研究表明,企业的安全领导者必须以人为本来建立有效的网络安全计划。
根据调研机构Gartner公司的研究,企业的安全和风险管理领导者在创建和实施符合行业趋势的网络安全计划时,必须重新考虑在网络安全技术和以人为本之间的投资平衡。
Gartner公司高级总监分析师Richard Addiscott表示:“以人为本的网络安全方法对于减少网络安全事件至关重要。专注于控制设计和实施中的人员,以及通过业务沟通和管理网络安全人才,将有助于改善业务风险决策和网络安全人员的留任。”
为了应对网络安全挑战并维持有效的网络安全计划,安全和风险管理领导者必须关注三个关键领域:(1)人员在安全计划成功和可持续性方面的重要作用;(2)技术安全能力,在企业的数字生态系统中提供更高的可见性和响应性;(3)重组安全功能的运作方式,在不损害安全性的情况下实现灵活性。
以下九个趋势将在这三个关键领域产生广泛影响:
趋势1:以人为本的安全设计
以人为本的安全设计优先考虑员工体验在控制管理生命周期中的作用。到2027年,50%的大型企业首席信息安全官将采用以人为本的安全设计实践,以最大限度地减少网络安全引起的摩擦,并最大限度地提高控制采用率。
Addiscott说,“传统的网络安全意识项目未能减少员工的不安全行为,首席信息安全官必须审查过去的网络安全事件,以确定网络安全摩擦的主要来源,并确定他们可以在哪些方面通过以人为本的控制来减轻员工的负担,或者取消那些增加摩擦却没有有效降低风险的控制。”
趋势2:为安全项目的可持续性加强人员管理
传统上,网络安全领导者专注于改进支持他们安全项目的技术和流程,很少关注创造这些变化的人员。采用以人为本的人才管理方法来吸引和留住人才的首席信息安全官在功能和技术成熟度方面都有所提高。Gartner公司预测,到2026年,60%的企业将从外部招聘转向内部人才的招聘,以应对系统性的网络安全和招聘挑战。
趋势3:转变网络安全运营模式,支持价值创造
技术正在从中心IT功能向业务线、企业功能、融合团队和个人员工转移。Gartner公司的一项调查发现,41%的员工从事某种技术工作,这一趋势预计将在未来五年内继续增长。
Addiscott说,“企业领导人现在普遍认为,网络安全风险是需要管理的首要业务风险,而不是需要解决的技术问题。支持和加速业务成果是网络安全的核心优先事项,但仍然是最大的挑战。”
首席信息安全官必须修改他们的网络安全运营模型,以整合网络安全工作的完成方式。员工必须知道如何平衡一系列风险,包括网络安全、财务、声誉、竞争和法律风险。网络安全还必须通过衡量和报告业务成果和优先级的成功来与业务价值联系起来。
趋势4:威胁暴露管理
现代企业面临的攻击面复杂,容易对网络安全人员造成职业疲劳。首席信息安全官必须通过实施持续威胁暴露管理计划来改进他们的评估实践,以了解他们面临的威胁。Gartner公司预测,到2026年,基于威胁暴露管理计划优先考虑安全投资的企业遭受的网络攻击将减少三分之二。
Addiscott说:“首席信息安全官必须不断完善他们的威胁评估实践,以跟上他们企业不断发展的工作实践,使用威胁暴露管理方法评估的不仅仅是技术漏洞。”
趋势5: 身份结构免疫
很多网络攻击是由身份结构中不完整、配置错误或易受攻击的元素引起的。到2027年,身份结构免疫原则将防止85%的网络攻击,从而将违规行为的财务影响减少80%。
Addiscott说:“身份结构免疫不仅通过身份威胁和检测响应保护结构中现有和新的身份识别与访问管理组件,而且还通过完成和正确配置来加强它。”
趋势6:网络安全验证
网络安全验证汇集了用于验证潜在网络攻击者如何利用已识别的威胁暴露的技术、流程和工具。网络安全验证所需的工具在自动化可重复和可预测的评估方面取得了重大进展,使网络攻击技术、安全控制和流程能够定期进行基准测试。到2026年,40%以上的企业(包括三分之二的中型企业)将依赖整合平台来运行网络安全验证评估。
趋势7:网络安全平台整合
随着企业寻求简化运营,供应商正在围绕一个或多个主要网络安全领域整合平台。例如,身份安全服务可以通过结合了治理、特权访问和访问管理功能的公共平台提供。安全和风险管理领导者需要持续盘点安全控制,以了解存在重叠的地方,并通过整合平台减少冗余。
趋势8:可组合业务需要可组合安全
企业必须在其应用程序中从依赖单一系统过渡到构建模块化功能,以响应业务变化的加速步伐。可组合安全是一种将网络安全控制集成到架构模式中,然后在可组合技术实现中以模块化级别应用的方法。到2027年,50%以上的核心业务应用程序将使用可组合的架构构建,这就需要一种新的方法来保护这些应用程序。
Addiscott说,“可组合的安全性旨在保护可组合的业务,使用可组合组件创建应用程序会引入未发现的依赖关系。对于首席信息安全官来说,通过创建基于组件的、可重用的安全控制对象,是通过设计嵌入隐私和安全性的重要机会。”
趋势9:企业董事会扩大其网络安全监督能力
企业董事会越来越重视网络安全,这是由网络安全明确问责的趋势推动的,包括加强董事会成员在其治理活动中的责任。网络安全领导者必须向董事会报告,证明网络安全项目对企业目标的影响。
Addiscott表示:“安全和风险管理领导者必须鼓励董事会积极参与网络安全决策。作为战略顾问,他们需要为企业董事会要采取的行动提供建议,包括安全预算和资源的分配。”