當一家醫療服務機構的首席信息安全官Amy仔細查看全公司的雲安全時，她意識到默認訪問控製模型正在引起各種訪問問題。BeWell的基礎設施即服務(IaaS)提供商默認設置成隻允許企業主訪問的安全狀態。

另一方麵，軟件即服務(SaaS)提供商默認設置成完全開放訪問。在使用多個雲的情況下
，Amy無法手動放寬IaaS的權限
，也無法對SaaS進行充分的控製。那麼該如何解決這個問題呢?答案是自動化。

當前，首席信息安全官不會再遇到“你們如何提供安全並管理風險”這樣的簡單問題，而遇到的是“你們如何幫助企業實現更多價值，同時評估和管理風險、安全、甚至安防?”等更複雜的問題。使用自動化是為企業機構帶來價值的最佳方式。

自動化所帶來的影響

自動化正在通過兩種方式影響世界。第一
，自動化實現了安全和風險功能;第二，自動化是一項需要被承認和理解的新型安全前沿技術。

隨著業務的各個部分都開始采納雲、區塊鏈
、數字孿生、沉浸式技術等新興技術，像Amy這樣的首席信息安全官將會因各種優先任務而不知所措。

其qi他ta業ye務wu部bu門men可ke能neng會hui在zai沒mei有you就jiu安an全quan問wen題ti谘zi詢xun安an全quan和he風feng險xian管guan理li領ling導dao者zhe的de情qing況kuang下xia構gou建jian解jie決jue方fang案an。這zhe意yi味wei著zhe他ta們men每mei天tian都dou在zai做zuo出chu與yu技ji術shu相xiang關guan的de選xuan擇ze，而er且qie往wang往wang沒mei有you意yi識shi到dao他ta們men正zheng在zai做zuo的de事shi情qing所suo具ju有you的de潛qian在zai風feng險xian。安an全quan和he風feng險xian管guan理li領ling導dao者zhe無wu法fa控kong製zhi並bing且qie有you時shi無wu法fa得de知zhi這zhe些xie業ye務wu選xuan擇ze，而er這zhe些xie業ye務wu選xuan擇ze可ke能neng帶dai來lai嚴yan重zhong的de後hou果guo，尤you其qi是shi在zai數shu字zi化hua業ye務wu潛qian力li不bu斷duan增zeng長chang的de情qing況kuang下xia。

數字化轉型改變了安全需求以及所需的技能組合與能力，它帶來了難以填補(甚至不可能填補)的新人才缺口。

業務中的自動化

xuduozidonghuagongjudoushilinshide，danyeyouyixieshizhenduiliuchengguanjianbufendezhengguizidonghuagongju。youxiegongjushiyongyizhongjishu，youxieleixingdezidonghuagongjuzeshiyongduozhongjishu。lirujiqirenliuchengzidonghuazuishiheyongyuyirenwuweizhongxindehuanjingyijishiyongyucejianmo、回歸分析

、預報和模式匹配回答“可能發生什麼”這一問題的預測分析。

youxiegongsizhunbeishiyongzidonghuajiangdichengben，guifanhuotigaoshengchanxiaolv。youxiegongsizhunbeishiyongtalaitigaofengxiankongzhidezhiliangheyizhixing，tongshijianshaorenweicuowu。qiyejigouhaizhunbeishiyongzidonghuatigaosuduhuolinghuoxing。

持續自適應風險與信任評估成為重要推手

無論如何使用自動化，安全和風險管理領導者都不會再依賴傳統的安全策略。持續自適應風險與信任評估(CARTA)是一種承認沒有完美保護方法
，因此需要隨時隨地調整安全策略的策略方法。

安an全quan和he風feng險xian管guan理li領ling導dao者zhe要yao有you意yi識shi地di采cai取qu既ji能neng最zui大da程cheng度du降jiang低di自zi身shen所suo在zai企qi業ye機ji構gou的de風feng險xian，又you能neng幫bang助zhu企qi業ye機ji構gou獲huo得de回hui報bao的de自zi適shi應ying自zi動dong化hua方fang法fa。安an全quan和he風feng險xian管guan理li領ling導dao者zhe必bi須xu根gen據ju情qing況kuang平ping衡heng風feng險xian和he信xin任ren
，在zai自zi動dong化hua藍lan圖tu中zhong找zhao到dao自zi己ji的de位wei置zhi，實shi現xian自zi己ji的de價jia值zhi。

自(zi)動(dong)化(hua)的(de)確(que)會(hui)增(zeng)加(jia)風(feng)險(xian)。例(li)如(ru)算(suan)法(fa)中(zhong)可(ke)能(neng)有(you)來(lai)自(zi)創(chuang)建(jian)者(zhe)的(de)隱(yin)式(shi)和(he)顯(xian)式(shi)偏(pian)差(cha)，或(huo)者(zhe)不(bu)可(ke)信(xin)操(cao)作(zuo)係(xi)統(tong)上(shang)的(de)算(suan)法(fa)可(ke)能(neng)被(bei)外(wai)界(jie)秘(mi)密(mi)地(di)操(cao)控(kong)。因(yin)此(ci)
，任(ren)何(he)有(you)關(guan)自(zi)動(dong)化(hua)的(de)選(xuan)擇(ze)都(dou)必(bi)須(xu)謹(jin)慎(shen)並(bing)且(qie)符(fu)合(he)當(dang)前(qian)和(he)未(wei)來(lai)的(de)情(qing)況(kuang)。

