信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

日前，在Gartner年度網(wǎng)絡(luò)安全和風(fēng)險管理峰會上，Gartner高級總監(jiān)分析師Richard Addiscott和高級顧問總監(jiān)Lisa Neubauer，給出了對未來2-5年全球企業(yè)組織數(shù)字化風(fēng)險發(fā)展和網(wǎng)絡(luò)安全建設(shè)的主要趨勢預(yù)測。Addiscott表示：企業(yè)的CISO及其團(tuán)隊必須在專注于當(dāng)前建設(shè)工作的同時，抽出時間來關(guān)注未來，看看今后幾年可能會影響組織網(wǎng)絡(luò)安全計劃的變革因素會有哪些。以下預(yù)測是Gartner數(shù)字化研究團(tuán)隊在目前看到的一些主要趨勢，我們建議企業(yè)管理者在制定新的網(wǎng)絡(luò)安全發(fā)展戰(zhàn)略時，應(yīng)充分考慮并適應(yīng)這些趨勢。

預(yù)測一

到2024年底，盡管個人隱私保護(hù)的法規(guī)制度已經(jīng)基本完善，能夠覆蓋大部分消費(fèi)者數(shù)據(jù)，但或許只有不到10%的企業(yè)能夠?qū)㈦[私保護(hù)轉(zhuǎn)化為業(yè)務(wù)競爭優(yōu)勢。

企業(yè)需要認(rèn)識到，制定隱私保護(hù)計劃不僅是為了法律合規(guī)，同時也可以讓組織更廣泛、更安全地使用數(shù)據(jù)，從而在商業(yè)情報分析中領(lǐng)先于競爭對手，并且贏得客戶、合作伙伴以及投資者的信任。Gartner建議企業(yè)管理者要執(zhí)行符合法規(guī)要求的全面隱私保護(hù)計劃，突破傳統(tǒng)增長阻礙因素，在競爭日益激烈的市場中脫穎而出。

預(yù)測二

到2025年，超過半數(shù)的CISO在嘗試使用風(fēng)險量化方法來推動網(wǎng)絡(luò)安全決策時，會以失敗而告終。

Gartner的調(diào)查數(shù)據(jù)顯示，62%的網(wǎng)絡(luò)風(fēng)險量化采用者都認(rèn)為這種方法會帶來收益，但只有36%的采用者實(shí)際取得了基于行動的收益結(jié)果，包括降低風(fēng)險、節(jié)省資金或獲得實(shí)際的決策影響力。因此，企業(yè)安全領(lǐng)導(dǎo)者應(yīng)該把精力集中在企業(yè)董事會要求的風(fēng)險量化指標(biāo)上，而不只是生成用于說服董事會的風(fēng)險分析結(jié)果。

預(yù)測三

到2025年，超過半數(shù)的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者可能會更換工作，主要原因是因?yàn)楣ぷ鲏毫Υ?，難以完成既定的工作目標(biāo)。

由于新冠疫情和整個行業(yè)的人員短缺，網(wǎng)絡(luò)安全專業(yè)人員的工作壓力在持續(xù)加大，而且會讓很多人覺得難以承受。Gartner表示，雖然完全消除安全管理者和分析師的工作壓力不切實(shí)際，但他們迫切需要在一個能夠理解和支持自己的企業(yè)文化中開展工作。改變網(wǎng)絡(luò)安全處置規(guī)則以促進(jìn)整體的網(wǎng)絡(luò)安全意識形成，對提升安全團(tuán)隊的工作效率會有積極幫助。

預(yù)測四

盡管CISO的工作壓力巨大，但企業(yè)對網(wǎng)絡(luò)安全的重視度卻會持續(xù)提升。到2026年，70%以上企業(yè)的董事會中都會包括一名具有網(wǎng)絡(luò)安全專業(yè)知識的高級管理者。

