根据最新的Gartner调查,网络安全领导者正在失去对决策的直接控制,因为网络风险的责任已经转移到IT之外,并且生态系统越来越分散组织需要重新定义网络安全领导者的角色。如今,安全和风险管理(SRM)领导者投入大量精力来评估和改变外部各方的网络健康状况。但企业员工正在做出更多涉及网络风险的决策,执行委员会正在网络安全领导者的职权范围之外成立。Gartner分析师表示,这些因素减少了网络安全领导者对许多本应属于他们权限范围内的决策的直接控制。Gartner研究总监SamOlyaei表示:“网络安全领导者现在处于疲惫不堪、工作过度和随叫随到的状态。这反映了过去十年中企业组织内部利益相关者的期望越来越大的分歧。网络风险责任显着增加扩大了。”根据Gartner最近的一项调查,88%的董事会认为网络安全不仅是一个IT技术问题,也是一个业务风险。13%的董事会选择通过创建由专门董事监督的网络安全委员会来解决这个问题。Gartner预测,到2026年,与网络安全风险相关的绩效要求将出现在超过一半的企业高管的雇佣合同中,这将影响信息风险决策的及时性和质量,而这些决策越来越多地由IT或安全部门以外的利益相关者做出Gartner预测,这种责任将不可避免地转移到业务领导者身上,他们将负责向CEO提供战略目标,例如收入和客户满意度。Gartner分析师认为,随着网络风险的责任正式转移到业务领导者身上组织必须重新定义网络安全领导者的角色才能取得成功。网络安全领导者的角色需要重新定义Olyaei表示,“CISO的角色必须从实际负责解决网络风险转变为确保业务领导者具备做出明智、高质量决策的能力和知识。信息风险指导决策。”网络安全将纳入ESG报告披露投资者关注、公众压力、员工诉求和政府法规进一步激励企业组织开展环境、社会和治理(ESG)工作将网络安全目标和指标作为业务进行跟踪和报告要求。因此,Gartner预测,到2026年,30%的大型企业组织将发布以网络安全为重点的ESG目标,高于2021年的不到2%。Gartner研究总监克劳德·曼迪(ClaudeMandy)表示:“公众希望更清楚地了解组织的安全风险,因此要求其ESG报告具有更高的透明度。网络安全不再只是组织的风险,而是整个社会的风险。风险。”安全和风险管理领导者将越来越需要证明他们的组织正在努力减少网络安全事件引起的社会问题,例如披露客户的个人安全问题、产品误用和滥用的可能性以及针对关键基础设施的恶意网络活动.
