根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的研究,企業(yè)的安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者在創(chuàng)建和實(shí)施符合行業(yè)趨勢(shì)的網(wǎng)絡(luò)安全計(jì)劃時(shí),必須重新考慮在網(wǎng)絡(luò)安全技術(shù)和以人為本之間的投資平衡。
Gartner公司高級(jí)總監(jiān)分析師Richard Addiscott表示:“以人為本的網(wǎng)絡(luò)安全方法對(duì)于減少網(wǎng)絡(luò)安全事件至關(guān)重要。專注于控制設(shè)計(jì)和實(shí)施中的人員,以及通過業(yè)務(wù)溝通和管理網(wǎng)絡(luò)安全人才,將有助于改善業(yè)務(wù)風(fēng)險(xiǎn)決策和網(wǎng)絡(luò)安全人員的留任。”
為了應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)并維持有效的網(wǎng)絡(luò)安全計(jì)劃,安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者必須關(guān)注三個(gè)關(guān)鍵領(lǐng)域:(1)人員在安全計(jì)劃成功和可持續(xù)性方面的重要作用;(2)技術(shù)安全能力,在企業(yè)的數(shù)字生態(tài)系統(tǒng)中提供更高的可見性和響應(yīng)性;(3)重組安全功能的運(yùn)作方式,在不損害安全性的情況下實(shí)現(xiàn)靈活性。
以下九個(gè)趨勢(shì)將在這三個(gè)關(guān)鍵領(lǐng)域產(chǎn)生廣泛影響:
趨勢(shì)1:以人為本的安全設(shè)計(jì)
以人為本的安全設(shè)計(jì)優(yōu)先考慮員工體驗(yàn)在控制管理生命周期中的作用。到2027年,50%的大型企業(yè)首席信息安全官將采用以人為本的安全設(shè)計(jì)實(shí)踐,以最大限度地減少網(wǎng)絡(luò)安全引起的摩擦,并最大限度地提高控制采用率。
Addiscott說,“傳統(tǒng)的網(wǎng)絡(luò)安全意識(shí)項(xiàng)目未能減少員工的不安全行為,首席信息安全官必須審查過去的網(wǎng)絡(luò)安全事件,以確定網(wǎng)絡(luò)安全摩擦的主要來源,并確定他們可以在哪些方面通過以人為本的控制來減輕員工的負(fù)擔(dān),或者取消那些增加摩擦卻沒有有效降低風(fēng)險(xiǎn)的控制。”
趨勢(shì)2:為安全項(xiàng)目的可持續(xù)性加強(qiáng)人員管理
傳統(tǒng)上,網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者專注于改進(jìn)支持他們安全項(xiàng)目的技術(shù)和流程,很少關(guān)注創(chuàng)造這些變化的人員。采用以人為本的人才管理方法來吸引和留住人才的首席信息安全官在功能和技術(shù)成熟度方面都有所提高。Gartner公司預(yù)測(cè),到2026年,60%的企業(yè)將從外部招聘轉(zhuǎn)向內(nèi)部人才的招聘,以應(yīng)對(duì)系統(tǒng)性的網(wǎng)絡(luò)安全和招聘挑戰(zhàn)。
趨勢(shì)3:轉(zhuǎn)變網(wǎng)絡(luò)安全運(yùn)營(yíng)模式,支持價(jià)值創(chuàng)造
技術(shù)正在從中心IT功能向業(yè)務(wù)線、企業(yè)功能、融合團(tuán)隊(duì)和個(gè)人員工轉(zhuǎn)移。Gartner公司的一項(xiàng)調(diào)查發(fā)現(xiàn),41%的員工從事某種技術(shù)工作,這一趨勢(shì)預(yù)計(jì)將在未來五年內(nèi)繼續(xù)增長(zhǎng)。
Addiscott說,“企業(yè)領(lǐng)導(dǎo)人現(xiàn)在普遍認(rèn)為,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是需要管理的首要業(yè)務(wù)風(fēng)險(xiǎn),而不是需要解決的技術(shù)問題。支持和加速業(yè)務(wù)成果是網(wǎng)絡(luò)安全的核心優(yōu)先事項(xiàng),但仍然是最大的挑戰(zhàn)。”
首席信息安全官必須修改他們的網(wǎng)絡(luò)安全運(yùn)營(yíng)模型,以整合網(wǎng)絡(luò)安全工作的完成方式。員工必須知道如何平衡一系列風(fēng)險(xiǎn),包括網(wǎng)絡(luò)安全、財(cái)務(wù)、聲譽(yù)、競(jìng)爭(zhēng)和法律風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全還必須通過衡量和報(bào)告業(yè)務(wù)成果和優(yōu)先級(jí)的成功來與業(yè)務(wù)價(jià)值聯(lián)系起來。
趨勢(shì)4:威脅暴露管理
