English
Companiile accelerează adoptarea digitalizării şi a metodologiilor agile, schimbându-şi dramatic profilurile de risc, arată un comunicat de presă remis astăzi redacţiei.
Potrivit sursei citate, multe organizaţii continuă să adauge noi niveluri de protecţie cibernetică, ceea ce creşte complexitatea apărării împotriva metodelor de desfăşurare a atacurilor, la rândul lor din ce în ce mai sofisticate. Organizaţiile trebuie să-şi adapteze permanent strategia de securitate reformulându-şi abordarea actuală şi simplificându-şi procesele, organizarea şi apărarea.
Un număr foarte mare de directori IT şi persoane de decizie din companii s-au alăturat experţilor Gartner între 12 şi 14 septembrie a.c. la Gartner Security & Risk Management Summit 2022 desfăşurat la Londra pentru a împărtăşi informaţii valoroase asupra imperativelor strategice cheie. Vă prezentăm o sinteză a anunţurilor cheie şi a perspectivelor rezultate.
În prima zi a conferinţei au fost evidenţiate cele mai importante predicţii Gartner în materie de securitate cibernetică pentru 2022 şi 2023, fiind împărtăşite procesele fundamentale de management necesare pentru gestionarea cu succes a riscurilor cibernetice şi IT. De asemenea, au fost explorate riscurile asociate cu furnizorii de servicii cloud public.
• Principalele predicţii de securitate cibernetică pentru 2022-2023
Pe măsură ce ne uităm spre următorul deceniu, ce scenarii ar trebui să ia în considerare liderii de securitate şi management al riscurilor în strategia de securitate cibernetică a organizaţiei lor? În discursul de deschidere, Katell Thielemann şi Nader Henein, VP Analists la Gartner, au împărtăşit cele mai importante predicţii pregătite de experţii Gartner în securitate cibernetică pentru a ajuta liderii în securitate şi managementul riscurilor să obţină succesul în era digitală.
• Recomandări cheie
Până în 2023, reglementările guvernamentale care impun organizaţiilor să ofere consumatorilor drepturi de confidenţialitate vor acoperi 5 miliarde de cetăţeni şi mai mult de 70% din PIB-ul global: "Liderii de securitate şi management al riscurilor ar trebui să aplice un standard cuprinzător pe zona de confidenţialitate în conformitate cu GDPR. Acest lucru va permite companiilor lor să se diferenţieze pe o piaţă din ce în ce mai competitivă şi să crească nestingherite".
Până în 2025, 80% dintre companii vor adopta o strategie de unificare a accesului la web, la serviciile cloud şi la aplicaţii private de pe platforma SSE a unui singur furnizor: "Creaţi o echipă dedicată de experţi în securitate şi reţele, cu o responsabilitate comună pentru dezvoltarea unui mod de acces securizat care se întinde de la lucrătorii din birourile companiei, lucrătorii de la distanţă, sucursale şi locaţii îndepărtate".
60% dintre organizaţii vor adopta Zero Trust (ZT) ca punct de plecare pentru securitate până în 2025. Peste jumătate nu vor reuşi să realizeze beneficii: "Comunicaţi relevanţa comercială a ZT prin alinierea rezilienţei şi agilităţii".
Până în 2025, 60% dintre organizaţii vor folosi riscul de securitate cibernetică ca un factor determinant principal în efectuarea tranzacţiilor cu terţe părţi şi a angajamentelor de afaceri: "Folosiţi evaluările bazate pe risc care evidenţiază transparenţa şi recompensează participanţii".
Până în 2025, 30% dintre statele naţionale vor adopta o legislaţie care reglementează plăţile, amenzile şi negocierile pentru ransomware, în creştere de la mai puţin de 1% în 2021: "Recunoaşteţi impactul plăţii. Grupurile moderne de ransomware şi-au schimbat activităţile către furtul şi criptarea datelor. Plata către aceste grupuri va face ca datele furate să nu fie publicate, dar pot fi vândute sau dezvăluite în alt mod la o dată ulterioară, dacă informaţiile au valoare."
