现时的安全解决方案能否抵御未来的威胁

今天的安全能抵御明天的威胁吗？ 全面的长期战略是业务增长的关键 1 执行摘要 安全不再只是IT问题 。 这是CxO及其董事会的业务关注。 Avanade研究1显示90%的高管因担心安全漏洞而失眠。难怪。违规行为可能会花费数百万美元来解决，玷污品牌，使公司脱离新市场，并使CxO失去工作。 随着更多的威胁来自更多的来源 ，你不能仅仅是被动的。你需要一种安全策略，使用整体流程和最新技术来更好地防御漏洞，并检测和纠正仍然发生的漏洞。 这一观点确定了这种策略的组成部分，为安全支出构建业务案例的价值，并向您展示如何开始。 90% 全球首席执行官担心安全漏洞。 1“Avanade热门话题调查”，快速阅读报告，韦克菲尔德研究，2017年12月 2 你是哪一个？ 越来越多的事实是，只有两种类型的公司：那些因网络安全漏洞而受到损害的公司，以及那些将受到损害的公司-但不知道何时 。 关键是:每个组织都是脆弱的。每 考虑到网络犯罪的平均成本，这不仅是好的IT战略，也是好的业务战略 事件在2017年每个组织攀升至1170万美元，比上年增长23% 。2 这只是检测和管理突发事件以及遏制其导致的直接业务中断的成本。还有更多。 •对公司品牌的长期影响可能是惊人的。87％的消费者表示 ，他们不会与拥有 信用卡/借记卡违规。3 •违反欧盟通用数据保护 Regulations(GDPR)可能会使一家公司的成本高达 2000万欧元（2500万美元），占其全球年度总收入的 4%。而GDPR只是监管冰山。 •安全漏洞可能会伤害首席执行官。这样的违规行为，在足够的规模上，使首席执行官付出了代价他们的奖金 -或他们的职位。 •潜在的诉讼这可能是对网络安全的刑事或民事处罚以及针对数据泄露的集体诉讼，或围绕泄露的诉讼受托责任。 案例研究 能源零售商满足安全 需要云解决方案 澳大利亚一家大型能源零售商想要一个自助服务平台，以提升客户体验，同时降低成本。但它必须满足严格的安全要求，以维护客户的信任。Avanade通过托管在MicrosoftAzurePlatform-as-a-Service上的SitecoreWeb内容管理解决方案帮助它实现了这些目标。 3 2“2017年网络犯罪成本研究“，埃森哲和Ponemon研究所 3“数据泄露如何影响您的企业声誉？“国家网络安全研究所，2016年2月16日 威胁只会越来越大 随着越来越多的员工使用更多的设备，您必须保护的表面积也会增加。然后是云。您如何实施云环境会影响该环境的安全性。 不良行为者的队伍也在继续增长，包括 那些有政治或恐怖主义动机的人。知识产权盗窃也在增加。针对企业的勒索软件攻击也有所增加。 随着来自更多来源的更多威胁，您的 组织的风险可能来自人，也可能来自技术中的任何漏洞。这是因为员工必须始终防范安全风险，并不断接受培训以识别新威胁。 4 案例研究 全球银行满足监管要求 需要与Office365/混合云 这家全球20大银行利用微软核心平台和Avanade定制的安全堆栈，以满足严格的监管要求。 其解决方案包括MicrosoftOffice365和混合本地/Azure云环境，以实现其隐私访问模型，并满足更多银行监管机构实施的400多项控制措施。 4 CxO在安全性方面不安全 大多数CxO至少对这些威胁有一个大致的了解-它使他们在晚上保持清醒。 根据Avanade的研究，90%的全球高管表示，他们会失眠，想知道他们的公司是否会经历下一次重大违约。53%的人说新技术工具几乎无法跟上新的威胁。4 高管们做的不仅仅是表达关切；他们正在采取行动。2017年，英国高管告诉埃维诺认为IT安全是他们的首要战略未来18个月的优先事项。5Gartner预测，全球在IT安全方面的支出产品和服务将在2018年达到930亿美元，高于2017年的864亿美元。6 支出增加的部分原因是CxO，而不仅仅是IT决策者，了解安全漏洞的风险，特别是业务风险。