RSAC17:RSA CTO表示,Infosec Pers必须帮助创建业务驱动的安全性
信息安全(INFOSEC)专业人士必须在RSA的首席技术官Zulfikar Ramzan表示,安全细节与业务目标之间。
“我称之为这一概念业务驱动的安全性,”他在旧金山的2017年RSA会议上讲述了开幕式会议。
使用Pebble创建具有深远效果的涟漪的类比,他表示每个信息安全专业人员都有重要的涟漪来创建。
“您可以成为业务驱动的安全领导者您的组织在混乱不断结束的期望和重绘界限时,您的组织需要。”
“在混沌理论中,着名的蝴蝶效应告诉我们,小型,局部变化可能在复杂的相互连接的系统中具有戏剧性的下游影响。”
拉曼说,如果对民主国家委员会(DNC)的网络攻击发生了改变了美国总统选举的过程,但它肯定改变了随后的话语。
他说,那些袭击成为主流,头版新闻,并启动了一个最终震撼了美国民主基础的涟漪。
“它表明,我们的问题不仅限于我们面临的初始网络攻击,而是他们创造的混乱的长尾。”
Ramzan表示,创新邀请剥削,他提醒了Infosec专业人士的观众,实际上,他们正在与人类的聪明才智战斗,他说是“强大的事情”。
但挑战是,企业必须在当今的数字世界中拥抱创新来取得成功。“作为安全专业人士,你的工作是导航成果混乱,”他说。
然而,拉曼说,他相信成功在于拥抱业务主导的安全战略,因为安全性不仅仅是一种技术问题。
“安全是一个商业问题,无法绘制安全细节和商业指标之间的连接是我所说的”悲伤的差距“,”他说。
Ramzan表示,企业高管如果事件涉及SQL注入或跨站点脚本,但想知道业务影响。
“捍卫企业真正是企业和安全之间的合资企业,”他说,挑战每个安全专业人士创造一个涟漪,以帮助建立一个业务驱动的网络安全战略。
根据拉曼的说法,这可以使用三种方法来实现。首先,他说,将风险视为一种科学,而不是黑暗的艺术。
“使用场景分析。一直以一路思考事物。然后回到开始并问自己,'如果是怎么办什么。每个组织都应该使用一致而严谨的方法来推理他们的风险,“他说。
其次,ramzan建议组织简化了他们控制的内容,引用了具有84个安全供应商的组织的示例。
“你如何管理很多供应商?如何为您的董事会和执行套件合理,这些供应商的投资回报率?
“你不能。巩固您的供应商。他说,不要采用“没有留下的政策留下的供应商”,而是向休息的供应商加倍,“他说。
Ramzan表示,重要的是不要在安全排除,安全包容和业务风险管理之间绘制线条,而是绘制连接。
“当这些技术在彼此中汲取业务环境时,他们可以使最终最重要的事件称为最终,”他说。
根据Ramzan的说法,组织可以通过合并和整合安全供应商来“驯服混乱”。
第三,他表示,组织应该计划通过有事故响应计划计划无法控制,以确保在组织的所有相关部分的必要资源,灵活的预算和合作方面进行必要的资源。
“只使用可用资源,因为事件响应计划不是愿望清单。它听起来很明显,但这是一个常见的错误。不要在每个走廊里放空灭火器。
“响应计划需要预算,因为会有意外成本。事实上,没有预算权限的事件响应计划是一个童话故事。
“IT,金融,法律,营销等部门在事件中都发挥着关键作用,他们必须共同努力,”他说。
虽然这些方法旨在“驯服”混乱,但同时,混乱有能力“创造真理的惊人时刻”并强迫进步,这可能是“痛苦”。
Ramzan表示,对于Infosec专业人士来说,“穿越恐惧,拥抱不确定性并做出艰难的决定”很重要,因为人性推动我们在混乱中找到订单。
“在混乱的深处是一个惊人的机会,适应,学习和成长,但要找到它们,你不能看起来。相反,我们必须为清晰,建议和灵感而互相转向。
“这就是为什么创造了这个会议:促进加强我们在地平线上解决复杂网络安全挑战的能力的联系,”他说。
Ramzan挑战了Infosec专业人士,要求自己一些困难的问题:他们是否相信使世界更安全,在跨部门的合作或持续存在。
“我们可以解决地平线上的复杂网络安全挑战和庞大的人员配置,如果我们继续在性别,种族和文化中继续超过一半的人口疏远超过一半的人口?不,“他说。
“今年,我们在RSA会议上举行了我们的就职网络安全和普遍存在,我要求您加入该谈话,”他补充道。
Ramzan还挑战了他的观众,以举例来倡导,以激发未来几代人。“指导兵团可以创造永恒的涟漪,”他说,引用了他作为博士学位从RSA联合创始人罗纳德RONALD RIVEST获得的博士学生作为一个例子。
“在40年前共同发明RSA算法之后,罗恩铁斯特保留指导,一直在创新,他一直在教学,”拉曼说。
他感谢Rivest让他有机会“创造涟漪”并重申他对观众的挑战,要求他们思考他们每个人都可以创造的涟漪。
然后,Ramzan于迈克尔戴尔,创始人兼首席执行官的舞台上加入了Dell Technologies的创始人兼首席执行官,该技术在2016年9月收购了EMC及其安全宣言RSA。
在收购时,RSA表示将保留其自主权,尽管预计将受益于世界上最大的私营控制技术公司的一部分。
Michael Dell说,安全是一系列面临的企业。“当我与首席执行官和董事会交谈时,安全是一个高度关注的问题。他说,他们关注其安全姿势的复杂性以及如何管理业务风险,“他说。
迈克尔·戴尔认为他如何看到它改变以及影响信息安全的影响,这是成为“商业技术”。与此同时,他补充说,制作“智能”的成本即将到来零,连接节点的数量爆炸到数百亿兆。
“周围创建的数据量 - 以及所有计算机科学的数字转换都覆盖在具有人工智能,深度学习和机器学习的数据之外,呈现出巨大的机会,但同时它必须安全地完成,“ 他说。
尽管存在安全问题,但迈克尔戴尔表示,2017年商业领袖之间也有一点乐观。
“在年度世界经济论坛民意调查中,全球经济的第一次并不是五大问题之一。所以在那里有一些好消息为客户和我们的行业。
“有一个真正的数字转型和投资是追随者的,这提出了机会彻底改变所有社会部门的机会。但它必须牢固地完成,我们觉得我们正在能够实现这一波的人类进步,“他说。