現(xiàn)代企業(yè)面臨的攻擊面復(fù)雜,容易對(duì)網(wǎng)絡(luò)安全人員造成職業(yè)疲勞。首席信息安全官必須通過實(shí)施持續(xù)威脅暴露管理計(jì)劃來改進(jìn)他們的評(píng)估實(shí)踐,以了解他們面臨的威脅。Gartner公司預(yù)測(cè),到2026年,基于威脅暴露管理計(jì)劃優(yōu)先考慮安全投資的企業(yè)遭受的網(wǎng)絡(luò)攻擊將減少三分之二。
Addiscott說:“首席信息安全官必須不斷完善他們的威脅評(píng)估實(shí)踐,以跟上他們企業(yè)不斷發(fā)展的工作實(shí)踐,使用威脅暴露管理方法評(píng)估的不僅僅是技術(shù)漏洞。”
趨勢(shì)5: 身份結(jié)構(gòu)免疫
很多網(wǎng)絡(luò)攻擊是由身份結(jié)構(gòu)中不完整、配置錯(cuò)誤或易受攻擊的元素引起的。到2027年,身份結(jié)構(gòu)免疫原則將防止85%的網(wǎng)絡(luò)攻擊,從而將違規(guī)行為的財(cái)務(wù)影響減少80%。
Addiscott說:“身份結(jié)構(gòu)免疫不僅通過身份威脅和檢測(cè)響應(yīng)保護(hù)結(jié)構(gòu)中現(xiàn)有和新的身份識(shí)別與訪問管理組件,而且還通過完成和正確配置來加強(qiáng)它。”
趨勢(shì)6:網(wǎng)絡(luò)安全驗(yàn)證
網(wǎng)絡(luò)安全驗(yàn)證匯集了用于驗(yàn)證潛在網(wǎng)絡(luò)攻擊者如何利用已識(shí)別的威脅暴露的技術(shù)、流程和工具。網(wǎng)絡(luò)安全驗(yàn)證所需的工具在自動(dòng)化可重復(fù)和可預(yù)測(cè)的評(píng)估方面取得了重大進(jìn)展,使網(wǎng)絡(luò)攻擊技術(shù)、安全控制和流程能夠定期進(jìn)行基準(zhǔn)測(cè)試。到2026年,40%以上的企業(yè)(包括三分之二的中型企業(yè))將依賴整合平臺(tái)來運(yùn)行網(wǎng)絡(luò)安全驗(yàn)證評(píng)估。
趨勢(shì)7:網(wǎng)絡(luò)安全平臺(tái)整合
隨著企業(yè)尋求簡(jiǎn)化運(yùn)營(yíng),供應(yīng)商正在圍繞一個(gè)或多個(gè)主要網(wǎng)絡(luò)安全領(lǐng)域整合平臺(tái)。例如,身份安全服務(wù)可以通過結(jié)合了治理、特權(quán)訪問和訪問管理功能的公共平臺(tái)提供。安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者需要持續(xù)盤點(diǎn)安全控制,以了解存在重疊的地方,并通過整合平臺(tái)減少冗余。
趨勢(shì)8:可組合業(yè)務(wù)需要可組合安全
企業(yè)必須在其應(yīng)用程序中從依賴單一系統(tǒng)過渡到構(gòu)建模塊化功能,以響應(yīng)業(yè)務(wù)變化的加速步伐。可組合安全是一種將網(wǎng)絡(luò)安全控制集成到架構(gòu)模式中,然后在可組合技術(shù)實(shí)現(xiàn)中以模塊化級(jí)別應(yīng)用的方法。到2027年,50%以上的核心業(yè)務(wù)應(yīng)用程序?qū)⑹褂每山M合的架構(gòu)構(gòu)建,這就需要一種新的方法來保護(hù)這些應(yīng)用程序。
Addiscott說,“可組合的安全性旨在保護(hù)可組合的業(yè)務(wù),使用可組合組件創(chuàng)建應(yīng)用程序會(huì)引入未發(fā)現(xiàn)的依賴關(guān)系。對(duì)于首席信息安全官來說,通過創(chuàng)建基于組件的、可重用的安全控制對(duì)象,是通過設(shè)計(jì)嵌入隱私和安全性的重要機(jī)會(huì)。”
趨勢(shì)9:企業(yè)董事會(huì)擴(kuò)大其網(wǎng)絡(luò)安全監(jiān)督能力
企業(yè)董事會(huì)越來越重視網(wǎng)絡(luò)安全,這是由網(wǎng)絡(luò)安全明確問責(zé)的趨勢(shì)推動(dòng)的,包括加強(qiáng)董事會(huì)成員在其治理活動(dòng)中的責(zé)任。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須向董事會(huì)報(bào)告,證明網(wǎng)絡(luò)安全項(xiàng)目對(duì)企業(yè)目標(biāo)的影響。
Addiscott表示:“安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者必須鼓勵(lì)董事會(huì)積極參與網(wǎng)絡(luò)安全決策。作為戰(zhàn)略顧問,他們需要為企業(yè)董事會(huì)要采取的行動(dòng)提供建議,包括安全預(yù)算和資源的分配。”
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國(guó)內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)