組織的安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者面臨著來自技術(shù)、組織和人力等多方面的顛覆性挑戰(zhàn)。未雨綢繆做好準(zhǔn)備,并務(wù)實(shí)地推進(jìn),對(duì)于應(yīng)對(duì)挑戰(zhàn)和實(shí)施有效的網(wǎng)絡(luò)安全計(jì)劃至關(guān)重要。
2022年年底,生成式人工智能 (GenAI) 作為主流技術(shù)出現(xiàn),引發(fā)了數(shù)十年來數(shù)字和商業(yè)領(lǐng)域的重大顛覆性變化。
作為SRM領(lǐng)導(dǎo)人不能忽視的強(qiáng)大力量,GenAI顯然是一個(gè)需要管理的挑戰(zhàn)。到 2025 年,為保護(hù)生成式 AI 所需的網(wǎng)絡(luò)安全資源將會(huì)激增,導(dǎo)致應(yīng)用和數(shù)據(jù)安全方面的支出增加超過15%。
但SRM領(lǐng)導(dǎo)人還必須需應(yīng)對(duì)無法控制的其他外部挑戰(zhàn),這包括:
●彌合安全人才供需之間的鴻溝。
●云采用的不斷增長(zhǎng)正在擴(kuò)大并改變數(shù)字生態(tài)系統(tǒng)的組成。
●加強(qiáng)公共和私營(yíng)部門對(duì)網(wǎng)絡(luò)安全、隱私和數(shù)據(jù)本地化的監(jiān)管義務(wù)和政府監(jiān)督。
●企業(yè)數(shù)字能力的持續(xù)分散。
●在不斷變化的威脅環(huán)境中管理風(fēng)險(xiǎn)則是永恒的挑戰(zhàn)。
為應(yīng)對(duì)這些挑戰(zhàn)的影響,SRM領(lǐng)導(dǎo)者正在其安全計(jì)劃中采用一系列安全實(shí)踐、技術(shù)能力和結(jié)構(gòu)改革,以提高組織彈性和安全職能部門的效率。
這包括優(yōu)化組織彈性和安全部門的效率。
現(xiàn)在提高組織彈性已成為安全投資的主要驅(qū)動(dòng)力,這主要是因?yàn)椋涸频牟捎寐什粩嗵岣撸瑪?shù)字生態(tài)系統(tǒng)繼續(xù)蔓延;組織的混合工作環(huán)境日趨普遍;威脅環(huán)境不斷演變,新技能讓攻擊者更加膽大妄為。
SRM領(lǐng)導(dǎo)者越來越認(rèn)識(shí)到,試圖修復(fù)組織不斷擴(kuò)張的數(shù)字環(huán)境中數(shù)量激增的漏洞是愚蠢的。支持持續(xù)威脅暴露管理 (CTEM) 并提供更強(qiáng)大、支持安全的身份和訪問管理 (IAM) 功能的計(jì)劃的勢(shì)頭持續(xù)增強(qiáng)。
此外,采用注重彈性的第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法的 SRM 領(lǐng)導(dǎo)者,正在降低風(fēng)險(xiǎn)和加快推出新數(shù)字化計(jì)劃的速度方面獲得回報(bào)。
在優(yōu)化組織效率的方面,積極主動(dòng)的 SRM 領(lǐng)導(dǎo)者看到利用 GenAI 功能,提升運(yùn)營(yíng)效率的機(jī)會(huì)。此外,安全使用 GenAI 的需求影響安全技能規(guī)劃和培養(yǎng)。這也是安全行為和文化計(jì)劃受到關(guān)注的一個(gè)關(guān)鍵原因,其目的在于最大限度地減少不安全員工行為的影響。此外,越來越多地采用結(jié)果驅(qū)動(dòng)的指標(biāo)來促進(jìn)更有效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和投資決策。隨著組織繼續(xù)分散和數(shù)字決策變化,安全運(yùn)營(yíng)模式改革的趨勢(shì)持續(xù)存在。
圖 1:2024 年主要網(wǎng)絡(luò)安全趨勢(shì)
趨勢(shì)1、持續(xù)威脅暴露管理計(jì)劃勢(shì)頭強(qiáng)勁
戰(zhàn)略規(guī)劃假設(shè):
