当医疗服务机构首席信息安全官Amy仔细观察了整个公司她意识到默认的访问控制模型导致了各种各样的访问问题。默认情况下,BeWell的基础设施即服务(IaaS)提供商被设置为只有企业所有者才能访问的安全状态。
另一方面,软件即服务(SaaS)提供商默认完全开放访问。在使用多个云的情况下,艾米不能手动放松IaaS的权限,也不能完全控制SaaS。那么如何解决这个问题呢?答案是自动化。
目前,首席信息安全官将不再遇到简单的问题“您如何提供安全和管理风险?”他反而会遇到“你如何在评估和管理风险、安全甚至安全性的同时,帮助企业实现更多的价值?”和其他更复杂的问题。使用自动化是为了企业。机构带来价值的最佳方式。
自动化的影响
自动化正以两种方式影响着世界。一是自动化实现了安全和风险功能;其次,自动化是一种新的安全前沿技术,需要认识和理解。
随着业务的所有部分开始采用新兴技术,如云、区块链、数字结对和沉浸式技术,像Amy这样的首席信息安全官将被各种优先事项淹没。
其他业务部门可能在构建解决方案时没有就安全问题咨询安全和风险管理负责人。这意味着他们每天都在做出与技术相关的选择,并且往往没有意识到他们正在做的事情的潜在风险。安全和风险管理领导者无法控制,有时甚至不知道这些业务选择,这可能会产生严重的后果,尤其是在数字业务潜力不断增加的情况下。
数字化转型改变了安全要求和所需的技能组合和能力,并带来了难以(甚至不可能)填补的新人才缺口。
商业自动化
许多自动化工具是临时的,但有些是用于流程关键部分的正式自动化工具。一些工具使用一种技术,而一些类型的自动化工具使用多种技术。例如机器人流程自动化最适合以任务为中心的环境,以及使用预测建模、回归分析、预测和模式匹配来回答“可能会发生什么”这一问题的预测分析。
一些公司准备使用自动化来降低成本,标准化或提高生产效率。一些公司准备用它来提高风险控制的质量和一致性,同时减少人为错误。企业机构您还准备使用自动化来提高速度或灵活性。
持续的适应性风险和信任评估已经成为一个重要的推动者。
无论如何使用自动化,安全和风险管理领导者将不再依赖传统的安全策略。连续自适应风险和信任评估(CARTA)是一种战略方法,它承认没有完美的保护方法,因此需要随时随地调整安全策略。
安全和风险管理的领导者应该有意识地采取措施,不仅可以最小化他们自己的企业机构风险,并能帮助企业。机构获取回报的自适应自动化方法。安全和风险管理领导者必须根据情况平衡风险和信任,在自动化蓝图中找到自己的位置,实现自己的价值。
自动化确实会增加风险。例如,算法可能存在与创建者的隐性和显性偏差,或者不可信操作系统上的算法可能被外界暗中操纵。因此,任何自动化的选择都必须谨慎,并符合当前和未来的形势。
虽然存在风险,但如果能够做出正确的选择,自动化将为安全团队和企业带来巨大的好处。
通过自动化实现价值
安全和风险专业人员必须使用自动化来实现三个领域的价值:身份识别、数据和新产品或服务开发。
身份识别是所有其他安全控制的基础。
在任何情况下,关于身份识别的决策都应该在安全和风险团队的控制之内。随着越来越多的企业迁移到云环境,这变得更加重要。由于系统和公司它变得越来越复杂,仅仅依靠几个密码进行身份确认是非常困难和危险的。
考虑使用智能风险引擎来自动化流程的某些部分。持续自适应风险和信任评估的识别方法将是保证风险引擎既不太宽松也不太严格的关键,这种方法也适合用户。
数据已经成为企业价值的重要组成部分。
商业就像一个“数据生产工厂”。如果你不能保护和监控数据,它会产生很高的价格,甚至损害企业。机构价值。
您可以检查所有IaaS和SaaS应用程序的访问控制模型,并考虑使用云访问安全代理(CASB)来识别和分类数据和文件。同时,云访问安全代理和企业数字权限管理用于将控制扩展到整个企业,覆盖所有位置的数据。
新产品或服务开发是公司关注的焦点
为了获得竞争优势,每个家庭公司新产品和服务正在开发,而新技术正被用来抓住新的商业机会。因为公司越来越需要加快产品进入市场的速度,开发运维(DevOps)过程可能违反安全协议。自动化可以帮助实现DevSecOps的最终目标,并且从一开始就将安全性集成到流程中,而没有任何负面影响。
考虑自动化选项,例如交互式应用程序安全测试,这是一种基于机器的解决方案,允许您从内部观察应用程序的行为。之后,你的团队可以将安全测试置于质量测试之上,避免使用单一的安全测试用例。
在这些至关重要的优先事项中,安全和风险管理领导者必须优先考虑他们想要处理的任务,其他团队可以合理完成的任务,以及无法保证时间或精力的任务。安全团队还必须考虑如何将自动化集成到系统中,以及如何在持续自适应风险和信任评估的安全方法中合理使用自动化。
为了管理和支持价值保护,实现价值创造,安全和风险管理领导者的工作就是识别和管理这种张力,并在自动化蓝图中找到自己的位置。