在过去的一年里,Gartner在安全与风险管理领域的关键发现:
- 随着数字化转型的持续升温,错综复杂的生态系统是数字业务不可缺的部分,而与其相关的安全风险将倍受关注;
- 回顾过往一年,全球领先的企业由于遭受恶意的网络攻击造成的损失达到3亿美元;
- 越来越多的安全技术转向了云计算,不管是订阅模式还是按需付费模式,企业将会有更多种方式来评估安全技术,缩短复杂的RFP流程;
- 网络安全资格审查在市场整合并购环节中非常重要,但需要对行业、资产价值、监管环境以及交易金额等方面进行综合评判。
Gartner认为网络攻击不可避免的看法已经广泛的被企业组织认同,且影响着企业组织如何应对风险。安全与风险管理的领导者需建立完善的信息安全管理计划,以规范的安全准则,促进业务产出为基础。基于上述的研究发现,Gartner在安全与风险管理领域做出了几点预测:
从战略角度看数字化安全和风险管理
预测1 : 预计到2022年,企业组织在对业务伙伴进行风险评估时,网络安全等级将变得比信誉等级更为重要。
在整体的风险环节中,数字供应链风险的影响力正逐步扩大,同时第三方的风险也在增加。Gartner认为企业组织很难分析和管理企业风险,因为缺乏一个可扩展的、统一的安全机制来评估外部各方的网络安全态势。
Gartner发现企业用户对网络安全评级服务的兴趣正在提升。网络安全评级服务为企业组织提供连续的、独立的量化安全分析和评分。通过被动或主动的方式从外部资源收集数据,然后用专用的分析方法进行分析,并使用自己的评分方法进行评级,这种工具可以用于内部生成安全报告以及第三方的风险管理。
预计在2020年,这种服务将成为日益增长业务关系的强制性先决条件,并成为服务提供商和采购者的标准。同时这种网络安全评级的分数将对网络保险业务的成本和可用性产生影响。从理论上讲,网络安全评级服务满足了对外部安全态势的持续监测需求,但这种方法依然是一种相对较新的服务形式,有效性还需市场验证。
预测2 :到2021年,至少有一家公司将公开承认因恶意软件/勒索软件的攻击而造成业务中断,造成的损失将达到10亿美元。
去年联邦快递FedEx等公司由于恶意的网络攻击造成的财务影响高达3亿美元,由于恶意软件主要通过用户发起的行为(如电子邮件附件)来传播,以获取渗透攻击的权限,预计这种情况会进一步恶化。
在恶意软件/勒索软件攻击普及化的环境下,企业需要增强主动防御机制和响应速度,修复受损数据,并将系统恢复到正常状态。这其中数据保护/恢复和数据副本多样性变得更为重要。
预测3 : 预计到2022年,10%的企业在安全技术评估流程中将弃用RFP(请求建议书),而使用更敏捷的流程,包括竞争和战略指引。
越来越多的安全技术转向了云计算,不管是订阅模式还是按需付费模式企业将会有更多种方式来评估安全技术,缩短复杂的RFP流程。RFP的流程将会慢慢地演变,通过调整评分,增加对现场评估的权重,逐步整合竞争和战略指引,作为最终评估的强制性步骤。
预测4 :到2020年,大约60%参与整合并购的组织会认为网络安全态势是评估核查过程中的一个关键因素。
当前全球的整合并购已经超过了2.5万亿美元。以前网络安全在整合并购的评估核查过程中往往被忽视。由于网络攻击导致的数据泄露会严重影响交易的估值,甚至可能导致交易失败,这使得管理层对网络安全的意识增强。网络安全在评估核查过程中将会扮演关键角色。例如由于在Verizon公司的并购公告后披露安全漏洞,雅虎的收购价格下降了3.5亿美元,这并不包括任何公众声誉损失或品牌形象损失。
Gartner建议组织的安全与风险管理者必须参与到整合并购的执行过程中,因为任何类型的整合并购行为都会导致威胁、风险偏好和员工认知的改变。安全管理者需要参与评估可能影响未来业务战略和安全风险的需求。