到 2026 年,基于持續(xù)威脅暴露管理計(jì)劃優(yōu)先考慮安全投資的組織將實(shí)現(xiàn)漏洞數(shù)量減少三分之二。
描述:
近年來,組織攻擊面顯著擴(kuò)大。這一增長(zhǎng)的主要推動(dòng)因素是 SaaS 的加速部署、數(shù)字供應(yīng)鏈的擴(kuò)展、企業(yè)在社交媒體上的影響力的增加、定制應(yīng)用開發(fā)、遠(yuǎn)程辦公和基于互聯(lián)網(wǎng)的客戶交互。
攻擊面的增加給組織留下了潛在的盲點(diǎn),以及大量需要解決的潛在風(fēng)險(xiǎn)。
為了應(yīng)對(duì)這種情況,SRM 領(lǐng)導(dǎo)者引入了試點(diǎn)流程,用于管理威脅暴露的數(shù)量和重要性以及通過持續(xù)威脅暴露管理 (CTEM) 計(jì)劃處理威脅的影響。更成熟的組織開始實(shí)施一系列安全優(yōu)化,以更好地動(dòng)員業(yè)務(wù)領(lǐng)導(dǎo)者,而不僅僅是短期補(bǔ)救措施。
受關(guān)注原因:
大多數(shù)組織管理威脅暴露的工作過于專注于發(fā)現(xiàn)和糾正基于技術(shù)的漏洞。這種關(guān)注受到 SecOps合規(guī)性計(jì)劃的鼓勵(lì),但通常不會(huì)考慮現(xiàn)代組織運(yùn)營(yíng)實(shí)踐的重大轉(zhuǎn)變,例如轉(zhuǎn)向云驅(qū)動(dòng)的應(yīng)用程序和容器。安全團(tuán)隊(duì)必須增強(qiáng)其當(dāng)前模型,并超越這一目標(biāo),其中修補(bǔ)和保護(hù)基于物理和自我管理軟件的系統(tǒng)是主要目標(biāo)。SRM 領(lǐng)導(dǎo)者已經(jīng)意識(shí)到,現(xiàn)有的實(shí)踐不夠廣泛,同時(shí),人員配備的限制限制了可以完成的工作量。
趨勢(shì)影響:
對(duì)暴露面相關(guān)的問題的關(guān)注焦點(diǎn),已經(jīng)從簡(jiǎn)單地管理商業(yè)產(chǎn)品中的軟件漏洞轉(zhuǎn)移。如此大規(guī)模地增加技術(shù)風(fēng)險(xiǎn)對(duì)于安全運(yùn)營(yíng)團(tuán)隊(duì)來說是難以承受的。與業(yè)務(wù)目標(biāo)缺乏一致性將導(dǎo)致對(duì)首先解決哪些問題做出錯(cuò)誤的決定,這將導(dǎo)致無法量化的暴露空白點(diǎn),并可能浪費(fèi)安全預(yù)算來解決無關(guān)緊要的問題。SRM 領(lǐng)導(dǎo)者必須使用更廣泛的威脅暴露管理流程,同時(shí)平衡已經(jīng)捉襟見肘的運(yùn)營(yíng)團(tuán)隊(duì),并創(chuàng)建有效且預(yù)先商定的補(bǔ)救動(dòng)員渠道來響應(yīng)發(fā)現(xiàn)的問題。
行動(dòng)建議:
通過使 CTEM 范圍與業(yè)務(wù)目標(biāo)保持一致來關(guān)注相關(guān)問題。SRM 領(lǐng)導(dǎo)者必須致力于通過突出對(duì)組織關(guān)鍵運(yùn)營(yíng)最具潛在影響的問題來提高風(fēng)險(xiǎn)暴露的可見性并吸引其他高級(jí)領(lǐng)導(dǎo)者的興趣。他們應(yīng)該為 CTEM定義一個(gè)更窄的范圍,與業(yè)務(wù)目標(biāo)保持一致,使用熟悉的語(yǔ)言并解釋對(duì)業(yè)務(wù)而不是技術(shù)的影響。
通過驗(yàn)證減少優(yōu)先問題的數(shù)量。介紹驗(yàn)證步驟和支持技術(shù),例如入侵和攻擊模擬 (BAS) 和自動(dòng)滲透測(cè)試工具。此類工具通過突出顯示可能因使用現(xiàn)實(shí)世界技術(shù)的真正妥協(xié)而導(dǎo)致的發(fā)現(xiàn)問題,從而減輕漏洞評(píng)估 (VA) 解決方案等暴露評(píng)估工具的輸出所帶來的負(fù)擔(dān)。
