4月20日消息�����,Gartner表示�,安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者在制定和實(shí)施網(wǎng)絡(luò)安全計(jì)劃時(shí)����,必須根據(jù)九大行業(yè)趨勢,重新平衡企業(yè)機(jī)構(gòu)在技術(shù)方面和以人為本方面的投入��。
為應(yīng)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并維持有效的網(wǎng)絡(luò)安全計(jì)劃�,SRM領(lǐng)導(dǎo)者必須重視以下三個(gè)關(guān)鍵領(lǐng)域:
(1)發(fā)揮人才對于安全計(jì)劃的成功和持續(xù)推進(jìn)的重要作用;
(資料圖片)
(2)發(fā)展可提高整個(gè)企業(yè)機(jī)構(gòu)數(shù)字生態(tài)系統(tǒng)可見性與響應(yīng)性的安全技術(shù)能力;
(3)重構(gòu)安全職能的運(yùn)作方式,在不影響安全性的情況下實(shí)現(xiàn)敏捷性���。
以下九個(gè)趨勢將在這三個(gè)領(lǐng)域?qū)RM領(lǐng)導(dǎo)者產(chǎn)生廣泛影響:
趨勢1:以人為本的安全設(shè)計(jì)
采用以人為本的設(shè)計(jì)原則��,將員工體驗(yàn)在整個(gè)控制措施管理生命周期中的作用放在第一位����。到2027年,50%的大型企業(yè)首席信息安全官(CISO)將采用以人為本的安全設(shè)計(jì)原則�,以盡量減少網(wǎng)絡(luò)安全運(yùn)營摩擦,并盡可能推動控制措施的采用��。
趨勢2:改進(jìn)人才管理���,保障安全計(jì)劃的可持續(xù)性
以前���,網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者始終重視改進(jìn)安全計(jì)劃背后的技術(shù)和流程,很少關(guān)注具體的實(shí)施者��。為吸引和留住人才���,不少首席信息安全官采用以人為本的人才管理方法�,推動安全職能和技術(shù)的日益成熟��。Gartner預(yù)測����,到2026年,為了解決系統(tǒng)性的網(wǎng)絡(luò)安全和招聘難題����,60%的企業(yè)機(jī)構(gòu)將從對外招聘轉(zhuǎn)向?“悄悄招聘”�����,在企業(yè)機(jī)構(gòu)內(nèi)部物色所需的人才。
趨勢3:轉(zhuǎn)變網(wǎng)絡(luò)安全運(yùn)營模式���,推動價(jià)值創(chuàng)造
技術(shù)正在從中央IT部門轉(zhuǎn)移到各業(yè)務(wù)線����、職能部門��、融合團(tuán)隊(duì)和員工個(gè)人��。Gartner的一項(xiàng)調(diào)研發(fā)現(xiàn)���,41%的員工在從事某種技術(shù)工作�����,并且該趨勢預(yù)計(jì)將在未來五年繼續(xù)加深���。
Gartner指出����,首席信息安全官必須調(diào)整網(wǎng)絡(luò)安全的運(yùn)營模式�,通過綜合方法達(dá)成工作目標(biāo)。員工必須了解如何平衡網(wǎng)絡(luò)安全�、財(cái)務(wù)、聲譽(yù)����、競爭、法律等諸多方面的風(fēng)險(xiǎn)�����。還必須將網(wǎng)絡(luò)安全與業(yè)務(wù)價(jià)值掛鉤��,從業(yè)務(wù)成果和重點(diǎn)目標(biāo)的角度來衡量和報(bào)告項(xiàng)目效果�。
趨勢4:威脅暴露面管理
現(xiàn)代企業(yè)面臨的攻擊面十分復(fù)雜,導(dǎo)致安全防護(hù)人員身心疲憊����。首席信息安全官必須改善評估方法,實(shí)施連續(xù)威脅暴露面管理(CTEM)計(jì)劃來了解威脅暴露情況��。Gartner預(yù)測�,到2026年����,根據(jù)CTEM計(jì)劃確定安全投資優(yōu)先級的企業(yè)機(jī)構(gòu)將有能力使安全泄露事件減少三分之二�����。
趨勢5:身份編織免疫
身份基礎(chǔ)設(shè)施的脆弱性來自于身份編織中的不完整�����、配置錯(cuò)誤或脆弱的要素����。到2027年��,企業(yè)機(jī)構(gòu)將依靠身份編織免疫原則阻止85%的新攻擊����,進(jìn)而將安全泄露所造成的財(cái)務(wù)影響減少80%。
趨勢6:網(wǎng)絡(luò)安全驗(yàn)證
網(wǎng)絡(luò)安全驗(yàn)證匯集了多項(xiàng)技術(shù)���、流程和工具���,旨在對潛在攻擊者利用已知威脅暴露面的方式進(jìn)行驗(yàn)證���。支持網(wǎng)絡(luò)安全驗(yàn)證的工具已取得重大進(jìn)步,已實(shí)現(xiàn)可重復(fù)以及可預(yù)測評估環(huán)節(jié)的自動化�����,支持對于攻擊技術(shù)�����、安全控制和流程的常規(guī)基準(zhǔn)化分析���。到2026年�,超過40%的企業(yè)機(jī)構(gòu)(其中三分之二為中型企業(yè))將依靠整合平臺來執(zhí)行網(wǎng)絡(luò)安全驗(yàn)證評估�。
趨勢7:網(wǎng)絡(luò)安全平臺整合
由于企業(yè)機(jī)構(gòu)希望簡化運(yùn)營,各廠商正在圍繞一個(gè)或多個(gè)主要的網(wǎng)絡(luò)安全領(lǐng)域進(jìn)行平臺整合��。例如��,通過一個(gè)集治理�����、特許訪問和訪問管理功能于一身的共同平臺提供身份安全服務(wù)��。SRM領(lǐng)導(dǎo)者需要持續(xù)盤點(diǎn)安全控制措施,以便了解哪些領(lǐng)域存在功能重疊��,并通過整合平臺減少冗余�����。
趨勢8:組裝式業(yè)務(wù)需要組裝式安全
為應(yīng)對不斷加快的業(yè)務(wù)變化步伐��,企業(yè)機(jī)構(gòu)必須從擺脫對單體系統(tǒng)的依賴���,轉(zhuǎn)而向各類應(yīng)用添加模塊化功能����。組裝式安全是指將網(wǎng)絡(luò)安全控制措施整合到架構(gòu)模式中��,然后以模塊化方式運(yùn)用至可組裝技術(shù)中���。到2027年,超過50%的核心業(yè)務(wù)應(yīng)用將使用組裝式架構(gòu)�����,因此需要一種新方法來保護(hù)這些應(yīng)用的安全�。
趨勢9:董事會擴(kuò)大網(wǎng)絡(luò)安全監(jiān)管權(quán)限
由于網(wǎng)絡(luò)安全責(zé)任的歸屬日益明確����,而董事會成員在治理活動中的責(zé)任也越來越大���,因此董事會對網(wǎng)絡(luò)安全更加重視���。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須向董事會提供相關(guān)的報(bào)告,證明網(wǎng)絡(luò)安全計(jì)劃對企業(yè)機(jī)構(gòu)短期和長期目標(biāo)的影響��。
