研究表明�����,企業(yè)的安全領(lǐng)導(dǎo)者必須以人為本來(lái)建立有效的網(wǎng)絡(luò)安全計(jì)劃�����。
根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的研究�,企業(yè)的安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者在創(chuàng)建和實(shí)施符合行業(yè)趨勢(shì)的網(wǎng)絡(luò)安全計(jì)劃時(shí),必須重新考慮在網(wǎng)絡(luò)安全技術(shù)和以人為本之間的投資平衡����。
(資料圖片僅供參考)
Gartner公司高級(jí)總監(jiān)分析師Richard Addiscott表示:“以人為本的網(wǎng)絡(luò)安全方法對(duì)于減少網(wǎng)絡(luò)安全事件至關(guān)重要。專注于控制設(shè)計(jì)和實(shí)施中的人員����,以及通過(guò)業(yè)務(wù)溝通和管理網(wǎng)絡(luò)安全人才����,將有助于改善業(yè)務(wù)風(fēng)險(xiǎn)決策和網(wǎng)絡(luò)安全人員的留任�。”
為了應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)并維持有效的網(wǎng)絡(luò)安全計(jì)劃�����,安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者必須關(guān)注三個(gè)關(guān)鍵領(lǐng)域:(1)人員在安全計(jì)劃成功和可持續(xù)性方面的重要作用;(2)技術(shù)安全能力���,在企業(yè)的數(shù)字生態(tài)系統(tǒng)中提供更高的可見(jiàn)性和響應(yīng)性;(3)重組安全功能的運(yùn)作方式�,在不損害安全性的情況下實(shí)現(xiàn)靈活性�。
以下九個(gè)趨勢(shì)將在這三個(gè)關(guān)鍵領(lǐng)域產(chǎn)生廣泛影響:
趨勢(shì)1:以人為本的安全設(shè)計(jì)
以人為本的安全設(shè)計(jì)優(yōu)先考慮員工體驗(yàn)在控制管理生命周期中的作用。到2027年�,50%的大型企業(yè)首席信息安全官將采用以人為本的安全設(shè)計(jì)實(shí)踐,以最大限度地減少網(wǎng)絡(luò)安全引起的摩擦����,并最大限度地提高控制采用率。
Addiscott說(shuō)����,“傳統(tǒng)的網(wǎng)絡(luò)安全意識(shí)項(xiàng)目未能減少員工的不安全行為����,首席信息安全官必須審查過(guò)去的網(wǎng)絡(luò)安全事件���,以確定網(wǎng)絡(luò)安全摩擦的主要來(lái)源�,并確定他們可以在哪些方面通過(guò)以人為本的控制來(lái)減輕員工的負(fù)擔(dān)���,或者取消那些增加摩擦卻沒(méi)有有效降低風(fēng)險(xiǎn)的控制?�!?/p>趨勢(shì)2:為安全項(xiàng)目的可持續(xù)性加強(qiáng)人員管理
傳統(tǒng)上���,網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者專注于改進(jìn)支持他們安全項(xiàng)目的技術(shù)和流程���,很少關(guān)注創(chuàng)造這些變化的人員。采用以人為本的人才管理方法來(lái)吸引和留住人才的首席信息安全官在功能和技術(shù)成熟度方面都有所提高�。Gartner公司預(yù)測(cè),到2026年�,60%的企業(yè)將從外部招聘轉(zhuǎn)向內(nèi)部人才的招聘,以應(yīng)對(duì)系統(tǒng)性的網(wǎng)絡(luò)安全和招聘挑戰(zhàn)��。
趨勢(shì)3:轉(zhuǎn)變網(wǎng)絡(luò)安全運(yùn)營(yíng)模式,支持價(jià)值創(chuàng)造
技術(shù)正在從中心IT功能向業(yè)務(wù)線�、企業(yè)功能、融合團(tuán)隊(duì)和個(gè)人員工轉(zhuǎn)移�。Gartner公司的一項(xiàng)調(diào)查發(fā)現(xiàn),41%的員工從事某種技術(shù)工作�����,這一趨勢(shì)預(yù)計(jì)將在未來(lái)五年內(nèi)繼續(xù)增長(zhǎng)��。
Addiscott說(shuō)���,“企業(yè)領(lǐng)導(dǎo)人現(xiàn)在普遍認(rèn)為�,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是需要管理的首要業(yè)務(wù)風(fēng)險(xiǎn)����,而不是需要解決的技術(shù)問(wèn)題。支持和加速業(yè)務(wù)成果是網(wǎng)絡(luò)安全的核心優(yōu)先事項(xiàng)�,但仍然是最大的挑戰(zhàn)?!?/p>
首席信息安全官必須修改他們的網(wǎng)絡(luò)安全運(yùn)營(yíng)模型,以整合網(wǎng)絡(luò)安全工作的完成方式�。員工必須知道如何平衡一系列風(fēng)險(xiǎn),包括網(wǎng)絡(luò)安全���、財(cái)務(wù)��、聲譽(yù)�、競(jìng)爭(zhēng)和法律風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全還必須通過(guò)衡量和報(bào)告業(yè)務(wù)成果和優(yōu)先級(jí)的成功來(lái)與業(yè)務(wù)價(jià)值聯(lián)系起來(lái)�����。