他们的董事会也是如此。曾经只在IT部门内部进行的安全讨论和决策现在在高管和董事会会议室进行。 例如，Gartner计划，所有大型企业的IT主管将在两年内定期向董事会报告网络安全情况。7 就目前而言，这很好。但是这些报告和讨论是否会将您的业务推向所需的严格安全策略？要达到“是”，您需要设想正确的安全目标-以及实现这些目标的正确方法。 53% 全球高管表示 新技术工具几乎无法应对新的安全威胁。 4“Avanade热门话题调查”，快速阅读报告，韦克菲尔德研究，2017年12月5日”将IT置于英国退欧“，Avanade，2017年 6“Gartner表示，2017年全球信息安全支出将增长7%，达到864亿美元，“2017年8月16日”7“为您的董事会做的15分钟7幻灯片安全演示”，Gartner，2017年5月29日 5 首先设想战略目标 许多安全规划都是关于降低风险的 ，这是正确的。 但是，尽管这些风险很重要，但安全的目标战略应该走得更远-因为潜力综合、有效的安全效益走得更远。安全应该是更广泛的企业战略的基础。例如，Avanade帮助主要企业实施他们的客户体验和数字工作场所战略，这些方法也推进了安全议程。以下是一些需要考虑的目标： 补充并有助于实现业务目标的安全性。不要认为安全只是堵塞基础设施中的漏洞。把它想象成 帮助您制定整体业务计划的战略资产。寻求进入新的地理市场？扩大安全和合规流程以覆盖这些市场将至关重要。例如，西门子实施了安全的工作场所解决方案，以加快被收购公司及其员工的入职速度，同时保持安全性。 增强品牌的安全性。早些时候我们提到了安全漏洞对品牌价值的负面影响。相反的情况也是如此。消费者更喜欢保护其数据的品牌。将安全性作为竞争优势来实施可以增加市场中的数字信任，从而带来更大的品牌价值、收入和市场份额。 有助于满足法规要求的安全性。GDPR是对隐私和安全监管格局-但这并不是企业必须满足的唯一政府标准。 例如，加拿大正在考虑保护在线个人信息的新规则。8在美国,一些州出台了更严格的隐私法。9除了对违规行为处以罚款外，公司还存在风险宝贵的时间和资源保护自己免受涉嫌侵犯。同时，会议隐私 和安全法规可以帮助公司进入关键的新市场，推动客户增长和收入。 根据您的特定需求量身定制的安全性。 一刀切的方法很少适合任何人，而且安全性也是如此。医疗保健提供商需要保护个人身份以及与其相关的结构化和非结构化数据。其他组织可能需要保护不同的高价值信息资产-例如算法和设计数据。一些企业拥有广泛的网络存在，另一些企业拥有很高的移动和远程用户比例。您必须了解贵组织的特定资产和然后采用专门用于解决这些漏洞的技术和流程。 8加拿大隐私专员考虑新的在线擦除和数据保护规则“，路透社，2018年3月1日9GDPR不是镇上唯一的游戏;美国州的发展也迫在眉睫，“IAPP，2018年5月17日 6 为安全制定业务案例 许多公司甚至在没有商业案例的情况下也在安全方面进行投资。 这只是他们知道他们必须做的事情 。 但是他们购买了多少安全性以及他们选择了哪些安全技术和协议受令人信服的商业案例的影响。元素该业务案例的范围可以从节省成本和避免到支持新的工作方式，以加快上市时间，增加销售并促进业务扩展。 如果您还没有安全业务案例，我们建议您构建一个。以下是您可能希望包括的因素： 7 成本规避。由于管理违规及其后果的成本可能非常高-包括内部成本、诉讼、监管处罚以及对品牌价值和收入的影响-您可以根据您的安全历史记录或类似组织的经验来估计成本规避的年度价值。 节约成本。IT安全产品和服务的市场竞争激烈。这使您有机会升级安全解决方案，以降低成本并增强保护。与购买类似的独立功能相比，全面的套件解决方案的成本更低，并且可以更可靠、更无缝地工作。这种方法可以提供更好的保护，并降低许可、维护、冗余和产品组合蔓延的持续成本。它仍然允许。 