日前,在Gartner年度網絡安全和風險管理峰會上,Gartner高級總監分析師Richard Addiscott和高級顧問總監Lisa Neubauer,給出了對未來2-5年全球企業組織數字化風險發展和網絡安全建設的主要趨勢預測。Addiscott表示:企業的CISO及其團隊必須在專注于當前建設工作的同時,抽出時間來關注未來,看看今后幾年可能會影響組織網絡安全計劃的變革因素會有哪些。以下預測是Gartner數字化研究團隊在目前看到的一些主要趨勢,我們建議企業管理者在制定新的網絡安全發展戰略時,應充分考慮并適應這些趨勢。
預測一
到2024年底,盡管個人隱私保護的法規制度已經基本完善,能夠覆蓋大部分消費者數據,但或許只有不到10%的企業能夠將隱私保護轉化為業務競爭優勢。
企業需要認識到,制定隱私保護計劃不僅是為了法律合規,同時也可以讓組織更廣泛、更安全地使用數據,從而在商業情報分析中領先于競爭對手,并且贏得客戶、合作伙伴以及投資者的信任。Gartner建議企業管理者要執行符合法規要求的全面隱私保護計劃,突破傳統增長阻礙因素,在競爭日益激烈的市場中脫穎而出。
預測二
到2025年,超過半數的CISO在嘗試使用風險量化方法來推動網絡安全決策時,會以失敗而告終。
Gartner的調查數據顯示,62%的網絡風險量化采用者都認為這種方法會帶來收益,但只有36%的采用者實際取得了基于行動的收益結果,包括降低風險、節省資金或獲得實際的決策影響力。因此,企業安全領導者應該把精力集中在企業董事會要求的風險量化指標上,而不只是生成用于說服董事會的風險分析結果。
預測三
到2025年,超過半數的網絡安全領導者可能會更換工作,主要原因是因為工作壓力大,難以完成既定的工作目標。
由于新冠疫情和整個行業的人員短缺,網絡安全專業人員的工作壓力在持續加大,而且會讓很多人覺得難以承受。Gartner表示,雖然完全消除安全管理者和分析師的工作壓力不切實際,但他們迫切需要在一個能夠理解和支持自己的企業文化中開展工作。改變網絡安全處置規則以促進整體的網絡安全意識形成,對提升安全團隊的工作效率會有積極幫助。
預測四
盡管CISO的工作壓力巨大,但企業對網絡安全的重視度卻會持續提升。到2026年,70%以上企業的董事會中都會包括一名具有網絡安全專業知識的高級管理者。
要想讓數字化轉型穩定開展,就需要將網絡安全建設被視為數字化業務發展的伙伴,并得到董事會的認可。這也意味著,制定網絡安全計劃不僅僅是為了防止各種網絡安全攻擊事件發生,更是為了提高企業有效承擔數字化發展風險的能力。因此,Gartner建議CISO們需要走在這種變化發展的最前端,向董事會充分宣講保障數字化系統安全的重要性,并建立一種更緊密的溝通關系,以加強對網絡安全工作的信任和支持。
預測五
到2026年,企業組織60%以上的安全威脅檢測、調查與響應能力將通過風險暴露面管理來實現和驗證,并確定對威脅管理的優先級,而目前這個比例不到5%。
由于連接性增加、SaaS和云應用程序得到廣泛使用,企業組織的安全攻擊面持續變大,公司需要更廣泛的可見性和統一策略來持續監控威脅和風險暴露情況。為了加強對威脅的檢測和應對能力,企業組織需要一個統一的防護平臺或生態系統,可以體系化的開展并管理對威脅的檢測、調查和響應工作,讓安全運營團隊全面了解風險和潛在影響。
預測六
到2026年,將有超過10%的大型企業組織能夠實際落地全面、成熟、可量化的零信任安全計劃,目前這個比例還不到1%。
實施成熟的、全面的、有效的零信任安全計劃需要集成和配置多個不同的能力組件,這可能在技術實現上會很復雜。只有能夠幫助企業帶來更大的商業價值,零信任計劃的應用才會成功。因此,企業組織應遵循從小處入手、循序漸進的零信任建設與應用理念,這樣更容易感受到零信任計劃的價值和幫助,并逐步解決其中的建設復雜性。
預測七
到2027年,以人為本將會成為企業組織網絡安全計劃的基礎性原則,安全管理者要盡量減小安全運營工作的阻力,并致力于提高安全管控措施的實際利用率率。
Gartner的研究顯示,超過90%的受訪人員承認,在明知自己的操作會增加組織的網絡安全風險情況下,還是采取過一系列不安全的應用操作。因此,以人為本的網絡安全規劃設計要求將人(而不是技術、威脅或位置)作為實施安全控制措施的重心,這樣才能最大化減小安全運營工作的阻力。
預測八
到2027年,有75%以上的企業員工將可以在不依賴IT部門的情況下添加、修改或應用數字化技術,而在2022年這個比例僅為41%。
研究人員認為,隨著企業數字化轉型的深入發展,組織CISO的角色和職責范圍正從網絡安全控制措施的所有者變成應對數字化發展風險的決策參與者和推動者。能夠及時調整傳統的網絡安全運營模式將是應對這種變化的關鍵。Gartner建議,CISO不能只從技術和自動化的角度思考問題,應與各部門員工深度接觸交流,以影響決策制定,并確保每個員工都能夠掌握適當的信息,在保障安全的前提下開展數字化工作。
