本文主要是介绍采取CARTA战略方针的七个必要条件,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
在一个面临高级威胁的环境中支持数字业务转型需要一种新的方法来应对安全的所有方面。安全和风险管理领导者可以使用CARTA战略方法的七个必要条件来拥抱数字业务的机遇和管理风险。
发布时间:2018 年 4 月 10 日
编号:G00351017
分析师:尼尔麦克唐纳
图1 CARTA的七个当务之急
当务之急1:用上下文感知、自适应和可编程的安全平台取代一次性的安全门
当务之急2:不断地发现,监控,评估和优先级风险-主动和反应
当务之急3:在数字业务计划中尽早执行风险和信任评估
当务之急4:用于全面、全栈风险可见性的仪器基础设施,包括敏感数据处理
当务之急5:使用分析、AI、自动化和编排来加快检测和响应的时间,并扩展有限的资源
当务之急6:架构安全是一个集成的、自适应可编程系统,而不是竖井
当务之急7:将持续数据驱动的风险决策和风险所有权纳入业务单元和产品所有者
在一个面临高级威胁的环境中支持数字业务转型需要一种新的方法来应对安全的所有方面。安全风险管理领导者可以使用CARTA战略方法的七个必要条件来拥抱数字业务的机遇和管理风险。
1.1 主要挑战
-
完美的攻击防范、完美的认证和坚不可摧的应用永远不可能,在徒劳地追求完美的过程中,安全基础设施和流程变得约束和繁琐,减缓了组织和创新的速度。
-
数字化业务转型正在全速推进,无论信息安全和风险人员、流程和基础设施是否准备就绪。
-
数字风险和信任是流动的,而不是二进制和固定的,需要被发现和不断评估,并向安全和业务领导者发出警告,提醒他们存在意外或过度风险。
-
安全基础设施和决策必须具有上下文意识,并能适应不同级别的风险、机会和信任水平,以及数字业务领导者的风险容忍度。
1.2 建议
为了在其信息安全管理计划中实施CARTA战略方法,安全和风险管理负责人应:
-
将一次性安全门替换为自适应、上下文感知的安全平台。
-
积极主动地不断发现、监控、评估和确定风险和信任的优先级。
-
在数字业务项目早期进行风险和信任评估,包括开发。
-
仪表全面,全堆栈可见性,包括敏感数据处理。
-
使用分析、人工智能、自动化和编排来更快地检测和风险优先响应。
-
将安全架构为一个集成的、自适应的、可编程的系统,而不是竖井。
-
将持续的风险可见性、决策和所有权交给业务部门和产品所有者。
1.3 战略规划设想
到2020年,25%的新数字商业计划将采用CARTA战略方针,而2017年这一比例还不到5%。
到2020年,认知计算能力和规范性安全分析将执行目前由人类安全人员执行的15%到20%的安全响应功能。
到2020年,60%的数字企业将成为更大的数字商业生态系统的组成部分。
到2022年,60%的大型企业将通过面向业务的服务描述、成本和治理影响其运营风险和网络安全预算,这些描述、成本和治理与业务单位选择所需的成本和风险水平相关。
1.4 介绍
信息安全和风险管理人员、流程和基础设施正处于一个关键的转折点。多种力量汇聚,打破传统的安全和风险方式:
-
数字化业务转型举措迫切需要IT领域的速度和灵活性,包括信息安全和风险管理,这些被视为缓慢和不必要的限制。
-
威胁环境不断适应和发展针对新型IT和业务架构的新型威胁和攻击。
-
越来越多的组织——IT或业务单位(BUs)——不再拥有或控制其服务访问、工作负载和数据存放的基础设施,打破了使用资产所有权作为信任代理的安全模型。
数字商业机会和数字商业风险从根本上是相互交织的——零风险,零机会。未来十年,安全和风险管理专业人员的关键能力将是不断发现、评估和适应不断变化的风险和信任水平。我们需要安全基础设施和安全决策变得持续和自适应——使实时决策能够在数字业务的速度下平衡风险、信任和机会。
安全和风险管理领导者需要采用一种战略方法,在这种方法中,安全在任何地方、任何时间都是可适应的。Gartner称这种战略方法为“持续的适应性风险和信任评估”(CARTA)。采用一种CARTA战略方法为安全和风险管理领导者提供了一个基础:
-
使用更多的背景、更多的可见性和更多的智能来做出持续的、适应性的基于风险的决策,而不是过去那种静态的、二进制的“允许或阻止”安全决策。
-
使其风险管理团队能够超越每年的“风险管理”清单,做出持续的、自适应的、智能的风险优化的安全控制决策。
-
与业务单位和产品所有者合作,主动定义可接受的水平
-
创建新业务功能时的风险和信任,并在业务功能可操作时将其映射到自适应安全决策中。
-
一旦运营,向BUs和产品所有者提供持续的风险可见性反馈,以调整可接受的风险水平和必要的控制。
采用CARTA战略方法将需要对人员、流程和安全基础设施进行实质性的改变。通过采纳图1中列出的七个必要条件,安全和风险管理领导者可以开始采用CARTA战略方法作为他们的地图-他们的宪章-未来的信息安全。
这篇关于采取CARTA战略方针的七个必要条件的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!