用于从多个提供商添加特定解决方案，如果你选择。 提高工作效率和协作能力。将IT安全性扩展到移动和远程设备可以让用户随时从任何地方安全地访问核心业务应用程序和其他IT资产。这可以加快业务流程，否则等待工作人员回到中央办公室。那些加速的过程，反过来，可以刺激机会成本节约、收入增加或两者兼而有之。推出安全的新方法远程位置的基础设施可以加快地理扩展，并使扩展具有成本效益。 案例研究 西门子通过工作场所安全解决方案支持并购 这家工业巨头拥有约35万名员工，并且由于合并和收购活动 ，在任何给定的一周内，更多的人可以成为公司的一部分。西门子让这些员工快速、成功和安全地加入，这要归功于Avanade构建的迁移工厂解决方案，支持多达每周迁移25,000个用户。 7 关于整体战略的建议 鉴于安全威胁的数量和类型的增加 ， 你需要一个整体的长期战略来解决这些问题。 以下是一些开始的地方： 集成以实现更快的检测和响应。安全策略通常是严格的反应性的，或者只是专注于防止入侵。但是他们需要同时做到这两者。 典型的攻击在大约140天内未被发现。10这必须改变。集成的 IT安全产品套件，而不是独立的产品，可以揭示整体攻击 ，否则这些攻击不会被检测到 安全人员筛选特定于产品的报告。频繁的自动折衷评估，也称为集成威胁搜寻，是一个重要的工具。11 专注于你的员工。高管们在人或技术是否代表他们最容易受到入侵的问题上意见不一。12我们认为人们代表了更大的弱点 ，部分原因是他们必须不断接受有关新攻击媒介的教育，例如不断发展的网络钓鱼诈骗，部分原因是 因为安全过程中的一个失误可能会影响技术防御的有效性。 虽然所有员工都需要安全培训，但这是另一个一种尺寸不适合所有尺寸的区域。您的最高风险员工——例如，经常使用酒店和机场公共网络的旅行者——需要广泛的培训。处理公司最有价值的知识产权的C级高管也是如此。正如Forrester指出的那样，培训应该关注改变行为，而不仅仅是提高认识 。13 完善您的流程。您的员工如何开展工作，以及您的IT资产如何使用自动化流程，与您部署的技术一样重要 阻止和检测违规行为。治理、风险和 合规性(GRC)框架有助于确保您的公司通过以下方式实现其业务目标 协调强调适当的治理， 风险缓解和法规遵从性。如果您还没有这样的框架，现在是时候建立它了。GRC可以提高整个业务的性能和有效性；将您的安全策略与GRC捆绑在一起可以帮助提高安全性 你公司所做的一切的一部分。 不要忘记数据。当您组装IT安全策略的技术组件时，它可以很难知道从哪里开始。身份访问，设备，云-所有这些都必须以安全的方式提供给您的员工和其他人。但是不要忽视对数据安全的需求。保护您的数据在传输中,无论它流动到哪里，都与在在设备和平台上休息。 106种方式发动有针对性的网络攻击，“CSO，2017年1月30日 112017年9月，埃森哲、埃维诺和微软宣布创建网络防御产品的联盟，以提供更快，更全面的响应漏洞。该联盟专注于托管安全操作，事件响应支持和集成威胁搜寻。 12“Avanade热门话题调查”，快速阅读报告，韦克菲尔德研究，2017年12月13“强化你的人类防火墙，“Forrester，2018年2月2日 8 Avanade和Microsoft：正确的安全组合 微软每年在其上投资超过10亿美元安全产品。整合您在 Microsoft上的安全支出可能是您的正确投资。 该公司提供集成的端到端安全技术，可保护您的数据、设备 、平台、身份访问和业务应用程序，并检测和分析威胁以实现更快的补救。 Microsoft365，它结合了Office365和Windows10和企业移动性+安全性，提供的功能包括：高级攻击保护和补救、移动设备和应用管理、身份和访问管理、云和SaaS应用安全、威胁和恶意软件保护等。 保护您业务安全的服务 但是单靠技术并不能保护您的业务。如何设计战略和战术来应对关键挑战是安全成功的另一个关键部分。无论