Wannacry显示了基于风险的安全的有效性,说RSA头
根据RSA总裁Rohit Ghai的说法,最近的网络攻击提供了几个校样点,即安全性并不简单的技术问题,而是一种企业风险问题。
“例如,vannacry,漏洞是已知的,因此它是人,过程和技术的一个问题,以确保系统被修补,”他每周告诉计算机。
加班说,风险管理的纪律是减轻风险的配方,这是RSA的业务驱动安全战略的关键部分,该战略在2017年2月在2017年RSA会议上强调。
“业务驱动的安全是关于安全和风险管理的融合,”他说,补充说,在RSA的舵后四个月后,他更加致力于这种方法。
“组织需要采取所有风险 - 不仅仅是网络风险 - 并拥有框架,流程和一套工具来支持这些努力采取基于风险的方法,”加合金说。
“由于Wannacry不方便,它有助于教育客户,以及在他们如何考虑网络安全和风险的趋同方面学习自己。”
在这种情况下,加班认为RSA的作用是帮助组织将所有其联系到他们所面临的风险,以帮助他们优先考虑何处进行有限的资源。
询问他带来了RSA的内容,加班说,作为一个有企业背景的人,他围绕将商业镜头应用于网络安全的概念,他有“更深的信念”。
他说,在过去,安全性和它已被视为外围业务,但业务利益相关者开始欣赏对方的挑战。
“双方都希望更好地对准目标,他们希望迅速移动以推进其组织的业务议程,他们被迫合作,”加合。
“挑战是他们说出不同的语言,并不总是拥有他们需要互相沟通的所有工具,这是RSA在播放角色的地方。
“我越来越担心弥合业务方面和网络安全团队之间的差距,使他们能够互相交谈并合作。”
其次,加班说,他认为RSA必须更加符合数字化的未来,并更聪明地了解世界如何在新的商业模式,基础设施和架构方面变化。
这意味着必须在互联网上的上下文中考虑安全性(IOT)和攻击,这些攻击之后的目标诸如电网和工厂的目标,而不仅仅是数据。
“我们还需要更聪明地了解更改利益相关者期望,因为在数字未来,在访问IT系统和资源方面的任何摩擦可能会不那么宽容,”他说。
Ghai表示,再次需要一种基于风险的方法。“这意味着当我正在登录访问午餐菜单时,与在认证要求方面访问财务结果时,它应该是无摩擦的,”他说。
“基于风险的方法意味着该技术应该足够智能,基于业务环境,以应用适当的摩擦程度,以在用户期望和确保安全性之间的便利之间取得最佳平衡。”
加班说,这些是他想要在RSA开车的一些举措,作为采取更少二进制方法的努力,以认识到世界不是黑白的。
“还有很多灰色,为此,您需要技术来管理风险,使用机器学习和人工智能等新技术,拨打或根据需要拨打摩擦,”他说。
加合也致力于继续RSA的跨行业合作。“比以往任何时候都有更糟糕的家伙,所以好的家伙都有乐队在一起,”他说。
除了在世界各地的几个地区举办RSA会议外,Ghai还表示,RSA也是网络威胁联盟等行业倡议的积极成员,以及与北约的喜欢协作和交换网络威胁情报的行业倡议。
“我们也不断推动我们在客户之间称呼社区智能的东西,”他说。“这是我们的欺诈套件,它利用网络效果,因为随着更多公司使用它,它可以越来越聪明,从所有人那里绘制威胁情报。”
采取更广泛的生态系统的创新方法是加合任务的另一个,并且RSA已经与其他组织更多合作。他赋予了一个大型系统集成商的示例,为RSA的Archer治理,风险和合规性(GRC)平台有助于其知识产权。
“我们正在寻求在Archer平台周围创建一个交流和创新的市场,合作伙伴可以贡献他们的知识产权和解决方案,”他说。“这是一种创新的生态系统方法。”
加合也在寻求发展RSA的上市方针。他说,目标是使其与RSA做生意,使其“无缝方便”。
“我们有很多不同的产品,我们需要所有的专业化,但客户应该与我们有一个统一的界面,因此我们正在推动我们的上市战略,以采取更为客户的观点和提供他的客户与我们互动的整体,无缝界面,而不是让我们自己的组织结构和专业化的需求妨碍,“他说。
此外,加合士正在寻求促使渠道合作伙伴在为市场上的RSA产品和服务方面的作用,以减少对内部员工的依赖。
“我想开车的第三次上市变革 - 它仍然是早期的日子 - 是我称之为”数字式上市“的最新日,这是指通过我们的数字店面与我们互动的客户来体验我们的技术,做Pocs [概念试验证明]并有关于产品和服务如何更好地使用或应该演变以满足他们的需求的对话,“他说。
加班表示,这代表了RSA的文化转变,以更积极地与客户互动的方式,重点是商业利益和价值。“从作为经典的内部部门组织,我们正在迁移到更像SaaS [软件作为服务]和数字组织,”他说。
在加班队在RSA举行掌舵之前,该公司不久,该公司成为戴尔技术集团的一部分,其中戴尔收购了EMC,是RSA的先前母公司。
询问RSA如何拟合进入戴尔技术集团,加班人表示已经与本集团的其他公司合作,将RSA身份管理技术纳入其终端产品。
“RSA的最大福利是戴尔与客户的战略关系,特别是鉴于大多数组织希望与较少的供应商开展业务,他们希望拥有更少的值得信赖的顾问,”他说。
“凭借其规模,戴尔技术正在担任行星上顶级公司的可信任顾问的候选名单,因此我们可以获得访问这些公司的C-Suite的最大福利。”
同样,组织能够通过与戴尔技术的单一关系来利用RSA及其姐妹组织DellsecureWorks的安全专业知识。
欧盟的GDPR(一般数据保护规例)是英国目前的热门话题之一,该组织决定在现在和2018年5月25日遵守的截止日期之间进行确定。
“GDPR本质上是关于数据处理过程和身份保证,谁可以访问数据,”他说。
询问RSA在这方面的角色,加班说,首先,RSA的Archer GRC组合将能够运作和协调与GDPR相关的流程来灌输所需的学科,以确保遵守遵守数据所需的学科。
其次,他说RSA的身份和访问管理(IAM)投资组合可以确保合适的人员可以访问正确的数据。
第三,加班说,RSA的NetWitness技术可以帮助组织可以完全了解其数据,包括云环境中的数据。
“组织需要能够在所有与数据相关的活动中发出光明,如果发生数据违约事件,那么就会进行取证的能力,”他说。
欧洲,中东和非洲副总裁Jonathan Gill表示,GDPR是业务驱动安全的经典应用,这是关于在业务背景下做出正确的决定和可用的有限资源。
“我们的独特技术组合使组织能够通过转动灯来响应威胁,监管变更或商业机会,以便做出正确的选择,并接受特定业务的适当风险,”他说。
“这是业务驱动的安全性的,而GDPR是一个很好的用例 - 这是每个威胁和漏洞 - 通过将其带回问题的根本原因,这是平衡威胁,机会和资源。”