研究表明,企業(yè)的安全領(lǐng)導者必須以人為本來建立有效的網(wǎng)絡(luò)安全計劃�。
根據(jù)調(diào)研機構(gòu)Gartner公司的研究�,企業(yè)的安全和風險管理領(lǐng)導者在創(chuàng)建和實施符合行業(yè)趨勢的網(wǎng)絡(luò)安全計劃時����,必須重新考慮在網(wǎng)絡(luò)安全技術(shù)和以人為本之間的投資平衡��。
(資料圖片)
Gartner公司高級總監(jiān)分析師Richard Addiscott表示:“以人為本的網(wǎng)絡(luò)安全方法對于減少網(wǎng)絡(luò)安全事件至關(guān)重要�。專注于控制設(shè)計和實施中的人員����,以及通過業(yè)務(wù)溝通和管理網(wǎng)絡(luò)安全人才,將有助于改善業(yè)務(wù)風險決策和網(wǎng)絡(luò)安全人員的留任��?!?
為了應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)并維持有效的網(wǎng)絡(luò)安全計劃,安全和風險管理領(lǐng)導者必須關(guān)注三個關(guān)鍵領(lǐng)域:(1)人員在安全計劃成功和可持續(xù)性方面的重要作用;(2)技術(shù)安全能力����,在企業(yè)的數(shù)字生態(tài)系統(tǒng)中提供更高的可見性和響應(yīng)性;(3)重組安全功能的運作方式,在不損害安全性的情況下實現(xiàn)靈活性���。
以下九個趨勢將在這三個關(guān)鍵領(lǐng)域產(chǎn)生廣泛影響:
趨勢1:以人為本的安全設(shè)計
以人為本的安全設(shè)計優(yōu)先考慮員工體驗在控制管理生命周期中的作用��。到2027年�����,50%的大型企業(yè)首席信息安全官將采用以人為本的安全設(shè)計實踐���,以最大限度地減少網(wǎng)絡(luò)安全引起的摩擦��,并最大限度地提高控制采用率���。
Addiscott說,“傳統(tǒng)的網(wǎng)絡(luò)安全意識項目未能減少員工的不安全行為����,首席信息安全官必須審查過去的網(wǎng)絡(luò)安全事件,以確定網(wǎng)絡(luò)安全摩擦的主要來源����,并確定他們可以在哪些方面通過以人為本的控制來減輕員工的負擔,或者取消那些增加摩擦卻沒有有效降低風險的控制�����?��!?
趨勢2:為安全項目的可持續(xù)性加強人員管理
傳統(tǒng)上�,網(wǎng)絡(luò)安全領(lǐng)導者專注于改進支持他們安全項目的技術(shù)和流程����,很少關(guān)注創(chuàng)造這些變化的人員�����。采用以人為本的人才管理方法來吸引和留住人才的首席信息安全官在功能和技術(shù)成熟度方面都有所提高。Gartner公司預測��,到2026年�����,60%的企業(yè)將從外部招聘轉(zhuǎn)向內(nèi)部人才的招聘�����,以應(yīng)對系統(tǒng)性的網(wǎng)絡(luò)安全和招聘挑戰(zhàn)�����。
趨勢3:轉(zhuǎn)變網(wǎng)絡(luò)安全運營模式���,支持價值創(chuàng)造
技術(shù)正在從中心IT功能向業(yè)務(wù)線�、企業(yè)功能����、融合團隊和個人員工轉(zhuǎn)移����。Gartner公司的一項調(diào)查發(fā)現(xiàn)��,41%的員工從事某種技術(shù)工作��,這一趨勢預計將在未來五年內(nèi)繼續(xù)增長��。
Addiscott說�,“企業(yè)領(lǐng)導人現(xiàn)在普遍認為,網(wǎng)絡(luò)安全風險是需要管理的首要業(yè)務(wù)風險�,而不是需要解決的技術(shù)問題。支持和加速業(yè)務(wù)成果是網(wǎng)絡(luò)安全的核心優(yōu)先事項��,但仍然是最大的挑戰(zhàn)�。”
首席信息安全官必須修改他們的網(wǎng)絡(luò)安全運營模型���,以整合網(wǎng)絡(luò)安全工作的完成方式��。員工必須知道如何平衡一系列風險���,包括網(wǎng)絡(luò)安全、財務(wù)、聲譽�����、競爭和法律風險��。網(wǎng)絡(luò)安全還必須通過衡量和報告業(yè)務(wù)成果和優(yōu)先級的成功來與業(yè)務(wù)價值聯(lián)系起來���。
趨勢4:威脅暴露管理
現(xiàn)代企業(yè)面臨的攻擊面復雜,容易對網(wǎng)絡(luò)安全人員造成職業(yè)疲勞����。首席信息安全官必須通過實施持續(xù)威脅暴露管理計劃來改進他們的評估實踐,以了解他們面臨的威脅�����。Gartner公司預測�,到2026年,基于威脅暴露管理計劃優(yōu)先考慮安全投資的企業(yè)遭受的網(wǎng)絡(luò)攻擊將減少三分之二����。
Addiscott說:“首席信息安全官必須不斷完善他們的威脅評估實踐,以跟上他們企業(yè)不斷發(fā)展的工作實踐�,使用威脅暴露管理方法評估的不僅僅是技術(shù)漏洞。”
趨勢5: 身份結(jié)構(gòu)免疫
很多網(wǎng)絡(luò)攻擊是由身份結(jié)構(gòu)中不完整�、配置錯誤或易受攻擊的元素引起的。到2027年���,身份結(jié)構(gòu)免疫原則將防止85%的網(wǎng)絡(luò)攻擊��,從而將違規(guī)行為的財務(wù)影響減少80%��。
Addiscott說:“身份結(jié)構(gòu)免疫不僅通過身份威脅和檢測響應(yīng)保護結(jié)構(gòu)中現(xiàn)有和新的身份識別與訪問管理組件�����,而且還通過完成和正確配置來加強它����?!?