• 10 elemente fundamentale ale riscului cibernetic şi IT pe care trebuie să le înţelegi corect
Liderii de securitate şi management al riscurilor (SRM) se luptă să îşi aducă la maturitate practicile de management al riscurilor cibernetice şi IT dincolo de efectuarea evaluărilor riscurilor. Jie Zhang, VP Analyst la Gartner, a împărtăşit 10 procese fundamentale de management al riscurilor care sunt esenţiale pentru liderii SRM pentru a gestiona riscul cibernetic şi IT al organizaţiei lor.
• Recomandări cheie
"Folosirea aceluiaşi cadru pentru a evalua riscul actual şi riscul noilor proiecte nu este sustenabilă."
Există 10 procese fundamentale de management al riscurilor pe care liderii SRM le pot urma pentru a asigura succesul managementului riscului cibernetic şi IT al organizaţiei lor:
#1 Identificaţi cerinţele de control
#2 Efectuaţi o analiză a impactului asupra afacerii
#3 Definiţi parametrii de risc şi strategia de management al riscului
#4 Efectuaţi evaluarea riscurilor şi evaluaţi controalele
#5 Documentaţi riscurile într-un registru de risc şi comunicare continuă
#6 Încorporaţi evaluarea riscurilor, testarea securităţii şi guvernanţa în ciclul de viaţă al proiectului
#7 Investiţi în reducerea datoriilor tehnice
#8 Identificaţi domeniul de aplicare
#9 Monitorizaţi expunerile la pierderi şi alţi indicatori
#10 Adoptaţi la nivelul întregii organizaţii o atitudine faţă de tratamentul riscului
"Succesul pe termen lung al acestor procese poate fi obţinut numai atunci când managementul riscului creşte probabilitatea ca organizaţia să-şi atingă obiectivele strategice cheie."
"Managementul riscului trebuie să fie încorporat în toate deciziile strategice, în toate procesele organizaţionale."
• Vedere de ansamblu asupra securităţii în cloud
Securitatea în cloud rămâne o prioritate de top, dar există multe riscuri unice asociate cu furnizorii de servicii de cloud public. În această sesiune, Charlie Winckless, Senior Director Analyst la Gartner, a rezumat problemele, procesele recomandate şi noile tipuri de produse pentru a aborda provocările cheie de securitate ale Infrastructure-as-a-Service (IaaS) şi Software-as-a-Service (SaaS).
• Recomandări cheie
"Multe organizaţii au început să folosească produsele tradiţionale de securitate în cloud în faza timpurie de adoptare a cloud-ului. Această abordare poate funcţiona pe termen scurt, dar pe măsură ce echipele de aplicaţii şi DevOps adoptă servicii cloud native, produsele tradiţionale de securitate nu sunt capabile să îşi joace rolul în aceste situaţii de utilizare."
"Securitatea nativă în cloud trebuie să abordeze protecţia timpului de execuţie, configuraţia cloud, scanarea artefactelor şi activarea DevSecOps."
"Companiile < < născute în cloud > > şi investiţiile lor în securitate pot fi un ghid pentru starea viitoare a securităţii."
"Aliniaţi securitatea cu arhitectura de bază şi cu nivelul critic al afacerii. O abordare unică nu se potriveşte tuturor."
"Capacităţile de securitate în cloud sunt probabil mai noi şi mai versatile, aşa că aplicaţi-le sistemelor dvs. locale, acolo unde este cazul".
"Cu privire la orizontul securităţii în cloud, noile tehnologii şi tendinţe care pot apărea includ furnizorii de cloud care devin furnizori de securitate, securitate sau politici ca şi cod, date şi suveranitate în cloud, computing confidenţial şi multe altele".
• Cum să vă pregătiţi şi să răspundeţi mai bine la peisajul în continuă evoluţie al ameninţărilor
Peisajul ameninţărilor evoluează continuu, pe măsură ce atacatorii îşi adaptează tacticile şi strategiile la modul în care se schimbă afacerile. În această sesiune, Jeremy D'Hoinne, VP Analyst la Gartner, a împărtăşit recomandări cheie pentru liderii de securitate şi management al riscurilor pentru a combate ameninţările de top, ameninţările de mare impuls şi ameninţările emergente.
