安全领导者必须以人为本,建立行之有效的网络安全计划
2023年4月20日 – Gartner表示,安全和风险管理(SRM)领导者在制定和实施网络安全计划时,必须根据九大行业趋势,重新平衡企业机构在技术方面和以人为本方面的投入。
Gartner高级研究总监Richard Addiscott表示:“以人为本的网络安全原则是减少安全故障的关键。在设计和实施控制措施的过程中坚持人为中心,积极地与业务部门沟通并实施网络安全人才管理,有助于改进业务风险决策,提高网络安全人才的留存率。”
为应对网络安全风险并维持有效的网络安全计划,SRM领导者必须重视以下三个关键领域:(1)发挥人才对于安全计划的成功和持续推进的重要作用;(2)发展可提高整个企业机构数字生态系统可见性与响应性的安全技术能力;(3)重构安全职能的运作方式,在不影响安全性的情况下实现敏捷性。
以下九个趋势将在这三个领域对SRM领导者产生广泛影响:
趋势1:以人为本的安全设计
采用以人为本的设计原则,将员工体验在整个控制措施管理生命周期中的作用放在第一位。到2027年,50%的大型企业首席信息安全官(CISO)将采用以人为本的安全设计原则,以尽量减少网络安全运营摩擦,并尽可能推动控制措施的采用。
Addiscott表示:“传统的安全意识培养计划未能减少不安全的员工行为。首席信息安全官必须重新审视过去的网络安全事件,确定网络安全运营摩擦的主要来源,判断在实施控制措施的同时如何通过更多人文关怀来减轻员工的负担,或取消那些增加摩擦却无法有效降低风险的控制措施。”
趋势2:改进人才管理,保障安全计划的可持续性
以前,网络安全领导者始终重视改进安全计划背后的技术和流程,很少关注具体的实施者。为吸引和留住人才,不少首席信息安全官采用以人为本的人才管理方法,推动安全职能和技术的日益成熟。Gartner预测,到2026年,为了解决系统性的网络安全和招聘难题,60%的企业机构将从对外招聘转向 “悄悄招聘”,在企业机构内部物色所需的人才。
趋势3:转变网络安全运营模式,推动价值创造
技术正在从中央IT部门转移到各业务线、职能部门、融合团队和员工个人。Gartner的一项调研发现,41%的员工在从事某种技术工作,并且该趋势预计将在未来五年继续加深。
Addiscott表示:“如今企业领导者普遍认为,网络安全风险已成为需认真对待的首要业务风险,而不再仅仅是有待解决的技术问题。支持和加速业务成果,既是网络安全工作的核心目标,也是一项重大的挑战。”
首席信息安全官必须调整网络安全的运营模式,通过综合方法达成工作目标。员工必须了解如何平衡网络安全、财务、声誉、竞争、法律等诸多方面的风险。还必须将网络安全与业务价值挂钩,从业务成果和重点目标的角度来衡量和报告项目效果。
趋势4:威胁暴露面管理
现代企业面临的攻击面十分复杂,导致安全防护人员身心疲惫。首席信息安全官必须改善评估方法,实施连续威胁暴露面管理(CTEM)计划来了解威胁暴露情况。Gartner预测,到2026年,根据CTEM计划确定安全投资优先级的企业机构将有能力使安全泄露事件减少三分之二。
Addiscott表示:“首席信息安全官必须不断完善威胁评估方法,才能与企业机构不断发展的工作方法相匹配。CTEM方法不应仅仅用于评估技术漏洞。”
趋势5:身份编织免疫
身份基础设施的脆弱性来自于身份编织中的不完整、配置错误或脆弱的要素。到2027年,企业机构将依靠身份编织免疫原则阻止85%的新攻击,进而将安全泄露所造成的财务影响减少80%。
Addiscott表示:“身份编织免疫不仅能利用身份威胁检测和响应(ITDR)来保护现有和新增的身份与访问管理(IAM)组件,而且还通过完善和正确配置来对身份编织进行加固。”
趋势6:网络安全验证
网络安全验证汇集了多项技术、流程和工具,旨在对潜在攻击者利用已知威胁暴露面的方式进行验证。支持网络安全验证的工具已取得重大进步,已实现可重复以及可预测评估环节的自动化,支持对于攻击技术、安全控制和流程的常规基准化分析。到2026年,超过40%的企业机构(其中三分之二为中型企业)将依靠整合平台来执行网络安全验证评估。
趋势7:网络安全平台整合
由于企业机构希望简化运营,各厂商正在围绕一个或多个主要的网络安全领域进行平台整合。例如,通过一个集治理、特许访问和访问管理功能于一身的共同平台提供身份安全服务。SRM领导者需要持续盘点安全控制措施,以便了解哪些领域存在功能重叠,并通过整合平台减少冗余。
趋势8:组装式业务需要组装式安全
为应对不断加快的业务变化步伐,企业机构必须从摆脱对单体系统的依赖,转而向各类应用添加模块化功能。组装式安全是指将网络安全控制措施整合到架构模式中,然后以模块化方式运用至可组装技术中。到2027年,超过50%的核心业务应用将使用组装式架构,因此需要一种新方法来保护这些应用的安全。
Addiscott表示:“组装式安全专为保护组装式业务而设计。使用组装式组件创建应用,会引入以往尚未发现的依赖关系。这给首席信息安全官带来重要机遇,可创建基于组件、可重复使用的安全控制对象,在设计时提前嵌入隐私和安全措施。”
趋势9:董事会扩大网络安全监管权限
由于网络安全责任的归属日益明确,而董事会成员在治理活动中的责任也越来越大,因此董事会对网络安全更加重视。网络安全领导者必须向董事会提供相关的报告,证明网络安全计划对企业机构短期和长期目标的影响。
Addiscott表示:“SRM领导者必须鼓励董事会积极参与和介入网络安全决策,同时以战略顾问的身份向董事会提供行动建议,包括安全预算和资源的分配等。”
相关文章