要想讓數(shù)字化轉(zhuǎn)型穩(wěn)定開展，就需要將網(wǎng)絡(luò)安全建設(shè)被視為數(shù)字化業(yè)務(wù)發(fā)展的伙伴，并得到董事會的認(rèn)可。這也意味著，制定網(wǎng)絡(luò)安全計劃不僅僅是為了防止各種網(wǎng)絡(luò)安全攻擊事件發(fā)生，更是為了提高企業(yè)有效承擔(dān)數(shù)字化發(fā)展風(fēng)險的能力。因此，Gartner建議CISO們需要走在這種變化發(fā)展的最前端，向董事會充分宣講保障數(shù)字化系統(tǒng)安全的重要性，并建立一種更緊密的溝通關(guān)系，以加強(qiáng)對網(wǎng)絡(luò)安全工作的信任和支持。

預(yù)測五

到2026年，企業(yè)組織60%以上的安全威脅檢測、調(diào)查與響應(yīng)能力將通過風(fēng)險暴露面管理來實(shí)現(xiàn)和驗(yàn)證，并確定對威脅管理的優(yōu)先級，而目前這個比例不到5%。

由于連接性增加、SaaS和云應(yīng)用程序得到廣泛使用，企業(yè)組織的安全攻擊面持續(xù)變大，公司需要更廣泛的可見性和統(tǒng)一策略來持續(xù)監(jiān)控威脅和風(fēng)險暴露情況。為了加強(qiáng)對威脅的檢測和應(yīng)對能力，企業(yè)組織需要一個統(tǒng)一的防護(hù)平臺或生態(tài)系統(tǒng)，可以體系化的開展并管理對威脅的檢測、調(diào)查和響應(yīng)工作，讓安全運(yùn)營團(tuán)隊全面了解風(fēng)險和潛在影響。

預(yù)測六

到2026年，將有超過10%的大型企業(yè)組織能夠?qū)嶋H落地全面、成熟、可量化的零信任安全計劃，目前這個比例還不到1%。

實(shí)施成熟的、全面的、有效的零信任安全計劃需要集成和配置多個不同的能力組件，這可能在技術(shù)實(shí)現(xiàn)上會很復(fù)雜。只有能夠幫助企業(yè)帶來更大的商業(yè)價值，零信任計劃的應(yīng)用才會成功。因此，企業(yè)組織應(yīng)遵循從小處入手、循序漸進(jìn)的零信任建設(shè)與應(yīng)用理念，這樣更容易感受到零信任計劃的價值和幫助，并逐步解決其中的建設(shè)復(fù)雜性。

預(yù)測七

到2027年，以人為本將會成為企業(yè)組織網(wǎng)絡(luò)安全計劃的基礎(chǔ)性原則，安全管理者要盡量減小安全運(yùn)營工作的阻力，并致力于提高安全管控措施的實(shí)際利用率率。

Gartner的研究顯示，超過90%的受訪人員承認(rèn)，在明知自己的操作會增加組織的網(wǎng)絡(luò)安全風(fēng)險情況下，還是采取過一系列不安全的應(yīng)用操作。因此，以人為本的網(wǎng)絡(luò)安全規(guī)劃設(shè)計要求將人（而不是技術(shù)、威脅或位置）作為實(shí)施安全控制措施的重心，這樣才能最大化減小安全運(yùn)營工作的阻力。

預(yù)測八

到2027年，有75%以上的企業(yè)員工將可以在不依賴IT部門的情況下添加、修改或應(yīng)用數(shù)字化技術(shù)，而在2022年這個比例僅為41%。

研究人員認(rèn)為，隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入發(fā)展，組織CISO的角色和職責(zé)范圍正從網(wǎng)絡(luò)安全控制措施的所有者變成應(yīng)對數(shù)字化發(fā)展風(fēng)險的決策參與者和推動者。能夠及時調(diào)整傳統(tǒng)的網(wǎng)絡(luò)安全運(yùn)營模式將是應(yīng)對這種變化的關(guān)鍵。Gartner建議，CISO不能只從技術(shù)和自動化的角度思考問題，應(yīng)與各部門員工深度接觸交流，以影響決策制定，并確保每個員工都能夠掌握適當(dāng)?shù)男畔?，在保障安全的前提下開展數(shù)字化工作。