根據調研機構Gartner公司的研究，企業(yè)的安全和風險管理領導者在創(chuàng)建和實施符合行業(yè)趨勢的網絡安全計劃時，必須重新考慮在網絡安全技術和以人為本之間的投資平衡。

 

Gartner公司高級總監(jiān)分析師Richard Addiscott表示：“以人為本的網絡安全方法對于減少網絡安全事件至關重要。專注于控制設計和實施中的人員，以及通過業(yè)務溝通和管理網絡安全人才，將有助于改善業(yè)務風險決策和網絡安全人員的留任。”

 

為了應對網絡安全挑戰(zhàn)并維持有效的網絡安全計劃，安全和風險管理領導者必須關注三個關鍵領域：(1)人員在安全計劃成功和可持續(xù)性方面的重要作用;(2)技術安全能力，在企業(yè)的數字生態(tài)系統(tǒng)中提供更高的可見性和響應性;(3)重組安全功能的運作方式，在不損害安全性的情況下實現靈活性。

 

以下九個趨勢將在這三個關鍵領域產生廣泛影響：

 

趨勢1：以人為本的安全設計

 

以人為本的安全設計優(yōu)先考慮員工體驗在控制管理生命周期中的作用。到2027年，50%的大型企業(yè)首席信息安全官將采用以人為本的安全設計實踐，以最大限度地減少網絡安全引起的摩擦，并最大限度地提高控制采用率。

 

Addiscott說，“傳統(tǒng)的網絡安全意識項目未能減少員工的不安全行為，首席信息安全官必須審查過去的網絡安全事件，以確定網絡安全摩擦的主要來源，并確定他們可以在哪些方面通過以人為本的控制來減輕員工的負擔，或者取消那些增加摩擦卻沒有有效降低風險的控制。”

 

趨勢2：為安全項目的可持續(xù)性加強人員管理

 

傳統(tǒng)上，網絡安全領導者專注于改進支持他們安全項目的技術和流程，很少關注創(chuàng)造這些變化的人員。采用以人為本的人才管理方法來吸引和留住人才的首席信息安全官在功能和技術成熟度方面都有所提高。Gartner公司預測，到2026年，60%的企業(yè)將從外部招聘轉向內部人才的招聘，以應對系統(tǒng)性的網絡安全和招聘挑戰(zhàn)。

 

趨勢3：轉變網絡安全運營模式，支持價值創(chuàng)造

 

技術正在從中心IT功能向業(yè)務線、企業(yè)功能、融合團隊和個人員工轉移。Gartner公司的一項調查發(fā)現，41%的員工從事某種技術工作，這一趨勢預計將在未來五年內繼續(xù)增長。

 

Addiscott說，“企業(yè)領導人現在普遍認為，網絡安全風險是需要管理的首要業(yè)務風險，而不是需要解決的技術問題。支持和加速業(yè)務成果是網絡安全的核心優(yōu)先事項，但仍然是最大的挑戰(zhàn)。”

 

首席信息安全官必須修改他們的網絡安全運營模型，以整合網絡安全工作的完成方式。員工必須知道如何平衡一系列風險，包括網絡安全、財務、聲譽、競爭和法律風險。網絡安全還必須通過衡量和報告業(yè)務成果和優(yōu)先級的成功來與業(yè)務價值聯系起來。

 

趨勢4：威脅暴露管理

 

現代企業(yè)面臨的攻擊面復雜，容易對網絡安全人員造成職業(yè)疲勞。首席信息安全官必須通過實施持續(xù)威脅暴露管理計劃來改進他們的評估實踐，以了解他們面臨的威脅。Gartner公司預測，到2026年，基于威脅暴露管理計劃優(yōu)先考慮安全投資的企業(yè)遭受的網絡攻擊將減少三分之二。

 

Addiscott說：“首席信息安全官必須不斷完善他們的威脅評估實踐，以跟上他們企業(yè)不斷發(fā)展的工作實踐，使用威脅暴露管理方法評估的不僅僅是技術漏洞。”

 

趨勢5： 身份結構免疫

 

很多網絡攻擊是由身份結構中不完整、配置錯誤或易受攻擊的元素引起的。到2027年，身份結構免疫原則將防止85%的網絡攻擊，從而將違規(guī)行為的財務影響減少80%。

 

Addiscott說：“身份結構免疫不僅通過身份威脅和檢測響應保護結構中現有和新的身份識別與訪問管理組件，而且還通過完成和正確配置來加強它。”

 

趨勢6：網絡安全驗證

 

網絡安全驗證匯集了用于驗證潛在網絡攻擊者如何利用已識別的威脅暴露的技術、流程和工具。網絡安全驗證所需的工具在自動化可重復和可預測的評估方面取得了重大進展，使網絡攻擊技術、安全控制和流程能夠定期進行基準測試。到2026年，40%以上的企業(yè)(包括三分之二的中型企業(yè))將依賴整合平臺來運行網絡安全驗證評估。

 

趨勢7：網絡安全平臺整合

 

隨著企業(yè)尋求簡化運營，供應商正在圍繞一個或多個主要網絡安全領域整合平臺。例如，身份安全服務可以通過結合了治理、特權訪問和訪問管理功能的公共平臺提供。安全和風險管理領導者需要持續(xù)盤點安全控制，以了解存在重疊的地方，并通過整合平臺減少冗余。

 

趨勢8：可組合業(yè)務需要可組合安全

 

企業(yè)必須在其應用程序中從依賴單一系統(tǒng)過渡到構建模塊化功能，以響應業(yè)務變化的加速步伐?？山M合安全是一種將網絡安全控制集成到架構模式中，然后在可組合技術實現中以模塊化級別應用的方法。到2027年，50%以上的核心業(yè)務應用程序將使用可組合的架構構建，這就需要一種新的方法來保護這些應用程序。

 

Addiscott說，“可組合的安全性旨在保護可組合的業(yè)務，使用可組合組件創(chuàng)建應用程序會引入未發(fā)現的依賴關系。對于首席信息安全官來說，通過創(chuàng)建基于組件的、可重用的安全控制對象，是通過設計嵌入隱私和安全性的重要機會。”

 

趨勢9：企業(yè)董事會擴大其網絡安全監(jiān)督能力

 

企業(yè)董事會越來越重視網絡安全，這是由網絡安全明確問責的趨勢推動的，包括加強董事會成員在其治理活動中的責任。網絡安全領導者必須向董事會報告，證明網絡安全項目對企業(yè)目標的影響。

 

Addiscott表示：“安全和風險管理領導者必須鼓勵董事會積極參與網絡安全決策。作為戰(zhàn)略顧問，他們需要為企業(yè)董事會要采取的行動提供建議，包括安全預算和資源的分配。”

 

 

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)

 

版權聲明：本文為企業(yè)網D1Net編譯，轉載需在文章開頭注明出處為：企業(yè)網D1Net，如果不注明出處，企業(yè)網D1Net將保留追究其法律責任的權利。