2022年Gartner安全与风险管理峰会热点汇总

十个核心风险管理实践

云安全的关键战略和要点

• 在采用云计算的早期阶段，一些企业开始在云中采用传统的安全技术。这种策略可能在短期内有效，但是当应用程序和DevOps团队采用云原生服务时，传统的安全技术可能无法服务于这些用例。

• 资源保护、云配置、工件扫描和DevSecOps支持都必须在云原生安全中得到解决。

• 云原生企业及其安全投资可以提供对未来安全状况的洞察。

• 使安全性与底层架构和业务的重要性保持一致，没有万灵药。

• 由于云安全功能可能会更新且适应性更强，因此请在适当的时候将它们整合到您的本地系统中。

• 更多地考虑云安全愿景，未来的技术和趋势可能包含：云提供商成为安全提供商、安全或策略即代码、数据和云主权、机密计算等。

攻击者正在根据企业的发展动态调整他们的方法和计划，威胁环境也在演变。Gartner副总裁分析师Jeremy D'Hoinne为安全和风险管理高管提供了重要的建议，以应对顶级、高级和新兴威胁。Gartner建议安全和风险管理人员关注三类风险：公认的常见主要威胁、高动量威胁以及新出现的、独特的和不可预测的危险。

• 主要威胁：公司敏锐地意识到由于潜在发展而年复一年仍然存在的威胁。

• 高动量威胁：正在上升但其意识还不能与顶级威胁相提并论的威胁。

• 新兴威胁：较罕见、不太明显但严重到足以引起安全和风险管理主管关注的威胁。

• 在与主流威胁作斗争时，请密切关注那些导致脆弱面扩大的微观趋势。通过汇报这些主要威胁的微观趋势，安全团队可以争取到管理层对安全控制升级的持续投资和支持。

• 在安全运营部门内建立系统，以分析新兴和高动量威胁的影响。从API、供应链和网络物理系统(CPS)风险开始，重点关注风险意识、暴露管理、状态验证和基本安全卫生。

• 对于新兴和未来的威胁，专注于网络弹性并将安全与组织领导者（的战略）联系起来，以预见由于业务转型而导致的攻击面的增长。

安全运营的规划和输出方式正在发生巨大变化。Gartner副总裁分析师Pete Shoard在网络研讨会期间列举了2022年影响企业安全运营变革的关键技术、程序和服务。

企业制订2022年安全运营战略时需要重点关注以下三个方面：

• 如何优化威胁情报和威胁搜寻的价值。

• 能见度提升的重点是如何最大限度地减少暴露。

• 自动化和人工智能对您的安全运营是否有现实意义。

• 评估威胁情报听起来很困难，事实往往也是如此。但是，您可以给情报源制订评估指标，以评估它们产生了多少可操作的指示，并衡量其是否有助于减少误报。

• 初期可以考虑用威胁情报帮助威胁狩猎，或者填补体系空白。将威胁狩猎正式化并使之成为SecOps计划的基本功能，在日程中安排时间来完成它。

• 攻击面、漏洞和验证是暴露控制的三大支柱。

• 多种暴露管理技术可用于增强检测分析的广度、自动化和准确性。

• 在投资自动化或人工智能解决方案之前，必须首先设计一个流程并配合一些资源来监控成效。

隐私显著影响着企业的数字化转型计划，并且是企业开发新客户参与模式和团队成员关系的核心。在会议上，Gartner副总裁分析师Nader Henein回顾了2022年及以后隐私领域的法律和技术演变，提出隐私治理的三个起点：

• 隐私体验：隐私体验包含通知与政策、cookie管理、CPM、对象权益管理等。

• 隐私管理：隐私管理包括隐私映射、ROPAs、PIA自动化；关注中央数据库合规问题的可以此为起点。

• 隐私控制：隐私控制包括发现、分类、PEC工具；试图控制流程活动的可以此为起点。

• 法律隐私环境正变得越来越复杂，面对这样的限制，企业不能仅仅使用清单来追求合规性，必须适应并变得更有效率。

• 隐私部门的平均预算为220万美元，不太可能独占太多预算。因此，隐私主管必须找出合理路径并寻求其他业务部门的帮助。

• 锁定能够帮助推进隐私计划的关键人物，然后确定这些利益相关者在未来两到三年内的重要目标，看看您是否可以与之匹配的一项或多项（隐私）功能。

• 隐私控制是以数据为中心的工具，可以在数据级别获得洞察力并实现管理，例如自动数据查找和映射工具，类似于计时器或健身追踪器。

• 它们通常被称为隐私平台或隐私管理系统，是合规相关文书工作的主要存储库。这些技术有助于评估风险、处理运营文档以及创建隐私计划报告。

• 隐私用户体验包括显示和管理通知和政策声明、记录消费者同意和偏好以及处理主体权利请求的功能。