雖然有風險，但如果能夠作出正確的選擇，自動化會給安全團隊和業務帶來巨大的益處。

通過自動化實現價值

安全和風險專業人員必須在三個領域使用自動化實現價值，分別是：身份識別、數據和新產品或服務開發。

身份識別是所有其他安全控製的基礎

zairenheqingkuangxia，youguanshenfenshibiedejuedingdouyinggaibaochizaianquanhefengxiantuanduidekongzhifanweinei。suizheyuelaiyueduodeyewuqianyidaoyunhuanjing，zheyidianbiandegengjiazhongyao。youyuxitonghegongsibianderiyifuza，danchunyikaojigemimajinxingshenfenquerenyishifenkunnanqieweixian。

keyikaolvshiyongzhinengfengxianyinqingzidongzhixingliuchengzhongdetedingbufen。chixuzishiyingfengxianyuxinrenpinggushenfenshibiefangfajiangchengweiquebaofengxianyinqingjibuhuiguoyufangsong
，yebuhuiguoyuyangedeguanjian
，erqiegaifangfayeshiyongyuyonghu。

數據已成為企業價值的重要組成部分

業務如同“數據生產工廠”。如果無法保護和監控數據，則會產生高昂的代價，甚至損害企業機構的價值。

可以檢查所有IaaS和SaaS應用程序的訪問控製模型，考慮使用雲訪問安全代理(CASB)對數據和文件進行識別和分類。同時使用雲訪問安全代理和企業數字版權管理將控製延伸到整個企業，覆蓋所有位置的數據。

新產品或服務開發是公司關注的焦點

為(wei)了(le)獲(huo)得(de)競(jing)爭(zheng)優(you)勢(shi)，各(ge)家(jia)公(gong)司(si)正(zheng)在(zai)開(kai)發(fa)新(xin)的(de)產(chan)品(pin)和(he)服(fu)務(wu)
，同(tong)時(shi)使(shi)用(yong)新(xin)興(xing)技(ji)術(shu)把(ba)握(wo)新(xin)的(de)商(shang)機(ji)。由(you)於(yu)公(gong)司(si)越(yue)來(lai)越(yue)需(xu)要(yao)加(jia)快(kuai)產(chan)品(pin)進(jin)入(ru)市(shi)場(chang)的(de)速(su)度(du)，開(kai)發(fa)運(yun)維(wei)(DevOps)流程可能會違反安全協議。自動化可以幫助實現安全開發運維(DevSecOps)的終極目標，在一開始就將安全集成到流程中，不產生任何負麵影響。

可(ke)以(yi)考(kao)慮(lv)自(zi)動(dong)化(hua)選(xuan)項(xiang)
，例(li)如(ru)交(jiao)互(hu)式(shi)應(ying)用(yong)程(cheng)序(xu)安(an)全(quan)測(ce)試(shi)這(zhe)一(yi)基(ji)於(yu)機(ji)器(qi)的(de)解(jie)決(jue)方(fang)案(an)可(ke)以(yi)讓(rang)您(nin)從(cong)內(nei)部(bu)觀(guan)察(cha)應(ying)用(yong)程(cheng)序(xu)的(de)行(xing)為(wei)。之(zhi)後(hou)
，您(nin)的(de)團(tuan)隊(dui)就(jiu)可(ke)以(yi)將(jiang)安(an)全(quan)測(ce)試(shi)放(fang)在(zai)質(zhi)量(liang)檢(jian)測(ce)之(zhi)上(shang)並(bing)且(qie)避(bi)免(mian)使(shi)用(yong)單(dan)一(yi)的(de)安(an)全(quan)測(ce)試(shi)用(yong)例(li)。

在這些至關重要的優先任務中，安全和風險管理領導者必須將他們想要處理的任務
、qitatuanduikeyiheliwanchengderenwuyijiwufabaozhengshijianhuojingliderenwuanyouxianjibiepaixu。anquantuanduihaibixukaolvruhejiangzidonghuajichengdaoxitongzhongyijiruhezaichixuzishiyingfengxianyuxinrenpingguanquanfangfazhonghelishiyongzidonghua。

為(wei)了(le)管(guan)理(li)和(he)支(zhi)持(chi)價(jia)值(zhi)保(bao)護(hu)並(bing)實(shi)現(xian)價(jia)值(zhi)創(chuang)造(zao)
，安(an)全(quan)和(he)風(feng)險(xian)管(guan)理(li)領(ling)導(dao)者(zhe)的(de)工(gong)作(zuo)就(jiu)是(shi)識(shi)別(bie)和(he)管(guan)理(li)這(zhe)種(zhong)緊(jin)張(zhang)局(ju)麵(mian)，並(bing)在(zai)自(zi)動(dong)化(hua)藍(lan)圖(tu)中(zhong)找(zhao)到(dao)自(zi)己(ji)的(de)位(wei)置(zhi)。

作者：Gartner研究副總裁Katell Thielemann、Gartner顧問總監Beth Schumaecker、Gartner高級研究總監David Mahdi