做好前期工作,讓業(yè)務(wù)部門參與響應(yīng)。SRM 領(lǐng)導(dǎo)者必須擴(kuò)大自己與部門負(fù)責(zé)人、資產(chǎn)所有者和第三方之間的溝通渠道,以便有明確的途徑來動(dòng)員應(yīng)對(duì)和補(bǔ)救措施。通過明確闡明和討論與推遲補(bǔ)救工作相關(guān)的殘余風(fēng)險(xiǎn),獲得業(yè)務(wù)部門和資產(chǎn)所有者的支持。提供短期和長(zhǎng)期選擇,以減少或消除風(fēng)險(xiǎn)。
趨勢(shì)2、IAM持續(xù)演進(jìn),在改善網(wǎng)絡(luò)安全成效方面發(fā)揮日益重要作用
描述:
身份優(yōu)先的安全方法將重點(diǎn)從網(wǎng)絡(luò)安全和其他傳統(tǒng)控制轉(zhuǎn)移到 IAM。它使 IAM 成為組織網(wǎng)絡(luò)安全成果乃至業(yè)務(wù)成果的關(guān)鍵貢獻(xiàn)者。采用這種方法的組織必須更加關(guān)注基本的 IAM 衛(wèi)生和 IAM 系統(tǒng)的強(qiáng)化,以提高彈性。這包括縮小攻擊預(yù)防方面長(zhǎng)期存在的能力差距,例如擴(kuò)大對(duì)云權(quán)利和機(jī)器身份的控制,以及引入新的身份威脅檢測(cè)和響應(yīng)(ITDR)高級(jí)功能。IAM 架構(gòu)正在向身份結(jié)構(gòu)發(fā)展,并采用新功能以可組合的方式實(shí)現(xiàn)實(shí)時(shí)身份控制。
受關(guān)注原因:
IAM 在網(wǎng)絡(luò)安全中的作用一直在穩(wěn)步增強(qiáng)。截至 2023 年,IAM 是使用 Gartner 客戶查詢服務(wù)的 SRM 領(lǐng)導(dǎo)者討論的第二熱門話題。
針對(duì)身份基礎(chǔ)設(shè)施的攻擊很常見,防御者正在使用 ITDR 等策略來應(yīng)對(duì)這些攻擊。
IAM 和數(shù)據(jù)安全是從 IaaS 到 SaaS 等各類服務(wù)的云共享責(zé)任模型中的客戶責(zé)任。
Gartner 調(diào)查中近三分之二的受訪者希望他們的組織在未來 12 個(gè)月內(nèi)增加對(duì) IAM 功能的投資,包括欺詐檢測(cè)、身份驗(yàn)證、客戶身份、員工身份治理和管理以及權(quán)限訪問管理。
身份優(yōu)先安全正在成為安全的關(guān)鍵控制面。
與 Gartner 客戶的對(duì)話表明,他們?cè)絹碓蕉嗟厥褂?IAM 的結(jié)果驅(qū)動(dòng)指標(biāo) (ODM)來鼓勵(lì)更好的安全性。這些指標(biāo)側(cè)重于通過影響特定于身份的變量(例如身份數(shù)據(jù)的準(zhǔn)確性)來增強(qiáng)彈性和安全性,并使組織更接近最小特權(quán)原則。
基于這些觀點(diǎn),Gartner 認(rèn)為 IAM 在組織安全計(jì)劃中的作用越來越大。因此,組織的 IAM 實(shí)踐需要不斷發(fā)展。
趨勢(shì)影響:
組織必須加倍努力實(shí)施更好的身份衛(wèi)生。這一點(diǎn)至關(guān)重要,因?yàn)椴涣嫉纳矸菪l(wèi)生會(huì)破壞 ITDR 的許多潛在收益。Misset 權(quán)限為不良行為者提供了切入點(diǎn),為橫向移動(dòng)創(chuàng)造了機(jī)會(huì),并可能加劇簡(jiǎn)單錯(cuò)誤造成的附帶損害。鑒于存在大量的權(quán)利、帳戶甚至本地帳戶存儲(chǔ)庫(kù),全面實(shí)施衛(wèi)生是一項(xiàng)重大任務(wù)。ODM 可以幫助定義實(shí)施更好衛(wèi)生的方向性指導(dǎo),但也需要自動(dòng)化。
ITDR需要額外的努力和技能。只有注重衛(wèi)生,它才能有效發(fā)揮作用。使用其他安全檢測(cè)和響應(yīng)流程的組織,甚至可能擁有自己的安全運(yùn)營(yíng)中心 (SOC),可以從 ITDR 中受益,但這需要對(duì) SOC 團(tuán)隊(duì)進(jìn)行 IAM 培訓(xùn)。