趨勢(shì)4:威脅暴露管理
現(xiàn)代企業(yè)面臨的攻擊面復(fù)雜�,容易對(duì)網(wǎng)絡(luò)安全人員造成職業(yè)疲勞。首席信息安全官必須通過(guò)實(shí)施持續(xù)威脅暴露管理計(jì)劃來(lái)改進(jìn)他們的評(píng)估實(shí)踐�,以了解他們面臨的威脅。Gartner公司預(yù)測(cè)�����,到2026年��,基于威脅暴露管理計(jì)劃優(yōu)先考慮安全投資的企業(yè)遭受的網(wǎng)絡(luò)攻擊將減少三分之二�。
Addiscott說(shuō):“首席信息安全官必須不斷完善他們的威脅評(píng)估實(shí)踐����,以跟上他們企業(yè)不斷發(fā)展的工作實(shí)踐,使用威脅暴露管理方法評(píng)估的不僅僅是技術(shù)漏洞���?�!?/p>趨勢(shì)5: 身份結(jié)構(gòu)免疫
很多網(wǎng)絡(luò)攻擊是由身份結(jié)構(gòu)中不完整�����、配置錯(cuò)誤或易受攻擊的元素引起的��。到2027年����,身份結(jié)構(gòu)免疫原則將防止85%的網(wǎng)絡(luò)攻擊,從而將違規(guī)行為的財(cái)務(wù)影響減少80%��。
Addiscott說(shuō):“身份結(jié)構(gòu)免疫不僅通過(guò)身份威脅和檢測(cè)響應(yīng)保護(hù)結(jié)構(gòu)中現(xiàn)有和新的身份識(shí)別與訪問(wèn)管理組件��,而且還通過(guò)完成和正確配置來(lái)加強(qiáng)它��?��!?/p>趨勢(shì)6:網(wǎng)絡(luò)安全驗(yàn)證
網(wǎng)絡(luò)安全驗(yàn)證匯集了用于驗(yàn)證潛在網(wǎng)絡(luò)攻擊者如何利用已識(shí)別的威脅暴露的技術(shù)��、流程和工具����。網(wǎng)絡(luò)安全驗(yàn)證所需的工具在自動(dòng)化可重復(fù)和可預(yù)測(cè)的評(píng)估方面取得了重大進(jìn)展,使網(wǎng)絡(luò)攻擊技術(shù)���、安全控制和流程能夠定期進(jìn)行基準(zhǔn)測(cè)試�。到2026年��,40%以上的企業(yè)(包括三分之二的中型企業(yè))將依賴整合平臺(tái)來(lái)運(yùn)行網(wǎng)絡(luò)安全驗(yàn)證評(píng)估����。
趨勢(shì)7:網(wǎng)絡(luò)安全平臺(tái)整合
隨著企業(yè)尋求簡(jiǎn)化運(yùn)營(yíng),供應(yīng)商正在圍繞一個(gè)或多個(gè)主要網(wǎng)絡(luò)安全領(lǐng)域整合平臺(tái)�。例如,身份安全服務(wù)可以通過(guò)結(jié)合了治理�、特權(quán)訪問(wèn)和訪問(wèn)管理功能的公共平臺(tái)提供。安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者需要持續(xù)盤點(diǎn)安全控制�����,以了解存在重疊的地方�����,并通過(guò)整合平臺(tái)減少冗余�����。
趨勢(shì)8:可組合業(yè)務(wù)需要可組合安全
企業(yè)必須在其應(yīng)用程序中從依賴單一系統(tǒng)過(guò)渡到構(gòu)建模塊化功能�����,以響應(yīng)業(yè)務(wù)變化的加速步伐�。可組合安全是一種將網(wǎng)絡(luò)安全控制集成到架構(gòu)模式中����,然后在可組合技術(shù)實(shí)現(xiàn)中以模塊化級(jí)別應(yīng)用的方法。到2027年��,50%以上的核心業(yè)務(wù)應(yīng)用程序?qū)⑹褂每山M合的架構(gòu)構(gòu)建����,這就需要一種新的方法來(lái)保護(hù)這些應(yīng)用程序。
Addiscott說(shuō)��,“可組合的安全性旨在保護(hù)可組合的業(yè)務(wù)����,使用可組合組件創(chuàng)建應(yīng)用程序會(huì)引入未發(fā)現(xiàn)的依賴關(guān)系。對(duì)于首席信息安全官來(lái)說(shuō)����,通過(guò)創(chuàng)建基于組件的����、可重用的安全控制對(duì)象����,是通過(guò)設(shè)計(jì)嵌入隱私和安全性的重要機(jī)會(huì)?����!?/p>趨勢(shì)9:企業(yè)董事會(huì)擴(kuò)大其網(wǎng)絡(luò)安全監(jiān)督能力
企業(yè)董事會(huì)越來(lái)越重視網(wǎng)絡(luò)安全�����,這是由網(wǎng)絡(luò)安全明確問(wèn)責(zé)的趨勢(shì)推動(dòng)的�,包括加強(qiáng)董事會(huì)成員在其治理活動(dòng)中的責(zé)任。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須向董事會(huì)報(bào)告�,證明網(wǎng)絡(luò)安全項(xiàng)目對(duì)企業(yè)目標(biāo)的影響。
Addiscott表示:“安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者必須鼓勵(lì)董事會(huì)積極參與網(wǎng)絡(luò)安全決策�。作為戰(zhàn)略顧問(wèn),他們需要為企業(yè)董事會(huì)要采取的行動(dòng)提供建議��,包括安全預(yù)算和資源的分配�����?�!?/p>
