Gartner: Organizațiile trebuie să-și adapteze permanent strategia de securitate
Companiile accelerează adoptarea digitalizării și a metodologiilor agile, schimbându-și dramatic profilurile de risc. Multe organizații continuă să adauge noi niveluri de protecție cibernetică, ceea ce crește complexitatea apărării împotriva metodelor de desfășurare a atacurilor, la rândul lor din ce în ce mai sofisticate.
Organizațiile trebuie să-și adapteze permanent strategia de securitate reformulându-și abordarea actuală și simplificându-și procesele, organizarea și apărarea.
Un număr foarte mare de directori IT și persoane de decizie din companii s-au alăturat experților Gartner între 12 și 14 septembrie a.c. la Gartner Security & Risk Management Summit 2022 desfășurat la Londra pentru a împărtăși informații valoroase asupra imperativelor strategice cheie. Vă prezentăm o sinteză a anunțurilor cheie și a perspectivelor rezultate.
În prima zi a conferinței au fost evidențiate cele mai importante predicții Gartner în materie de securitate cibernetică pentru 2022 și 2023, fiind împărtășite procesele fundamentale de management necesare pentru gestionarea cu succes a riscurilor cibernetice și IT. De asemenea, au fost explorate riscurile asociate cu furnizorii de servicii cloud public.
Principalele predicții de securitate cibernetică pentru 2022-2023
Pe măsură ce ne uităm spre următorul deceniu, ce scenarii ar trebui să ia în considerare liderii de securitate și management al riscurilor în strategia de securitate cibernetică a organizației lor? În discursul de deschidere, Katell Thielemann și Nader Henein, VP Analists la Gartner, au împărtășit cele mai importante predicții pregătite de experții Gartner în securitate cibernetică pentru a ajuta liderii în securitate și managementul riscurilor să obțină succesul în era digitală.
Recomandări cheie
- Până în 2023, reglementările guvernamentale care impun organizațiilor să ofere consumatorilor drepturi de confidențialitate vor acoperi 5 miliarde de cetățeni și mai mult de 70% din PIB-ul global: „Liderii de securitate și management al riscurilor ar trebui să aplice un standard cuprinzător pe zona de confidențialitate în conformitate cu GDPR. Acest lucru va permite companiilor lor să se diferențieze pe o piață din ce în ce mai competitivă și să crească nestingherite.”
- Până în 2025, 80% dintre companii vor adopta o strategie de unificare a accesului la web, la serviciile cloud și la aplicații private de pe platforma SSE a unui singur furnizor: „Creați o echipă dedicată de experți în securitate și rețele, cu o responsabilitate comună pentru dezvoltarea unui mod de acces securizat care se întinde de la lucrătorii din birourile companiei, lucrătorii de la distanță, sucursale și locații îndepărtate.”
- 60% dintre organizații vor adopta Zero Trust (ZT) ca punct de plecare pentru securitate până în 2025. Peste jumătate nu vor reuși să realizeze beneficii: „Comunicați relevanța comercială a ZT prin alinierea rezilienței și agilității”.
- Până în 2025, 60% dintre organizații vor folosi riscul de securitate cibernetică ca un factor determinant principal în efectuarea tranzacțiilor cu terțe părți și a angajamentelor de afaceri: „Folosiți evaluările bazate pe risc care evidențiază transparența și recompensează participanții”.
- Până în 2025, 30% dintre statele naționale vor adopta o legislație care reglementează plățile, amenzile și negocierile pentru ransomware, în creștere de la mai puțin de 1% în 2021: „Recunoașteți impactul plății. Grupurile moderne de ransomware și-au schimbat activitățile către furtul și criptarea datelor. Plata către aceste grupuri va face ca datele furate să nu fie publicate, dar pot fi vândute sau dezvăluite în alt mod la o dată ulterioară, dacă informațiile au valoare.”
10 elemente fundamentale ale riscului cibernetic și IT pe care trebuie să le înțelegi corect
Liderii de securitate și management al riscurilor (SRM) se luptă să își aducă la maturitate practicile de management al riscurilor cibernetice și IT dincolo de efectuarea evaluărilor riscurilor. Jie Zhang, VP Analyst la Gartner, a împărtășit 10 procese fundamentale de management al riscurilor care sunt esențiale pentru liderii SRM pentru a gestiona riscul cibernetic și IT al organizației lor.
Recomandări cheie
- „Folosirea aceluiași cadru pentru a evalua riscul actual și riscul noilor proiecte nu este sustenabilă.”
- Există 10 procese fundamentale de management al riscurilor pe care liderii SRM le pot urma pentru a asigura succesul managementului riscului cibernetic și IT al organizației lor:
#1 Identificați cerințele de control
#2 Efectuați o analiză a impactului asupra afacerii
#3 Definiți parametrii de risc și strategia de management al riscului
#4 Efectuați evaluarea riscurilor și evaluați controalele
#5 Documentați riscurile într-un registru de risc și comunicare continuă
#6 Încorporați evaluarea riscurilor, testarea securității și guvernanța în ciclul de viață al proiectului
#7 Investiți în reducerea datoriilor tehnice
#8 Identificați domeniul de aplicare
#9 Monitorizați expunerile la pierderi și alți indicatori
#10 Adoptați la nivelul întregii organizații o atitudine față de tratamentul riscului
- „Succesul pe termen lung al acestor procese poate fi obținut numai atunci când managementul riscului crește probabilitatea ca organizația să-și atingă obiectivele strategice cheie.”
- „Managementul riscului trebuie să fie încorporat în toate deciziile strategice, în toate procesele organizaționale.”