IAM 基礎(chǔ)設(shè)施必須進(jìn)行變革,以加深對(duì)安全功能的支持。目前在用的許多傳統(tǒng) IAM 基礎(chǔ)設(shè)施都過于復(fù)雜,且存在巨大技術(shù)差距。IAM 技術(shù)債務(wù)是次優(yōu)或低效 IAM 技術(shù)決策的技術(shù)積累,也是普遍存在的問題。
IAM 基礎(chǔ)設(shè)施必須發(fā)展成為一個(gè)身份基礎(chǔ)設(shè)施,旨在實(shí)現(xiàn)身份優(yōu)先的安全性。它必須使用并代理上下文,以一致的方式為任何適用的人員或機(jī)器提供和支持自適應(yīng)、連續(xù)、風(fēng)險(xiǎn)意識(shí)和彈性訪問控制。
行動(dòng)建議:
加倍努力實(shí)施適當(dāng)?shù)纳矸菪l(wèi)生。將此定義為安全計(jì)劃的優(yōu)先事項(xiàng),并使用ODM提供方向指導(dǎo)并設(shè)定改進(jìn)標(biāo)準(zhǔn)。
通過對(duì) IAM 中的安全操作人員進(jìn)行培訓(xùn),將 ITDR擴(kuò)展為一種實(shí)踐。為關(guān)鍵企業(yè)身份系統(tǒng)(例如 Microsoft Active Directory 和云交付的訪問管理服務(wù))實(shí)施安全態(tài)勢(shì)評(píng)估以及威脅檢測(cè)和響應(yīng)功能。
通過向身份結(jié)構(gòu)演進(jìn),重構(gòu)身份基礎(chǔ)設(shè)施以支持身份優(yōu)先的安全原則。首先通過使用可組合工具策略來改進(jìn) IAM 工具之間的集成。
趨勢(shì)3、彈性驅(qū)動(dòng)、資源高效的第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理
描述:
第三方不可避免地會(huì)遭遇網(wǎng)絡(luò)安全事件,這迫使 SRM 領(lǐng)導(dǎo)者更多地關(guān)注以彈性為導(dǎo)向的投資,并放棄前期的盡職調(diào)查活動(dòng)。積極進(jìn)取的SRM 領(lǐng)導(dǎo)者正在優(yōu)先考慮彈性驅(qū)動(dòng)的活動(dòng),例如實(shí)施補(bǔ)償控制和加強(qiáng)事件響應(yīng)計(jì)劃。與此同時(shí),他們還為業(yè)務(wù)合作伙伴提供有針對(duì)性的支持,以告知第三方簽約并影響控制決策。
受關(guān)注原因:
SRM 領(lǐng)導(dǎo)者越來越多地將資源投入到合同前的盡職調(diào)查活動(dòng)中。與 2021 年相比,近三分之二 (65%) 參與 2023 年 Gartner 重新構(gòu)想第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)調(diào)查的受訪者表示增加了預(yù)算,76% 的人在第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃上花費(fèi)了更多時(shí)間。
盡管本意是好的,但這種不斷增長(zhǎng)的投資并沒有產(chǎn)生預(yù)期的結(jié)果。在同一項(xiàng)調(diào)查中,4-5 % 的受訪者表示,與兩年前相比,第三方網(wǎng)絡(luò)安全相關(guān)事件造成的業(yè)務(wù)中斷數(shù)量有所增加。SRM 領(lǐng)導(dǎo)者對(duì)傳統(tǒng) TPCRM 實(shí)踐在保護(hù)企業(yè)免受第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)方面的低效感到失望,因此正在尋找替代方案來提供更好的投資回報(bào)。
趨勢(shì)影響:
