Gartner表示,安全和風險管理(SRM)領導者在制定和實施網絡安全計劃時,必須根據九大行業趨勢,重新平衡企業機構在技術方面和以人為本方面的投入。
Gartner高級研究總監Richard Addiscott表示:「以人為本的網絡安全原則是減少安全故障的關鍵。在設計和實施控制措施的過程中堅持人為中心,積極地與業務部門溝通並實施網絡安全人才管理,有助於改進業務風險決策,提高網絡安全人才的留存率。」
為應對網絡安全風險並維持有效的網絡安全計劃,SRM領導者必須重視以下三個關鍵領域:(1)發揮人才對於安全計劃的成功和持續推進的重要作用;(2)發展可提高整個企業機構數字生態系統可見性與響應性的安全技術能力;(3)重構安全職能的運作方式,在不影響安全性的情況下實現敏捷性。
以下九個趨勢將在這三個領域對SRM領導者產生廣泛影響:
趨勢1:以人為本的安全設計
採用以人為本的設計原則,將員工體驗在整個控制措施管理生命周期中的作用放在第一位。到2027年,50%的大型企業首席信息安全官(CISO)將採用以人為本的安全設計原則,以儘量減少網絡安全運營摩擦,並儘可能推動控制措施的採用。
Addiscott表示:「傳統的安全意識培養計劃未能減少不安全的員工行為。首席信息安全官必須重新審視過去的網絡安全事件,確定網絡安全運營摩擦的主要來源,判斷在實施控制措施的同時如何通過更多人文關懷來減輕員工的負擔,或取消那些增加摩擦卻無法有效降低風險的控制措施。」
趨勢2:改進人才管理,保障安全計劃的可持續性
以前,網絡安全領導者始終重視改進安全計劃背後的技術和流程,很少關注具體的實施者。為吸引和留住人才,不少首席信息安全官採用以人為本的人才管理方法,推動安全職能和技術的日益成熟。Gartner預測,到2026年,為了解決系統性的網絡安全和招聘難題,60%的企業機構將從對外招聘轉向 「悄悄招聘」,在企業機構內部物色所需的人才。
趨勢3:轉變網絡安全運營模式,推動價值創造
技術正在從中央IT部門轉移到各業務線、職能部門、融合團隊和員工個人。Gartner的一項調研發現,41%的員工在從事某種技術工作,並且該趨勢預計將在未來五年繼續加深。
Addiscott表示:「如今企業領導者普遍認為,網絡安全風險已成為需認真對待的首要業務風險,而不再僅僅是有待解決的技術問題。支持和加速業務成果,既是網絡安全工作的核心目標,也是一項重大的挑戰。」
首席信息安全官必須調整網絡安全的運營模式,通過綜合方法達成工作目標。員工必須了解如何平衡網絡安全、財務、聲譽、競爭、法律等諸多方面的風險。還必須將網絡安全與業務價值掛鈎,從業務成果和重點目標的角度來衡量和報告項目效果。
趨勢4:威脅暴露面管理
現代企業面臨的攻擊面十分複雜,導致安全防護人員身心疲憊。首席信息安全官必須改善評估方法,實施連續威脅暴露面管理(CTEM)計劃來了解威脅暴露情況。Gartner預測,到2026年,根據CTEM計劃確定安全投資優先級的企業機構將有能力使安全泄露事件減少三分之二。
Addiscott表示:「首席信息安全官必須不斷完善威脅評估方法,才能與企業機構不斷發展的工作方法相匹配。CTEM方法不應僅僅用於評估技術漏洞。」
趨勢5:身份編織免疫
身份基礎設施的脆弱性來自於身份編織中的不完整、配置錯誤或脆弱的要素。到2027年,企業機構將依靠身份編織免疫原則阻止85%的新攻擊,進而將安全泄露所造成的財務影響減少80%。
Addiscott表示:「身份編織免疫不僅能利用身份威脅檢測和響應(ITDR)來保護現有和新增的身份與訪問管理(IAM)組件,而且還通過完善和正確配置來對身份編織進行加固。」
趨勢6:網絡安全驗證
網絡安全驗證匯集了多項技術、流程和工具,旨在對潛在攻擊者利用已知威脅暴露面的方式進行驗證。支持網絡安全驗證的工具已取得重大進步,已實現可重複以及可預測評估環節的自動化,支持對於攻擊技術、安全控制和流程的常規基準化分析。到2026年,超過40%的企業機構(其中三分之二為中型企業)將依靠整合平台來執行網絡安全驗證評估。
趨勢7:網絡安全平台整合
由於企業機構希望簡化運營,各廠商正在圍繞一個或多個主要的網絡安全領域進行平台整合。例如,通過一個集治理、特許訪問和訪問管理功能於一身的共同平台提供身份安全服務。SRM領導者需要持續盤點安全控制措施,以便了解哪些領域存在功能重疊,並通過整合平台減少冗餘。
趨勢8:組裝式業務需要組裝式安全
為應對不斷加快的業務變化步伐,企業機構必須從擺脫對單體系統的依賴,轉而向各類應用添加模塊化功能。組裝式安全是指將網絡安全控制措施整合到架構模式中,然後以模塊化方式運用至可組裝技術中。到2027年,超過50%的核心業務應用將使用組裝式架構,因此需要一種新方法來保護這些應用的安全。
Addiscott表示:「組裝式安全專為保護組裝式業務而設計。使用組裝式組件創建應用,會引入以往尚未發現的依賴關係。這給首席信息安全官帶來重要機遇,可創建基於組件、可重複使用的安全控制對象,在設計時提前嵌入隱私和安全措施。」
趨勢9:董事會擴大網絡安全監管權限
由於網絡安全責任的歸屬日益明確,而董事會成員在治理活動中的責任也越來越大,因此董事會對網絡安全更加重視。網絡安全領導者必須向董事會提供相關的報告,證明網絡安全計劃對企業機構短期和長期目標的影響。
Addiscott表示:「SRM領導者必須鼓勵董事會積極參與和介入網絡安全決策,同時以戰略顧問的身份向董事會提供行動建議,包括安全預算和資源的分配等。」