Gartner发布2023年网络安全重要趋势

发布时间:2023-04-20  

安全领导者必须以人为本,建立行之有效的网络安全计划


2023年4月20日 – Gartner表示,安全和风险管理(SRM)领导者在制定和实施网络安全计划时,必须根据九大行业趋势,重新平衡企业机构在技术方面和以人为本方面的投入。


Gartner高级研究总监Richard Addiscott表示:“以人为本的网络安全原则是减少安全故障的关键。在设计和实施控制措施的过程中坚持人为中心,积极地与业务部门沟通并实施网络安全人才管理,有助于改进业务风险决策,提高网络安全人才的留存率。”


为应对网络安全风险并维持有效的网络安全计划,SRM领导者必须重视以下三个关键领域:(1)发挥人才对于安全计划的成功和持续推进的重要作用;(2)发展可提高整个企业机构数字生态系统可见性与响应性的安全技术能力;(3)重构安全职能的运作方式,在不影响安全性的情况下实现敏捷性。


以下九个趋势将在这三个领域对SRM领导者产生广泛影响: 


趋势1:以人为本的安全设计


采用以人为本的设计原则,将员工体验在整个控制措施管理生命周期中的作用放在第一位。到2027年,50%的大型企业首席信息安全官(CISO)将采用以人为本的安全设计原则,以尽量减少网络安全运营摩擦,并尽可能推动控制措施的采用。


Addiscott表示:“传统的安全意识培养计划未能减少不安全的员工行为。首席信息安全官必须重新审视过去的网络安全事件,确定网络安全运营摩擦的主要来源,判断在实施控制措施的同时如何通过更多人文关怀来减轻员工的负担,或取消那些增加摩擦却无法有效降低风险的控制措施。” 


趋势2:改进人才管理,保障安全计划的可持续性


以前,网络安全领导者始终重视改进安全计划背后的技术和流程,很少关注具体的实施者。为吸引和留住人才,不少首席信息安全官采用以人为本的人才管理方法,推动安全职能和技术的日益成熟。Gartner预测,到2026年,为了解决系统性的网络安全和招聘难题,60%的企业机构将从对外招聘转向 “悄悄招聘”,在企业机构内部物色所需的人才。


趋势3:转变网络安全运营模式,推动价值创造


技术正在从中央IT部门转移到各业务线、职能部门、融合团队和员工个人。Gartner的一项调研发现,41%的员工在从事某种技术工作,并且该趋势预计将在未来五年继续加深。


Addiscott表示:“如今企业领导者普遍认为,网络安全风险已成为需认真对待的首要业务风险,而不再仅仅是有待解决的技术问题。支持和加速业务成果,既是网络安全工作的核心目标,也是一项重大的挑战。”


首席信息安全官必须调整网络安全的运营模式,通过综合方法达成工作目标。员工必须了解如何平衡网络安全、财务、声誉、竞争、法律等诸多方面的风险。还必须将网络安全与业务价值挂钩,从业务成果和重点目标的角度来衡量和报告项目效果。


趋势4:威胁暴露面管理


现代企业面临的攻击面十分复杂,导致安全防护人员身心疲惫。首席信息安全官必须改善评估方法,实施连续威胁暴露面管理(CTEM)计划来了解威胁暴露情况。Gartner预测,到2026年,根据CTEM计划确定安全投资优先级的企业机构将有能力使安全泄露事件减少三分之二。


Addiscott表示:“首席信息安全官必须不断完善威胁评估方法,才能与企业机构不断发展的工作方法相匹配。CTEM方法不应仅仅用于评估技术漏洞。”


趋势5:身份编织免疫


身份基础设施的脆弱性来自于身份编织中的不完整、配置错误或脆弱的要素。到2027年,企业机构将依靠身份编织免疫原则阻止85%的新攻击,进而将安全泄露所造成的财务影响减少80%。   


Addiscott表示:“身份编织免疫不仅能利用身份威胁检测和响应(ITDR)来保护现有和新增的身份与访问管理(IAM)组件,而且还通过完善和正确配置来对身份编织进行加固。”


趋势6:网络安全验证


网络安全验证汇集了多项技术、流程和工具,旨在对潜在攻击者利用已知威胁暴露面的方式进行验证。支持网络安全验证的工具已取得重大进步,已实现可重复以及可预测评估环节的自动化,支持对于攻击技术、安全控制和流程的常规基准化分析。到2026年,超过40%的企业机构(其中三分之二为中型企业)将依靠整合平台来执行网络安全验证评估。


趋势7:网络安全平台整合


由于企业机构希望简化运营,各厂商正在围绕一个或多个主要的网络安全领域进行平台整合。例如,通过一个集治理、特许访问和访问管理功能于一身的共同平台提供身份安全服务。SRM领导者需要持续盘点安全控制措施,以便了解哪些领域存在功能重叠,并通过整合平台减少冗余。


趋势8:组装式业务需要组装式安全


为应对不断加快的业务变化步伐,企业机构必须从摆脱对单体系统的依赖,转而向各类应用添加模块化功能。组装式安全是指将网络安全控制措施整合到架构模式中,然后以模块化方式运用至可组装技术中。到2027年,超过50%的核心业务应用将使用组装式架构,因此需要一种新方法来保护这些应用的安全。  


Addiscott表示:“组装式安全专为保护组装式业务而设计。使用组装式组件创建应用,会引入以往尚未发现的依赖关系。这给首席信息安全官带来重要机遇,可创建基于组件、可重复使用的安全控制对象,在设计时提前嵌入隐私和安全措施。”


趋势9:董事会扩大网络安全监管权限


由于网络安全责任的归属日益明确,而董事会成员在治理活动中的责任也越来越大,因此董事会对网络安全更加重视。网络安全领导者必须向董事会提供相关的报告,证明网络安全计划对企业机构短期和长期目标的影响。


Addiscott表示:“SRM领导者必须鼓励董事会积极参与和介入网络安全决策,同时以战略顾问的身份向董事会提供行动建议,包括安全预算和资源的分配等。”


文章来源于:电子工程世界    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>