2019年4月26日 星期五

Garner: 2019 重大七項 資安與危險管理趨勢預測

據SecurityWorldMarket.com--安防科技產業新聞電子平台披露,Garner公司確定了七個新發現的安全和風險管理趨勢;這些趨勢將對安全、隱私、與經常是高風險者造成長遠的衝擊。

“外部因素和特定安全威脅正全面地對安全和風險影響範圍產生關連性影響,因此任何場域的管理/領導者必須做好充分準備,以強化因應的彈性來保護商業的運行”,Gartner研究副總裁Peter Firstbrook表示。

Gartner研究人員確立的2019年開始將發生的七大安全和風險管理趨勢如下:

趨勢1:明確聲明風險走向,將影響業績成果

隨著IT(資訊)戰略通常都已與業務目標緊密結合,若安全和風險管理(SRM)領導者能有效地向關鍵業務決策者,說明安全相關議題,將會變得越來越重要。 “為了避免過於傾向由資訊(IT)決策,能夠創建一套簡單、實用、並務實的風險偏好聲明,將能影響董事會決策有關對業務目標之設定”,Firstbrook先生說。 “這能夠讓企業領袖們在出席策略會議時不被資訊內容混淆。”

趨勢2:安全運營中心,應該重點放在"威脅偵測和反應"

安全防護方面的投資已由"威脅預防"轉移到"危脅偵測",因此安全防禦的複雜性和警報頻率預期增加之故,企業需要投資建置一個安全運營中心(SOC)。 據Gartner機構表示,到2022年,所有有成立SOC的半數,都將轉變為具有整合處理事件應變能力、威脅情資、以及搜捕威協所在能力的現代SOC;在2015年時具有此應變能力的現代SOC,還佔不到總數的10%。Firstbrook先生說,“安全與風險管理(SRM)的領導/主管,不應漠視,反而應該自行或外包 建置一個具備整合威脅情報、安全警報、和自動應變的SOC才是“。

趨勢3:"數據安全治理架構"將使企業考慮優先投資在數據安全方面

數據安全性是一個複雜的問題,如果沒有對數據本身,數據是如何產生的、如何被運用、以及如何應對法規的要求的這些種種複雜的議題有十分的了解下,是無法解決這個問題。領導企業開始通過"數據安全治理架構(DSGF)"來討論闡述數據安全的相關議題,而不僅僅只重視採購"數據保護設備",及因為滿足業務需求才來接受這個趨勢。 “DSGF是以數據為中心的藍圖,並明確辨識與分類數據資產,以及確立數據安全策略的規範架構。 然後,再供企業選擇適合的科技(產品)來降低企業面臨的風險“,Firstbrook先生說。 “解決數據安全問題的關鍵在於從企業本身所產生(遭遇)的風險入手,而不是像很多公司那樣去先買科技商品。”

趨勢4:無密碼認證,正引發市場關注

無密碼身份驗證(例如智能手機上的Touch ID)正開始引發市場真正的漣漪。 因為市場中的供應與需求量能充足,該科技已經有越來越多企業,開始為它的消費者及員工導入採用。 “為了打擊以竊取密碼為目標而駭入雲端平台的駭客,需將用戶與他使用的設備間產生關連的無密碼方法,提供了更高的安全性和可用性,這對於安全來說真的是一種難得的雙贏辦法”,Firstbrook先生表示。

趨勢5:越來越多資安產品相關供應商,將提供更高級技能和培訓服務

根據Gartner的數據顯示,預計還未雇用網路資安防護(unfilled cyber security)人數,將從2018年的100萬為,到2020年底增加到150萬位。 然而,人工智能和自動化的先進技術,確實能有效降低對使用人眼來判定是一般安全警報或是複雜且敏感的警示訊號的分析之需求。 “我們已經看到有些供應商開始提供結合產品與運營服務的解決方案,這可以加速市場對於該產品的採用。 服務的範圍,也從提供全面管理到部分支援的選擇,用以提高管理(行政)人員的技能水平,以及減少日常的工作量,“Firstbrook先生說。

趨勢6:企業開始投資在雲端主流計算平台的安全防護力

向雲端計算發展,也意味著需要擴大安全團隊的規模,但是適當的人才可能無法短期獲得,而且大部分的企業還根本未做好準備。 Gartner估計,到2023年,造成大多數雲端安全無法有效防衛,主要是客戶的錯所造成的。“對於許多企業而言,公共雲是一種安全可行的選擇,但保持安全是使用者共同的責任”,Firstbrook先生說。 “企業也必須投資在安全技能以及管理工具方面,以建立必要的知識庫,才能跟得上雲端的快速發展開發和創新。”

趨勢7:在傳統的安防市場中,會增加CARTA方法

Gartner推出的持續性風險和信任評估(CARTA)是一種解決一般數位商業信任評估之模糊性的有效策略。 “即使已經經過很多年,CARTA起始的構想,仍是種安全戰略方法,它可以平衡安全衝突與交易風險。 CARTA的執行關鍵元素,是即使在登入延長下,還是要持續進行對於資產風險與信賴度的評估“,Firstbrook先生說。 “電子郵件和網絡安全,就是安全防護主體的兩個例子,採用CARTA來針對那些即使用戶和設備都通過身份驗證,還是可關注於異常偵測的解決方案。”

原文報導,請按此線上檢視>
(翻譯:  Asha Chang)

沒有留言: