2023年6月7日,Gartner一年一度的Security & Risk Management Summit安全与风险管理峰会已降下帷幕。
本次峰会的开幕主题演讲,是由Gartner杰出副总裁分析师Leigh McMullen和高级分析师总监Henrique Teixeira合作完成的,主题为「Debunking the Myths that Obscure Cybersecurity's Full Value」,破除4个混淆网络安全整体价值的迷思,以及CIO和CEO对安全领导者的优先事项和安全运营的前景。
在Gartner看来,网络安全可以为企业创造巨大的价值,但前提是网络安全专业人员有勇气质疑误解,并超越过时的原则和做法。本次在开幕主题演讲中,Leigh McMullen和Henrique Teixeira还讨论了网络安全领导者必须采取的决策和实际步骤,以实现他们应得的成功。
如下为演讲的完整视频,总长40分钟。两位分析师诙谐幽默,尽显Gartner风采。
根据Gartner公司的说法,有四个常见迷思正在混淆企业看待网络安全的整体价值,并阻碍安全计划的有效性。CISO必须采取「Minimum Effective最小有效」思维方式,以最大限度地发挥网络安全对业务的影响。
“许多CISO感到筋疲力尽,对自己的压力源或工作与生活的平衡感到无力掌控,” Henrique Teixeira表示。“网络安全领导者和他们的团队付出了最大的努力,但却没有产生最大的影响。”
“Minimum Effective Mindset最小有效思维方式是一种刻意的、以投资回报为驱动的思考方法,引领网络安全走向未来,”Leigh McMullen补充道。“虽然‘最小’的概念可能让人感到不舒服,但它指的是投入而非结果。这种方法将使网络安全功能超越简单的‘守卫堡垒’,释放其创造实际价值的潜力。”
在主题演讲中,Teixeira和McMullen揭示了四个常见的安全迷思,并解释了安全领导者如何在业务参与、技术和人才方面创造新的价值。
普遍认为,促使高管对网络安全倡议采取行动的最佳方式是进行复杂的数据分析,比如计算发生网络事件的可能性。然而,以这种方式量化风险是不切实际的。此外,这种方法无法实现网络安全和企业决策者之间所需的共同责任,无法实质性降低业务风险。Gartner的研究发现,仅有三分之一的CISO通过网络风险量化取得了推动行动的成功。
“与其继续追求更多数据和更多分析,聪明的CISO采用最小有效洞察力的方法,”Teixeira表示。“确定需要的最少信息,以在企业的网络安全资金和该资金解决的漏洞之间划出一条直线。”
CISO应该采用以结果为导向的度量方法(outcome-driven metrics , ODM)来实行最小有效洞察力。ODM将安全和风险运营指标与其支持的业务结果相联系,通过解释目前已有的保护水平以及根据支出可获得的替代保护水平,来说明目前的保护水平。
全球信息安全和风险管理产品和服务的支出预计将增长12.7%,达到1898亿美元。然而,尽管组织在网络安全工具和技术上的投入越来越多,安全领导者仍然感到他们没有得到适当的保护。
“网络安全往往陷入一种获取装备的心态,认为一定有更好的东西等着我们,”McMullen说。“相反,CISO必须拥抱最小有效工具集——即观察、防御和应对威胁所需的最少技术。这将使网络安全能够拥有自己的架构,减少复杂性和互操作性不足,这使得很难从技术投资中产生价值。”
组织可以通过以人力成本为导向的方式开始迈向最小有效工具集,使网络安全专业人员管理网络安全工具的开销低于工具在降低风险方面的效益。同时,采用架构视角来衡量任何给定工具对保护企业能力的增益或减损。网络安全网格架构CSMA原则也可以在设计简单性、可组合性和互操作性方面支持安全性。
“对网络安全人才的需求已经超过供应,以至于CISO们无法跟上,”McMullen说。“安全是数字化转型的一大瓶颈,其中很大一部分原因是一个错误观念,即只有网络安全专业人员才能进行重要的网络安全工作。将网络安全专业知识民主化,而不是试图填补人才缺口,才是解决方案。”
Gartner预测,到2027年,75%的员工将在IT无法察觉的情况下获取、修改或创建技术,而这一比例在2022年为41%。CISO可以通过帮助这些商业技术人员建立最小有效专业知识或网络判断来减轻团队的负担。最近的一项Gartner调查发现,在开发分析或技术能力时,具有高网络判断能力的商业技术人员更有可能考虑网络安全风险。
最近的一项Gartner调查发现,69%的员工在过去12个月中绕过了他们所在组织的网络安全指导,而74%的员工愿意绕过网络安全指导,如果这有助于他们或他们的团队实现业务目标。
“网络安全组织充分意识到员工普遍存在不安全行为,但是增加更多的控制措施的典型应对方式事实上适得其反,”Teixeira说。“员工反映,在遵守安全行为方面存在很大的摩擦,这导致了不安全的行为。被绕过的控制措施比没有控制措施更糟糕。”
最小有效摩擦(Minimum Effective Friction)重新平衡了网络安全对安全控制措施性能的评估,将用户体验优先于仅仅考虑技术功能。Gartner预测,到2027年,50%的大型企业CISO将采用以人为中心的安全设计实践,以最小化由网络安全引起的摩擦,并最大限度地提高控制措施的采纳。
https://www.gartner.com/en/newsroom/press-releases/2023-06-05-gartner-identifies-four-myths-obscuring-cybersecuritys-full-value
https://www.gartner.com/en/newsroom/press-releases/06-05-2023-gartner-security-and-risk-management-summit-national-harbor-day-1-highlights
![破除4个网络安全价值迷思·Gartner 2023安全与风险管理峰会开幕演讲|附视频]( "破除4个网络安全价值迷思·Gartner 2023安全与风险管理峰会开幕演讲|附视频")
原文始发于微信公众号(安全喵喵站):破除4个网络安全价值迷思·Gartner 2023安全与风险管理峰会开幕演讲|附视频
评论