2023年4月18日 – Gartner近日公布的网络安全重要趋势预测显示,半数首席信息安全官(CISO)将采取以人为本的设计,旨在减少网络安全运营中的摩擦;大型企业将重点执行零信任计划;半数网络安全领导者将尝试使用网络风险量化机制来推动决策,但会以失败告终。
在近日召开的Gartner安全与风险管理峰会的开幕主旨演讲中,Gartner高级研究总监Richard Addiscott和咨询部门高级总监Lisa Neubauer探讨了Gartner网络安全专家提出的重要趋势预测,这些预测可帮助安全与风险管理领导者在数字时代取得成功。
Addiscott表示:“虽然首席信息安全官及其团队必须高度关注当前发生的事件,才能最大程度地保证其企业机构的安全,但在关注日常挑战的同时,也应抽出时间进行远景展望,把握未来几年将影响企业机构安全计划实施的趋势。”
“这些预测代表着我们看到的一些新趋势,任何希望制定有效、可持续的网络安全计划的首席信息安全官都应给予重视。”
Gartner建议,网络安全领导者应把握以下几项战略规划假设,合理制定未来两年的安全战略。
到2027年,50%的首席信息安全官将正式在其网络安全计划中采用以人为本的设计原则,希望借此将安全运营摩擦降至最低,并尽可能采用控制措施。
Gartner调研表明,在承认曾在工作中采取不安全行为的员工中,超过90%的人虽然意识到自身行为会增加企业机构的风险,但依然选择这么做。以人为本的安全设计将人本身(而非技术、威胁或位置)作为设计和落实控制措施的核心,以便尽量减少摩擦。
到2024年,现代隐私法规将覆盖大多数消费者数据,但只有不到10%的企业机构能够成功地将隐私保护转化为竞争优势。
企业机构开始认识到,在隐私保护计划的支持下,他们将可以把数据用于更广泛的用途、实现与竞争对手的差异化,并获取客户、合作伙伴、投资者和监管机构的信任。Gartner建议,安全领导者应执行符合《通用数据保护条例》(GDPR)的全方位隐私标准,以便在日益激烈的市场竞争中脱颖而出并顺利发展。
到2026年,10%的大型企业将执行一项全面、成熟、可衡量的零信任计划,而目前这一比例还不到1%。
执行成熟、大范围的零信任计划需要整合并配置多个不同的系统组件,这可能会增加技术难度和复杂性。计划实施能否成功,在很大程度上取决于能否创造业务价值。秉持不断完善的思路并从细微处入手,将使企业机构更容易从零信任计划中获益,并逐步处理一些复杂的问题。
到2027年,75%的员工将在IT部门之外独立地获取、修改或创建技术,2022年的这一比例为41%。
首席信息安全官的角色和责任范围正在从负责控制措施转变为促进风险决策。应对即将到来的变化,关键在于重新构建网络安全运营模式。Gartner建议,不应仅从技术和自动化的角度思考问题,而应通过与员工深入交流来影响决策,并确保员工掌握必要的知识以作出明智决策。
到2025年,50%的网络安全领导者将尝试使用网络风险量化机制来推动企业决策,但会以失败告终。
Gartner调研表明,62%的网络风险量化机制采用者提到了增加信誉和提高网络风险意识等软性收益,但只有36%通过行动取得了预期成果,包括降低风险、节约成本或切实影响决策。安全领导者应集中精力实施决策者所需的量化分析,而不是进行自我导向的分析并试图说服业务部门给予认同。
到2025年,近半数网络安全领导者将更换岗位,25%的人将难以承受多重工作所带来的压力,彻底转到其他岗位。
在疫情影响以及全行业人员短缺的推动下,网络安全专业人员的工作压力正在不断上升,并变得无法承受。Gartner建议,虽然完全杜绝压力不切实际,但如果通过企业文化获得支持,人们将有能力完成棘手、压力较大的工作。通过改变工作参与规则来推动企业文化变革,将对此有所助益。
到2026年,70%的董事会将增加一名通晓网络安全专业知识的董事。
网络安全领导者若想被业务部门视为合作伙伴,就需要了解董事会和企业的风险偏好。这意味着,他们不仅需要展示如何利用网络安全计划防止不利事情的发生,还要证明此类计划可有效地帮助企业提高风险承受能力。Gartner建议,首席信息安全官应积极地引领变革,向董事会阐明网络安全措施的价值并提供实施支持,同时通过增进与利益相关者的联系来获得更大的信任和支持。
到2026年,超过60%的威胁检测、调查和响应(TDIR)解决方案将利用暴露面管理数据来验证和优先处理被检测到的威胁,而目前这一比例还不到5%。
随着连接数量的增加以及SaaS和云应用的普及,企业机构面对的攻击面正在不断扩大,因此需要提高可见性和打造中心化平台,持续地监测各类威胁与暴露面情况。TDIR能力提供了一个可以管理检测、调查和响应的统一平台或平台生态系统,使安全运营团队能够全面地掌控风险和潜在影响。
免费Gartner电子书《2023年安全与风险管理领导者的领导力愿景》,进一步了解2023年安全与风险领导者的首要任务。