• Recomandări cheie
"Există trei categorii diferite de ameninţări cărora managerii de securitate şi risc ar trebui să le acorde atenţie: ameninţări cunoscute şi frecvente; ameninţări de mare impact şi ameninţări emergente, de nişă şi imprevizibile."
Ameninţări de top: ameninţări de care organizaţiile sunt foarte conştiente şi care rămân relevante an de an ca urmare a schimbărilor.
Ameninţări de mare impact: ameninţări care sunt în creştere, dar pentru care gradul de conştientizare nu este încă la egalitate cu cel asociat cu ameninţările de top.
Ameninţări emergente: ameninţări care sunt mai rare şi mai puţin vizibile, dar suficient de semnificative pentru ca liderii de securitate şi managementul riscurilor să le acorde atenţie.
"Când ai de-a face cu ameninţări de top cunoscute, monitorizează micro-tendinţele care creează lacune tot mai mari în apărarea ta. Asiguraţi susţinerea conducerii executive a companiei pentru investiţii continue în îmbunătăţirea controlului securităţii prin comunicare eficientă despre microtendinţe pentru ameninţări binecunoscute".
"Pentru ameninţările emergente şi cele de mare impact, configuraţi procese în cadrul organizaţiei de operaţiuni de securitate pentru a evalua impactul acestora. Începeţi cu ameninţările API, lanţul de aprovizionare şi sistemele ciber-fizice (CPS), concentrându-vă pe managementul expunerii, validarea posturii, o bună igienă de securitate şi conştientizarea riscurilor".
"Pentru ameninţările emergente şi viitoare, concentraţi-vă pe rezilienţa cibernetică şi aliniaţi securitatea cu liderii organizaţionali pentru a anticipa extinderea suprafeţei de atac ca urmare a transformării afacerii".
Vedere de ansamblu asupra confidenţialităţii, 2022-2023
Confidenţialitatea are un impact profund asupra priorităţilor de transformare digitală şi se află în centrul atenţiei pe măsură ce organizaţiile construiesc noi modele de implicare cu clienţii şi noi relaţii cu angajaţii. În această sesiune, Nader Henein, VP Analyst la Gartner, a discutat despre evoluţiile înregistrate în zona de reglementare şi tehnologie care apar în peisajul confidenţialităţii în 2022 şi ulterior.
• Recomandări cheie
"Peisajul de reglementare a confidenţialităţii devine din ce în ce mai complicat şi, în faţa unor astfel de presiuni, organizaţiile nu îşi pot permite să urmărească pur şi simplu conformitatea folosind doar liste de verificare. Trebuie să evoluezi şi să devii eficient".
"Identificaţi oamenii cheie care vă ajută să promovaţi programul de confidenţialitate, apoi stabiliţi priorităţile cheie pentru aceste părţi interesate în următorii doi-trei ani şi vedeţi dacă puteţi găsi una sau mai multe capabilităţi care să se alinieze acestor iniţiative".
"La fel ca un cronometru sau un anumit tip de tracker de fitness, controalele de confidenţialitate sunt instrumente centrate pe date care atrag informaţii şi permit controlul la nivel de date, cum ar fi instrumentele de descoperire automată a datelor şi de cartografiere".
"Uneori numite platforme de confidenţialitate, instrumentele de gestionare a confidenţialităţii sunt destinate să fie depozitul central pentru documentaţia dumneavoastră legată de conformitate. Aceste instrumente pot ajuta la efectuarea evaluărilor de risc, la documentarea înregistrărilor activităţilor de procesare sau la construirea de rapoarte despre programul de confidenţialitate."
"Experienţa utilizatorului de confidenţialitate constă într-o suită de capabilităţi care prezintă şi gestionează notificările şi declaraţiile, precum şi înregistrează consimţământul şi preferinţele furnizate de clienţi şi gestionează solicitările primite legate de drepturi ale subiectului".
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