Vedere de ansamblu asupra securității în cloud
Securitatea în cloud rămâne o prioritate de top, dar există multe riscuri unice asociate cu furnizorii de servicii de cloud public. În această sesiune, Charlie Winckless, Senior Director Analyst la Gartner, a rezumat problemele, procesele recomandate și noile tipuri de produse pentru a aborda provocările cheie de securitate ale Infrastructure-as-a-Service (IaaS) și Software-as-a-Service (SaaS).
Recomandări cheie
- „Multe organizații au început să folosească produsele tradiționale de securitate în cloud în faza timpurie de adoptare a cloud-ului. Această abordare poate funcționa pe termen scurt, dar pe măsură ce echipele de aplicații și DevOps adoptă servicii cloud native, produsele tradiționale de securitate nu sunt capabile să își joace rolul în aceste situații de utilizare.”
- „Securitatea nativă în cloud trebuie să abordeze protecția timpului de execuție, configurația cloud, scanarea artefactelor și activarea DevSecOps.”
- „Companiile <<născute în cloud>> și investițiile lor în securitate pot fi un ghid pentru starea viitoare a securității.”
- „Aliniați securitatea cu arhitectura de bază și cu nivelul critic al afacerii. O abordare unică nu se potrivește tuturor.”
- „Capacitățile de securitate în cloud sunt probabil mai noi și mai versatile, așa că aplicați-le sistemelor dvs. locale, acolo unde este cazul.”
- „Cu privire la orizontul securității în cloud, noile tehnologii și tendințe care pot apărea includ furnizorii de cloud care devin furnizori de securitate, securitate sau politici ca și cod, date și suveranitate în cloud, computing confidențial și multe altele.”
Cum să vă pregătiți și să răspundeți mai bine la peisajul în continuă evoluție al amenințărilor
Peisajul amenințărilor evoluează continuu, pe măsură ce atacatorii își adaptează tacticile și strategiile la modul în care se schimbă afacerile. În această sesiune, Jeremy D’Hoinne, VP Analyst la Gartner, a împărtășit recomandări cheie pentru liderii de securitate și management al riscurilor pentru a combate amenințările de top, amenințările de mare impuls și amenințările emergente.
Recomandări cheie
- „Există trei categorii diferite de amenințări cărora managerii de securitate și risc ar trebui să le acorde atenție: amenințări cunoscute și frecvente; amenințări de mare impact și amenințări emergente, de nișă și imprevizibile.”
- Amenințări de top: amenințări de care organizațiile sunt foarte conștiente și care rămân relevante an de an ca urmare a schimbărilor.
- Amenințări de mare impact: amenințări care sunt în creștere, dar pentru care gradul de conștientizare nu este încă la egalitate cu cel asociat cu amenințările de top.
- Amenințări emergente: amenințări care sunt mai rare și mai puțin vizibile, dar suficient de semnificative pentru ca liderii de securitate și managementul riscurilor să le acorde atenție.
- „Când ai de-a face cu amenințări de top cunoscute, monitorizează micro-tendințele care creează lacune tot mai mari în apărarea ta. Asigurați susținerea conducerii executive a companiei pentru investiții continue în îmbunătățirea controlului securității prin comunicare eficientă despre microtendințe pentru amenințări binecunoscute.”
- „Pentru amenințările emergente și cele de mare impact, configurați procese în cadrul organizației de operațiuni de securitate pentru a evalua impactul acestora. Începeți cu amenințările API, lanțul de aprovizionare și sistemele ciber-fizice (CPS), concentrându-vă pe managementul expunerii, validarea posturii, o bună igienă de securitate și conștientizarea riscurilor.”
- „Pentru amenințările emergente și viitoare, concentrați-vă pe reziliența cibernetică și aliniați securitatea cu liderii organizaționali pentru a anticipa extinderea suprafeței de atac ca urmare a transformării afacerii.”
Vedere de ansamblu asupra confidențialității, 2022-2023
Confidențialitatea are un impact profund asupra priorităților de transformare digitală și se află în centrul atenției pe măsură ce organizațiile construiesc noi modele de implicare cu clienții și noi relații cu angajații. În această sesiune, Nader Henein, VP Analyst la Gartner, a discutat despre evoluțiile înregistrate în zona de reglementare și tehnologie care apar în peisajul confidențialității în 2022 și ulterior.
Recomandări cheie
- „Peisajul de reglementare a confidențialității devine din ce în ce mai complicat și, în fața unor astfel de presiuni, organizațiile nu își pot permite să urmărească pur și simplu conformitatea folosind doar liste de verificare. Trebuie să evoluezi și să devii eficient.”
- „Identificați oamenii cheie care vă ajută să promovați programul de confidențialitate, apoi stabiliți prioritățile cheie pentru aceste părți interesate în următorii doi-trei ani și vedeți dacă puteți găsi una sau mai multe capabilități care să se alinieze acestor inițiative.”
- „La fel ca un cronometru sau un anumit tip de tracker de fitness, controalele de confidențialitate sunt instrumente centrate pe date care atrag informații și permit controlul la nivel de date, cum ar fi instrumentele de descoperire automată a datelor și de cartografiere.”
- „Uneori numite platforme de confidențialitate, instrumentele de gestionare a confidențialității sunt destinate să fie depozitul central pentru documentația dumneavoastră legată de conformitate. Aceste instrumente pot ajuta la efectuarea evaluărilor de risc, la documentarea înregistrărilor activităților de procesare sau la construirea de rapoarte despre programul de confidențialitate.”
- „Experiența utilizatorului de confidențialitate constă într-o suită de capabilități care prezintă și gestionează notificările și declarațiile, precum și înregistrează consimțământul și preferințele furnizate de clienți și gestionează solicitările primite legate de drepturi ale subiectului.”