4月20日消息,Gartner表示,安全和风险管理(SRM)领导者在制定和实施网络安全计划时,必须根据九大行业趋势,重新平衡企业机构在技术方面和以人为本方面的投入。
为应对网络安全风险并维持有效的网络安全计划,SRM领导者必须重视以下三个关键领域:
(1)发挥人才对于安全计划的成功和持续推进的重要作用;
(2)发展可提高整个企业机构数字生态系统可见性与响应性的安全技术能力;
(3)重构安全职能的运作方式,在不影响安全性的情况下实现敏捷性。
以下九个趋势将在这三个领域对SRM领导者产生广泛影响:
趋势1:以人为本的安全设计
采用以人为本的设计原则,将员工体验在整个控制措施管理生命周期中的作用放在第一位。到2027年,50%的大型企业首席信息安全官(CISO)将采用以人为本的安全设计原则,以尽量减少网络安全运营摩擦,并尽可能推动控制措施的采用。
趋势2:改进人才管理,保障安全计划的可持续性
以前,网络安全领导者始终重视改进安全计划背后的技术和流程,很少关注具体的实施者。为吸引和留住人才,不少首席信息安全官采用以人为本的人才管理方法,推动安全职能和技术的日益成熟。Gartner预测,到2026年,为了解决系统性的网络安全和招聘难题,60%的企业机构将从对外招聘转向 “悄悄招聘”,在企业机构内部物色所需的人才。
趋势3:转变网络安全运营模式,推动价值创造
技术正在从中央IT部门转移到各业务线、职能部门、融合团队和员工个人。Gartner的一项调研发现,41%的员工在从事某种技术工作,并且该趋势预计将在未来五年继续加深。
Gartner指出,首席信息安全官必须调整网络安全的运营模式,通过综合方法达成工作目标。员工必须了解如何平衡网络安全、财务、声誉、竞争、法律等诸多方面的风险。还必须将网络安全与业务价值挂钩,从业务成果和重点目标的角度来衡量和报告项目效果。
趋势4:威胁暴露面管理
现代企业面临的攻击面十分复杂,导致安全防护人员身心疲惫。首席信息安全官必须改善评估方法,实施连续威胁暴露面管理(CTEM)计划来了解威胁暴露情况。Gartner预测,到2026年,根据CTEM计划确定安全投资优先级的企业机构将有能力使安全泄露事件减少三分之二。
趋势5:身份编织免疫
身份基础设施的脆弱性来自于身份编织中的不完整、配置错误或脆弱的要素。到2027年,企业机构将依靠身份编织免疫原则阻止85%的新攻击,进而将安全泄露所造成的财务影响减少80%。
趋势6:网络安全验证
网络安全验证汇集了多项技术、流程和工具,旨在对潜在攻击者利用已知威胁暴露面的方式进行验证。支持网络安全验证的工具已取得重大进步,已实现可重复以及可预测评估环节的自动化,支持对于攻击技术、安全控制和流程的常规基准化分析。到2026年,超过40%的企业机构(其中三分之二为中型企业)将依靠整合平台来执行网络安全验证评估。
趋势7:网络安全平台整合
由于企业机构希望简化运营,各厂商正在围绕一个或多个主要的网络安全领域进行平台整合。例如,通过一个集治理、特许访问和访问管理功能于一身的共同平台提供身份安全服务。SRM领导者需要持续盘点安全控制措施,以便了解哪些领域存在功能重叠,并通过整合平台减少冗余。
趋势8:组装式业务需要组装式安全
为应对不断加快的业务变化步伐,企业机构必须从摆脱对单体系统的依赖,转而向各类应用添加模块化功能。组装式安全是指将网络安全控制措施整合到架构模式中,然后以模块化方式运用至可组装技术中。到2027年,超过50%的核心业务应用将使用组装式架构,因此需要一种新方法来保护这些应用的安全。
趋势9:董事会扩大网络安全监管权限
由于网络安全责任的归属日益明确,而董事会成员在治理活动中的责任也越来越大,因此董事会对网络安全更加重视。网络安全领导者必须向董事会提供相关的报告,证明网络安全计划对企业机构短期和长期目标的影响。