采用彈性驅(qū)動(dòng)、資源高效的 TPCRM 方法的組織已經(jīng)取得了切實(shí)的成功。他們超出執(zhí)行領(lǐng)導(dǎo)者對(duì)最大限度地減少第三方事件影響的預(yù)期的可能性是其兩倍多。他們還取得了更好的業(yè)務(wù)成果:在采用這種 TPCRM 方法的受訪者組織中,近 80% 在推出新數(shù)字化計(jì)劃的速度方面領(lǐng)先于同行。
想要采用這種方法的 SRM 領(lǐng)導(dǎo)者必須認(rèn)識(shí)到:
業(yè)務(wù)優(yōu)先級(jí)會(huì)影響 TPCRM 的工作,反之亦然。企業(yè)領(lǐng)導(dǎo)者對(duì)于 TPCRM 的成功至關(guān)重要。通過與他們接觸以了解他們的優(yōu)先事項(xiàng),SRM 領(lǐng)導(dǎo)者能夠闡明所涉及的價(jià)值并調(diào)整計(jì)劃。同時(shí),這種參與使企業(yè)能夠做出更好的基于風(fēng)險(xiǎn)的決策,并促進(jìn)實(shí)施可提供彈性的安全控制。
TPCRM 需要通力協(xié)作。著眼于安全團(tuán)隊(duì)的資源效率,有效的 SRM 領(lǐng)導(dǎo)者認(rèn)識(shí)到 TPCRM 需要與在第三方風(fēng)險(xiǎn)管理(即采購(gòu)、法律和企業(yè)風(fēng)險(xiǎn)管理)中發(fā)揮作用的所有風(fēng)險(xiǎn)職能部門建立合作伙伴關(guān)系。必須共同制定政策、程序和實(shí)踐,以確保跨職能的一致性并最大限度地減少工作流程中的摩擦。例如,初始網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分類需要納入采購(gòu)流程。這種方法有助于確保網(wǎng)絡(luò)安全團(tuán)隊(duì)的專業(yè)知識(shí)應(yīng)用于對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)結(jié)果影響最大的計(jì)劃。
關(guān)鍵的第三方是你的盟友。SRM 領(lǐng)導(dǎo)者必須將其參與策略從監(jiān)管轉(zhuǎn)向與第三方合作。這將有助于確保關(guān)鍵第三方接觸的所有企業(yè)最有價(jià)值的資產(chǎn)(例如材料數(shù)據(jù)、網(wǎng)絡(luò)和業(yè)務(wù)流程)得到持續(xù)保護(hù)。建立互利關(guān)系可以提高透明度,促進(jìn)第三方實(shí)施控制,并在發(fā)生網(wǎng)絡(luò)安全事件時(shí)改善協(xié)作。
行動(dòng)建議:
加強(qiáng)針對(duì)構(gòu)成最高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的第三方活動(dòng)的應(yīng)急計(jì)劃。創(chuàng)建特定于第三方的事件手冊(cè),進(jìn)行桌面練習(xí)并定義明確的退出策略,例如及時(shí)撤銷訪問和銷毀數(shù)據(jù)。
通過提高盡職調(diào)查的效率,將資源重新分配給彈性驅(qū)動(dòng)的活動(dòng)。不要廣泛定制風(fēng)險(xiǎn)調(diào)查問卷,而應(yīng)使用行業(yè)標(biāo)準(zhǔn)風(fēng)險(xiǎn)調(diào)查問卷。投資自動(dòng)化技術(shù),幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)大規(guī)模分析問卷答復(fù)。
與重要的第三方建立互惠互利的關(guān)系。在高度互聯(lián)的環(huán)境中,供應(yīng)商的風(fēng)險(xiǎn)也是您的風(fēng)險(xiǎn)。幫助 SRM 領(lǐng)導(dǎo)者成熟符合 SRM 領(lǐng)導(dǎo)者的利益,這樣他們就可以更好地維護(hù)企業(yè)。首先,制定安全要求基線,以評(píng)估供應(yīng)商在風(fēng)險(xiǎn)管理實(shí)踐方面的成熟度。其次,與能夠訪問您的關(guān)鍵資產(chǎn)(例如系統(tǒng)、數(shù)據(jù)集、網(wǎng)絡(luò)和業(yè)務(wù)流程)的不太成熟的供應(yīng)商合作,與他們分享事件管理的最佳實(shí)踐,并建議管理風(fēng)險(xiǎn)的控制措施。
趨勢(shì)4、隱私驅(qū)動(dòng)的應(yīng)用和數(shù)據(jù)解耦,以增強(qiáng)碎片化世界中的運(yùn)營(yíng)
戰(zhàn)略規(guī)劃假設(shè):
到 2025 年,10% 的全球企業(yè)將運(yùn)營(yíng)多個(gè)受特定主權(quán)數(shù)據(jù)戰(zhàn)略約束的離散業(yè)務(wù)部門,從而在相同業(yè)務(wù)價(jià)值的情況下使其業(yè)務(wù)成本增加一倍或更多。
描述:
幾十年來一直依賴單租戶應(yīng)用程序的跨國(guó)公司 (MNC) 面臨著不斷增長(zhǎng)的合規(guī)性要求和業(yè)務(wù)中斷風(fēng)險(xiǎn)。這是由于民族主義隱私和數(shù)據(jù)保護(hù)以及本地化要求的不斷提高,導(dǎo)致企業(yè)應(yīng)用程序架構(gòu)和數(shù)據(jù)本地化實(shí)踐強(qiáng)制分散。具有前瞻性思維的組織正在通過規(guī)劃和實(shí)施各種級(jí)別的應(yīng)用程序和數(shù)據(jù)解耦策略來做出響應(yīng)。其中包括減少 IT 資源依賴性、采用模塊化和可組合架構(gòu)(包括行業(yè)云平臺(tái)),以及為高度監(jiān)管的市場(chǎng)隔離應(yīng)用程序、數(shù)據(jù)存儲(chǔ)庫(kù)和基礎(chǔ)設(shè)施。這有助于降低合規(guī)風(fēng)險(xiǎn)并創(chuàng)造競(jìng)爭(zhēng)優(yōu)勢(shì)。
受關(guān)注原因:
由于日益復(fù)雜的地緣政治風(fēng)險(xiǎn)和合規(guī)義務(wù)阻礙了全球一致的企業(yè)架構(gòu),跨國(guó)運(yùn)營(yíng)變得更具挑戰(zhàn)性。與個(gè)人數(shù)據(jù)相關(guān)的“主權(quán)”考慮已演變?yōu)閭(gè)人和關(guān)鍵業(yè)務(wù)信息的本地化要求。需求數(shù)量和范圍的擴(kuò)大促使跨國(guó)公司調(diào)整其云采用策略?鐕(guó)公司已轉(zhuǎn)向模塊化應(yīng)用程序架構(gòu)設(shè)計(jì)或在其全球總部對(duì)其集中式應(yīng)用(例如 ERP、CRM 以及數(shù)據(jù)和分析平臺(tái))進(jìn)行解耦,以應(yīng)對(duì)其擁有大量業(yè)務(wù)運(yùn)營(yíng)的高風(fēng)險(xiǎn)市場(chǎng)。2022年Gartner 首席信息官和技術(shù)高管調(diào)查發(fā)現(xiàn),7% 的受訪者已經(jīng)投資創(chuàng)建可組合企業(yè),另有 61% 的受訪者預(yù)計(jì)到2024年將這樣做。
趨勢(shì)影響:
脫鉤工作對(duì)網(wǎng)絡(luò)安全和數(shù)據(jù)安全的影響涉及:
監(jiān)管合規(guī)性。由于目標(biāo)地區(qū)的新法規(guī)提出了新的且常常相互沖突的要求,合規(guī)工作和審計(jì)的復(fù)雜性大大增加。
數(shù)據(jù)遷移和集成實(shí)踐。應(yīng)用程序和數(shù)據(jù)存儲(chǔ)的解耦可能會(huì)導(dǎo)致隔離和互操作性挑戰(zhàn),從而降低信息保真度并阻礙業(yè)務(wù)連續(xù)性和創(chuàng)新?鐕(guó)公司可以整合邊緣操作和可組合架構(gòu)來緩解其中一些挑戰(zhàn)。
數(shù)據(jù)架構(gòu)和存儲(chǔ)。數(shù)據(jù)本地化要求正在導(dǎo)致應(yīng)用程序和數(shù)據(jù)托管的快速發(fā)展,這進(jìn)一步擴(kuò)大了攻擊面。與此同時(shí),需要重新構(gòu)想數(shù)據(jù)訪問和威脅管理編排,因?yàn)閷?duì)數(shù)據(jù)本地化的相同要求使得從一個(gè)中心位置執(zhí)行此類活動(dòng)變得困難。
