日前,Gartner发布网络安全重要趋势预测,显示高管绩效评估将越来越多地与网络风险管理能力挂钩;未来三年,近三分之一的国家将通过立法规范勒索软件反制措施;安全平台集成将使组织即使在恶劣的环境中也能蓬勃发展。在最近的Gartner安全和风险管理峰会上,Gartner高级研究总监RichardAddiscott和执行副总裁RobMcMillan发表了主题演讲,讨论了Gartner网络安全专家的关键趋势预测,这些预测可以帮助安全和风险领导者在数字时代取得成功。Addiscott说:“我们不能只坚持老办法,解决所有问题的老办法是行不通的。大多数安全和风险领导者都认识到,当危机发生时,它可能会导致严重的业务中断。我们无法控制危机,但我们可以。”不断调整自己的思维方式、想法、计划和架构。”Gartner建议网络安全领导者在把握以下战略预测的前提下,制定合理的未来两年安全战略。(1)从现在到2023年,世界各国政府将要求商业组织保护消费者隐私的法规覆盖50亿公民和全球70%以上的GDP。截至2021年,50个国家近30亿人的消费者隐私权得到保障,隐私法规的覆盖面还在继续Gartner建议组织应跟踪主题权利请求的指标,例如每个请求的处理成本和完成时间,以确定需要提高效率的领域,并证明需要加速自动化。(2)通过到2025年,80%的企业将采用利用单一供应商SSE平台访问网络、云服务、和专用应用程序。目前,混合办公模式逐渐流行,随时随地通过任何设备访问数据的需求也越来越大。为此,厂商开始推出全面的安全服务边缘(SSE)解决方案,围绕网络、私有接入和SaaS应用打造一致简洁的安全功能。与具有个别优势(包括更紧密的集成、更少的控制台以及更少的数据解密、检查和重新加密位置)的解决方案相比,全面的单一供应商解决方案可以提高运营效率和安全有效性。(3)到2025年,60%的企业组织将以零信任作为安全工作的切入点,超过半数的企业组织将无法利用零信任。如今,零信任一词在安全供应商营销和政府安全指南中很常见。零信任,用基于身份和上下文的、风险适当的信任取代隐性信任,是一种非常强大的心态。然而,零信任既是一种安全原则,也是一种组织愿景,因此组织需要通过文化变革和有效沟通将其与业务成果联系起来,以实现其全部优势。(4)到2025年,60%的组织将网络安全风险视为第三方交易和业务往来的主要决定因素。涉及第三方的网络攻击正在增加。然而,Gartner研究表明,只有23%的安全和风险领导者实时监控第三方网络安全风险。Gartner认为,随着消费者担忧的加剧和监管机构的关注,组织在与第三方开展业务时将开始将网络安全风险视为一个问题,从对关键技术供应商的简单监控到对并购的复杂尽职调查。重要的决定因素。(5)到2025年,30%的国家/地区将批准立法规定勒索软件支付、罚款和谈判,高于2021年的不到1%。如今,现代勒索软件团伙不仅窃取数据,而且还对其进行加密。组织通常会从业务而非安全角度来决定是否支付赎金。Gartner建议在开始谈判之前咨询专业事件响应团队以及执法部门和相关监管机构。(6)到2025年,威胁行为者将成功地将作战技术环境武器化,造成人员伤亡。对操作技术(监视或控制设备、资产和流程的硬件和软件)的攻击变得更加普遍,并造成更大的破坏。Gartner认为,安全和风险管理领导者在保护其操作环境时,应优先保护人员和环境免受真正的伤害,而不是防止信息盗窃。(7)到2025年,70%的首席执行官(CEO)将需要有弹性的企业文化来应对并发威胁:网络犯罪、恶劣天气事件、内乱和政治动荡。COVID-19暴露了传统业务连续性管理规划工作在帮助组织应对大规模中断方面的局限性。鉴于持续中断的可能性,Gartner建议风险领导者将组织弹性作为战略要务,并制定组织级弹性战略,让员工、利益相关者、客户和供应商参与进来。(8)到2026年,50%的首席执行官将在劳动合同中增加与风险相关的绩效要求。Gartner最近的一项调查发现,大多数董事会现在不仅将网络安全视为IT技术问题,而且将其视为业务风险。因此,Gartner预计高级业务领导者将正式接替安全领导者成为网络安全工作的领导者。
