読書の時間: 4 分
メリーランド州ナショナルハーバーで開催されたGartnerInformation Security&Risk Management Summitは、3月7日からXNUMX日まで開催されました。 ガートナーのイベントは、サイバーセキュリティの専門家が互いにネットワークを構築し、CISOの責任からクラウドセキュリティ、侵入検知からリスク評価まで、さまざまなトピックに関するパネルに参加する絶好の機会です。 エンドポイント保護 コンプライアンスに。 幸運な参加者は、IBM SecurityのBob Kalka、CiscoのGil Zimmermann、MicrosoftのMichael McLoughlin、Herjavec GroupのRobert Herjavec、Gartner自身のAugusto Barros、Earl Perkins、Roberta Wittyなどの業界のスターから知識を得ました。
今年参加できなかった方は、是非イベントのハイライトをお楽しみください。
企業幹部と話すことは、企業の重要なサイバーセキュリティスキルです
企業がセキュリティスタンスを維持および改善する方法を知っています。 しかし、お金は世界を動かします、そしてあなたが良いサイバーセキュリティ慣行が実行されることを望むならば、あなたは非技術的な幹部を説得しなければなりません。
多くの場合、セキュリティは技術以外のCスイートにとって面倒です。 あなたは彼らをあなたが何かに売るべき何かを持っている顧客のように扱わなければなりません。 セキュリティを効果的に販売すると、顧客は問題を解決していることに満足します。
ガートナーのリーマクマレン氏は次のように述べています。
「今日、デジタル産業革命の戦場は顧客体験です。 コストではありません。 効率についてではありません。 それは製品についてでもありません。 それは経験です。
セキュリティ担当者として、私たちは物事が制御されることを望んでいます。 私たちは彼らを安定させたいと思っていますが、人々の期待は私たちの制御の及ばない力によって設定されています。 私たちは影響力を得るためにコントロールを放棄しなければなりません。
セキュリティは顧客体験を台無しにすべきではありませんが、しばしばそうします。 顧客、つまり企業内のすべての人は、顧客が期待する価値に見合う努力を求めています。 間違った体験を提供した場合、彼らはあなたを調整するだけです。」
可能な限り、技術的な現実とソリューションについてのあなたの話し方をビジネススピークに翻訳する必要があります。 サイバーセキュリティの専門用語が少なく、Fortune Magazineが多い。
ガートナーのポール・プロクターは言った:
「テクノロジーのリスクとセキュリティについて、主にテクノロジーの観点から話すとき、利害関係者は私たちを魔法をかけ、組織を保護するウィザードのように扱います。 リスクとセキュリティをより透明性の高い、ビジネスに合わせたものにすることは、魔法の世界から抜け出すための絶対的な要件です。」
「wingardium leviosa」をキャストする場合は、それが浮上呪文であることを説明してください。
重大なサイバー攻撃の後、経営者はしばしば非難されます。 あなたは彼らに防御力を売り込む必要があります。
ガートナーのリーマクマレン氏は次のように述べています。
「組織はハッキングされても理解できないほど長い間、セキュリティをダークアートのように扱ってきました。 したがって、主な質問は、「だれが台無しにされたのか」です。 組織がハッキングされないことを保証することはできないので、役員の保護の販売を停止し、本当に必要なもの、防御力のあるものの販売を開始してください。」
リスク評価プロセスには、適切に実施するために、該当する技術者以外の幹部が含まれている必要があります。
ガートナーのポール・プロクターは言った:
「運用上の結果のコンテキストで経営幹部の意思決定を提供することで、これらの取り組みが彼らにとって興味深いものになります。 それは彼らが行う決定に直接影響を与えます。 あなたは今、彼らが彼らの仕事をするのを手伝っています。」
あなたの顧客は当然リスクを恐れます。 その恐れは、セキュリティの革新にマイナスの影響を与えてきました。サイバー脅威が進化するにつれ、絶対に必要なことです。
プロクターは言った:
「組織はこの問題を恐れているため、減速しています。 彼らの快適さとリスクとセキュリティの理解を向上させることができれば、会社がより速く動くのを助けることができます。 それこそがセキュリティのビジネス価値です。」
適切なDevOpsによるセキュリティの向上
クラウドの研究者であるMark Nunnikhovenは、優れたDevOpsの重要性について議論しました。 その語句はしばしば誤って適用されます。 基本的に、DevOpsはすべて、開発と運用の効果的なバランスをとることを目的としています。 とても簡単です。
適切に実装されたDevOpsは、継続的なフィードバックループにより、ますます効率的な配信パイプラインを備えています。 DevOpsは、人、プロセス、製品を特徴とする「本番環境への変更のサイズを減らすことでリスクを軽減するコラボレーションの文化」を生み出すことができます。
DevOpsの改善を実装する際のリスクを軽減するには、大きな変更を少なくするのではなく、小さな変更をたくさん加えます。 非常に大量の新しいコードを一度にデプロイしようとすると、新しいバグや脆弱性を修正するのが難しくなる場合があります。
優れたサイバーセキュリティは、監査ステップとしてではなく、開発段階から始まります。その結果、セキュリティ強化に対する境界アプローチが古くなります。
DevOpsの適切なセキュリティが、開発プロセスに時間がかかることを意味する場合は、それも同様です。 開発のすべての段階は、セキュリティを考慮して設計する必要があります。 バグが早期に発見されるほど、修正が容易になります。
社会的な使いやすさや効果的なコミュニケーション能力などの「ソフトスキル」は、開発と運用をうまく連携させるための鍵です。 「ハードスキル」だけで勝てるセキュリティ専門家はほとんどいません。
メールのセキュリティをテストする インスタントセキュリティのスコアカードを無料で入手 出典:https://blog.comodo.com/it-security/gartner-event-and-risk-management-summit-in-maryland/