趨勢6:網(wǎng)絡(luò)安全驗證
網(wǎng)絡(luò)安全驗證匯集了用于驗證潛在網(wǎng)絡(luò)攻擊者如何利用已識別的威脅暴露的技術(shù)、流程和工具���。網(wǎng)絡(luò)安全驗證所需的工具在自動化可重復和可預測的評估方面取得了重大進展��,使網(wǎng)絡(luò)攻擊技術(shù)��、安全控制和流程能夠定期進行基準測試��。到2026年����,40%以上的企業(yè)(包括三分之二的中型企業(yè))將依賴整合平臺來運行網(wǎng)絡(luò)安全驗證評估。
趨勢7:網(wǎng)絡(luò)安全平臺整合
隨著企業(yè)尋求簡化運營���,供應(yīng)商正在圍繞一個或多個主要網(wǎng)絡(luò)安全領(lǐng)域整合平臺�����。例如����,身份安全服務(wù)可以通過結(jié)合了治理�����、特權(quán)訪問和訪問管理功能的公共平臺提供��。安全和風險管理領(lǐng)導者需要持續(xù)盤點安全控制����,以了解存在重疊的地方��,并通過整合平臺減少冗余。
趨勢8:可組合業(yè)務(wù)需要可組合安全
企業(yè)必須在其應(yīng)用程序中從依賴單一系統(tǒng)過渡到構(gòu)建模塊化功能���,以響應(yīng)業(yè)務(wù)變化的加速步伐�����?����?山M合安全是一種將網(wǎng)絡(luò)安全控制集成到架構(gòu)模式中���,然后在可組合技術(shù)實現(xiàn)中以模塊化級別應(yīng)用的方法。到2027年�,50%以上的核心業(yè)務(wù)應(yīng)用程序?qū)⑹褂每山M合的架構(gòu)構(gòu)建,這就需要一種新的方法來保護這些應(yīng)用程序�。
Addiscott說,“可組合的安全性旨在保護可組合的業(yè)務(wù)�����,使用可組合組件創(chuàng)建應(yīng)用程序會引入未發(fā)現(xiàn)的依賴關(guān)系���。對于首席信息安全官來說����,通過創(chuàng)建基于組件的、可重用的安全控制對象��,是通過設(shè)計嵌入隱私和安全性的重要機會����。”
趨勢9:企業(yè)董事會擴大其網(wǎng)絡(luò)安全監(jiān)督能力
企業(yè)董事會越來越重視網(wǎng)絡(luò)安全����,這是由網(wǎng)絡(luò)安全明確問責的趨勢推動的,包括加強董事會成員在其治理活動中的責任��。網(wǎng)絡(luò)安全領(lǐng)導者必須向董事會報告�����,證明網(wǎng)絡(luò)安全項目對企業(yè)目標的影響��。
Addiscott表示:“安全和風險管理領(lǐng)導者必須鼓勵董事會積極參與網(wǎng)絡(luò)安全決策�。作為戰(zhàn)略顧問����,他們需要為企業(yè)董事會要采取的行動提供建議���,包括安全預算和資源的分配?����!?
關(guān)于企業(yè)網(wǎng)D1net:
國內(nèi)主流的to B IT門戶����,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)�。
關(guān)鍵詞:
