信息化觀察網(wǎng)

如今，企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者（安全和風(fēng)險(xiǎn)管理，SRM）需要投入更多的精力，以評(píng)估組織內(nèi)外部各方的網(wǎng)絡(luò)狀況。工程師正在做出更多涉及網(wǎng)絡(luò)風(fēng)險(xiǎn)的決策，而組織也開始設(shè)立在網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者職責(zé)范圍之外的執(zhí)行委員會(huì)。Gartner分析師表示，這些因素將導(dǎo)致產(chǎn)生這樣的情況——網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者對(duì)于職責(zé)范圍內(nèi)的許多決策減少了直接控制權(quán)。

據(jù)Gartner最近的一項(xiàng)調(diào)查顯示，88%的董事會(huì)將網(wǎng)絡(luò)安全視為業(yè)務(wù)風(fēng)險(xiǎn)，而不僅僅是技術(shù)IT問題。為此，13%的董事會(huì)設(shè)立了專門針對(duì)網(wǎng)絡(luò)安全的董事會(huì)委員會(huì)，由專職董事負(fù)責(zé)監(jiān)督。Gartner預(yù)測(cè)，到2026年，至少50%的企業(yè)高管將在雇傭合同中列入與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相關(guān)的績(jī)效要求。

網(wǎng)絡(luò)安全的正式責(zé)任將不可避免地轉(zhuǎn)向業(yè)務(wù)領(lǐng)導(dǎo)人，這些領(lǐng)導(dǎo)人向CEO交付戰(zhàn)略性目標(biāo)，比如創(chuàng)收和客戶滿意度。隨著網(wǎng)絡(luò)安全的正式責(zé)任轉(zhuǎn)移到業(yè)務(wù)領(lǐng)導(dǎo)人，有必要重新定義網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的角色（見圖1）。

Gartner研究總監(jiān)Sam Olyaei表示，CISO（首席信息安全官）這個(gè)角色必須從應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)“事實(shí)上”的責(zé)任人變成賦能業(yè)務(wù)領(lǐng)導(dǎo)人，并協(xié)助其做出明智而高質(zhì)量的信息風(fēng)險(xiǎn)決策。

圖1：網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人的角色需要重新定義

圖片來源：Gartner（2022年2月）

Gartner研究總監(jiān)Claude Mandy表示，很多組織在其ESG（環(huán)境、社會(huì)和治理）工作中積極跟蹤和報(bào)告網(wǎng)絡(luò)安全目標(biāo)和指標(biāo)，并將其作為一項(xiàng)業(yè)務(wù)需求。據(jù)Gartner預(yù)測(cè)，到2026年，30%的大型組織會(huì)公開披露側(cè)重于網(wǎng)絡(luò)安全的ESG目標(biāo)，遠(yuǎn)高于2021年的不到2%。

這表明，網(wǎng)絡(luò)安全不再只是組織面臨的一種風(fēng)險(xiǎn)，而是一種社會(huì)風(fēng)險(xiǎn)。未來，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者將更加致力于減少網(wǎng)絡(luò)安全事件引發(fā)的社會(huì)問題，比如客戶個(gè)人信息的數(shù)據(jù)泄露、使用網(wǎng)絡(luò)/物理系統(tǒng)帶來的潛在安全隱患、產(chǎn)品被誤用和濫用的可能性以及針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的惡意網(wǎng)絡(luò)活動(dòng)。