RSA总统要求业务驱动的安全性
随着网络威胁演员比以往任何时候都更加大胆,并躲藏在不受惩罚的普通视线中,组织应该利用他们对他们的对手的一个优势 - 他们对他们的业务的深刻见解。
“我们拥有的一个和唯一的不对称优势是我们的业务背景知识 - 这是商业驱动的安全背后的核心理念,”RSA安全总裁Rohit Ghai说。
今天在新加坡举行的RSA会议亚太和日本时代,加班士表示,加班士表示,一项业务驱动的安全方法可以帮助组织“无情地优先考虑”并专注于什么事。
喜欢现代医学如何改善人们的整体健康而不是仅治疗疾病,所以加班人表示将其焦点从威胁管理转移到风险管理所需的网络安全兄弟会。
“目标不是创造一个不破坏的世界,而是一个更安全的世界,”他说。“任务不是为了消除风险,而是让风险可见。我们的工作是让我们的业务利益相关者采取所有风险和P出来的风险值得花费。“
作为一个例子给新加坡说,加班人说,最近推动了联合国网络安全指数 - 已经实施了基于风险的网络安全战略,并比其他人更全面地确定了网络安全目标。
实际上,精确是在业务驱动的安全战略中的关键,注意到,如精密药物,如患者的生物标志物,遗传化妆,家庭健康史和生活方式,以防止疾病,网络安全的精确需要组织专注于他们的组织操作环境。
“在临床试验的先进阶段转向未来的银行和药品公司的临床审判的先进阶段差异不同,”他说。“他们的攻击表面和攻击向量是不同的,因此为什么我们在网络安全中持续一个尺寸适合的方法?”
相反,加班呼吁网络安全专业人员从事业务团队对矿井进行商业背景,并为其业务和行业建立全面的风险登记。“用来通知您的安全姿势并保护最重要的事情 - 这就像以您的基因组和家族史考虑在内,”他说。
Cyber Security和IT团队还应该更加紧密地工作,使IT基础设施通过加密和微分段等措施更加适应网络攻击,称为加合金。他补充说,组织还应利用有关其IT基础架构的信息,这些信息还应添加系统管理工具的IT基础架构。
“通过精确行动,我们可以主动管理风险,提高检测和响应的速度,并转向我们可以根据风险拨打或拨打摩擦程度和不便的模型,”他说。
对于业务驱动的安全战略成功,网络安全专业人员还应通过使用良好的商业语言而不是技术术语与公司委员会一起参与。
“董事会不在乎攻击是否使用跨站点脚本或SQL注射 - 他们想了解对声誉,客户和底线的影响,”他说。“你需要建立更好的指标和KPI [关键绩效指标]所以你可以说出事情是否变得更好或更糟。”
