在董事会提出要求之前,安全领导人需要更好地了解风险

在董事会提出要求之前,安全领导人需要更好地了解风险

你的环境比去年复杂还是不复杂?而不断变化的威胁形势又如何呢?

当我们把它们混合在一起时,我们会随着不断演变的威胁而变得越来越复杂。现在,在行政套房和董事会会议室里,安全是最受关注的领域,压力越来越大。

如果有人问你,你能不能快速地帮助管理团队中的一个成员了解风险?如果他们有一个共同的关注点,你能以多快的速度识别出需要关注的真正风险?

它是Kevin Cunningham(LinkedIn)的公司总裁兼联合创始人 赛点,是重点。

作为SailPoint的总裁, 坎宁安负责产品开发、营销、销售、运营和服务。这意味着要与安全领导人进行大量互动,帮助他们为面临的挑战做好准备。

这是凯文的安全镜头:

缺乏可见度是非常糟糕的,如果首席执行官的身份被泄露,许多安全领导人将无法立即回答他们是如何以及在哪里面临风险的。

网络安全现在是董事会层面的问题。随着像WannaCry和NotPetya这样的大范围攻击达到了新的破坏和破坏程度,我们看到了对公司盈利的实质性影响。例如,制药公司默克公司(Merck)仍在从6月份的诺佩提亚(NotPetya)袭击中恢复过来,诺佩提亚袭击导致一些药物停产。尽管此次中断的影响程度尚不清楚,但该公司已下调了明年的利润预期。

虽然许多首席执行官开始了解网络攻击可能对声誉和底线造成的影响,但许多首席执行官仍在为缺乏风险可见度而挣扎。他们经常向组织内的安全领导人寻求答案。我们年度SailPoint市场脉搏调查的一项统计数据可能会让许多高管感到震惊:

“考虑到首席执行官身份被泄露的假设情况,大多数受访者(73%)承认,他们不会立即知道自己的数据如何以及在何处存在风险。”

这种缺乏可见性令人担忧。在上一次谈话中,我们谈到了当今IT环境日益复杂的问题。由于应用程序、用户类型和非结构化数据向影子IT和BYOD等趋势的扩散,每天都有新的暴露点出现。然而,很少有组织能够了解他们的用户是谁- 员工、承包商和商业伙伴- 以及这些用户可以访问的内容(更重要的是,如果访问是适当的)。事实上,我们的调查显示,只有33%的组织能够在24小时内生成一份公司范围内的报告,说明谁有权访问哪些资源,以及使用这些资源可以做什么。

身份管理是这里的关键,应该是组织安全计划的中心。制定一个身份管理计划有助于组织清查、分析和理解授予员工、承包商和合作伙伴的访问权限。它有助于回答“谁有权获得什么?”

但是,就像我们上次讨论的,这远远不止是技术。只有将人、过程和技术正确地结合起来,才能实现真正的可见性和控制。获得内部支持、构建治理框架和实现自动化都需要同步进行。有了所有这些,有了最终回答“谁有权获得什么”这个问题的能力,组织内的每个人都将能够更轻松地呼吸,因为他们知道,当下一个万纳克里或诺佩蒂娅来袭时,他们也许能够阻止它- 或者至少早点抓住它,把损失降到最低。

成功的关键是将你的可用资源与组织中的首要任务相匹配。如果你不知道什么是重要的,你怎么能保护它?这扩展到准确了解谁有权访问您的组织以及如何工作。没有这种洞察力,你如何创造价值?

你是如何为组织中重要的事情创造可见性的?

在我们的Facebook页面上分享你的想法,或者在Twitter上与我联系(@catalyst)。

你怎么认为?准备,准备,反应!