意识到由于潜在发展而年复一年仍然存在的威胁。
• 高动量威胁：正在上升但其意识还不能与顶级威胁相提并论的威胁。
• 新出现的威胁：较罕见、不太明显但严重到足以引起安全和风险管理主管关注的威胁。

关键要点

• 在与众所周知的顶级威胁作斗争时，请密切关注会在您的保护中造成不断扩大的弱点的微观趋势。您可以通过适当地沟通众所周知的危险的微趋势，确保对安全控制升级的持续投资的行政支持。
• 在其安全运营部门内建立系统，以分析新的和高动量威胁的影响。从 API、供应链和网络物理系统 (CPS) 风险开始，重点关注风险意识、暴露管理、状态验证和基本安全卫生。
• 对于新兴和未来的威胁，专注于网络弹性并将安全与组织领导者联系起来，以预见由于业务转型而导致的攻击面的增长。

2022 年安全行动预测

 关于如何以及何时计划和提供安全性，安全操作正在发生巨大变化。Gartner 副总裁分析师 Pete Shoard 在网络研讨会期间概述了哪些技术、程序和服务将影响 2022 年提供安全操作的方式。

为了在 2022 年制定安全运营战略，组织必须关注三个方面： 

• 如何优化威胁情报和威胁搜寻的价值
• 将能见度努力集中在哪里以最大限度地减少曝光，以及 
• 如果自动化和 AI 对您的安全运营有意义

关键要点

• 衡量威胁情报听起来很吓人，确实如此。但是，您可以将指标应用于提要，以评估它们产生了多少可操作的指示，并衡量应用于真阳性与假阳性事件和事件的情报的有用性。
• 利用威胁情报帮助以狩猎为起点或填补空白。将狩猎正式化为您的 SecOps 计划的基本功能，并在您的日历上安排时间来完成它。
• 攻击面、漏洞和验证是暴露控制的三大支柱。
• 多种暴露管理技术用于增强诊断的广度、自动化和准确性。
• 在投资自动化或人工智能解决方案之前，您必须首先设计一个流程和一些东西来监控以评估您的努力的价值。

预测 2022-2023 年的隐私前景

 隐私显着影响数字化转型计划，并且是公司开发新客户参与模式和团队成员关系的核心。在会议上，Gartner 副总裁分析师 Nader Henein 回顾了 2022 年及以后隐私领域的法律和技术演变。

 关键要点

• 法律隐私环境正变得越来越复杂，面对这样的限制，企业无法仅仅使用清单来追求合规性。你必须适应并变得更有效率和成功。
• 隐私办公室的平均预算为 220 万美元，不太可能独自花很多钱。因此，隐私主管必须合理并寻求其他业务部门的帮助。
• 确定帮助推动您的隐私计划的关键人物，然后确定这些利益相关者在未来两到三年内的重要目标，看看您是否可以找到与这些努力相对应的一项或多项能力。
• 隐私控制是以数据为中心的工具，可以在数据级别获得洞察力并实现管理，例如自动数据查找和映射工具，类似于计时器或健身追踪器。
• 它们通常被称为隐私平台或隐私管理系统，旨在作为您的合规相关文书工作的主要存储库。这些技术有助于风险评估、处理操作的文档以及隐私计划报告的创建。
• 隐私用户体验包括显示和管理通知和政策声明、记录消费者同意和偏好以及处理主题权利请求的功能。

翻译转载自Gartner Security & Risk Management Summit 2022: Top Must-know Highlights | Spiceworks It Security