安全的開發(fā)實(shí)踐。隨著應(yīng)用程序的改進(jìn),出現(xiàn)了將安全要求“融入”開發(fā)實(shí)踐的機(jī)會(huì),而不是后來“附加”。如果應(yīng)用需要解耦,不同轄區(qū)之間的安全標(biāo)準(zhǔn)可能會(huì)有所不同。因此,如果存在此類差異,則需要在開發(fā)應(yīng)用程序時(shí)對(duì)它們進(jìn)行協(xié)調(diào)。
行動(dòng)建議:
與業(yè)務(wù)、IT 和法律團(tuán)隊(duì)持續(xù)合作,為組織已運(yùn)營(yíng)的國(guó)家和計(jì)劃擴(kuò)展的國(guó)家制定數(shù)據(jù)本地化要求。法律部門必須識(shí)別任何不合規(guī)和法律沖突的情況,并制定聯(lián)合制定的緩解策略,其中包括成本效益分析。
維護(hù)數(shù)據(jù)清單和地圖,以識(shí)別符合本地化要求的信息資產(chǎn)。優(yōu)先投資能夠持續(xù)發(fā)現(xiàn)云中敏感數(shù)據(jù)和個(gè)人數(shù)據(jù)的工具。這將為數(shù)據(jù)安全策略提供信息,并作為數(shù)據(jù)或信息治理設(shè)置的輸入,以最大限度地提高業(yè)務(wù)利益相關(guān)者的知識(shí)和支持。
將安全開發(fā)實(shí)踐(例如安全軟件開發(fā)框架 (SSDF) 和 LINDDUN 注重隱私的威脅建?蚣苤械膶(shí)踐)納入軟件開發(fā)生命周期。通過采用模塊化方法來應(yīng)用安全架構(gòu)控制,以配合向可組合應(yīng)用程序、微服務(wù)架構(gòu)、云/容器部署等的整體轉(zhuǎn)變。
趨勢(shì)5、生成式人工智能引發(fā)短期質(zhì)疑,但激發(fā)長(zhǎng)期希望
戰(zhàn)略規(guī)劃假設(shè):
到 2025 年,生成式 AI 將導(dǎo)致保護(hù)其安全所需的網(wǎng)絡(luò)安全資源激增,導(dǎo)致應(yīng)用程序和數(shù)據(jù)安全方面的支出增加超過 15%。
描述:
ChatGPT 等大型語(yǔ)言模型 (LLM) 應(yīng)用程序已將生成式人工智能 (GenAI) 提上議程,納入許多業(yè)務(wù)、IT 和網(wǎng)絡(luò)安全路線圖。GenAI 一詞描述了從數(shù)據(jù)和模型工件的表示中學(xué)習(xí)以生成新工件的技術(shù)。
GenAI引入了需要保護(hù)的新攻擊面。這需要改變應(yīng)用程序和數(shù)據(jù)安全實(shí)踐以及用戶監(jiān)控。GenAI 還將改變網(wǎng)絡(luò)安全市場(chǎng)的動(dòng)態(tài)。
GenAI正在以多種方式影響 SRM 領(lǐng)導(dǎo)者:
直接且緊急:首先,需要解決 ChatGPT 不受管理和不受控制的使用,以最大程度地降低風(fēng)險(xiǎn)。最值得注意的問題是在第三方 GenAI 應(yīng)用程序中使用機(jī)密數(shù)據(jù),以及使用未經(jīng)審查的生成內(nèi)容可能導(dǎo)致的版權(quán)侵權(quán)和品牌損害。很快,業(yè)務(wù)計(jì)劃推動(dòng)對(duì)保護(hù) GenAI 應(yīng)用的需求,為傳統(tǒng)應(yīng)用安全保護(hù)增加了新的攻擊面。
直接且大肆宣傳為緊迫:網(wǎng)絡(luò)安全提供商發(fā)布了一波雙曲線人工智能公告,旨在激發(fā)人們對(duì) GenAI 可能做的事情的興趣。我們已經(jīng)看到 GenAI 功能用于安全運(yùn)營(yíng)和應(yīng)用安全,但尚未觀察到網(wǎng)絡(luò)安全產(chǎn)品直接使用 GenAI 技術(shù)來檢測(cè)或預(yù)防威脅。
間接且可怕:隨著 SRM 領(lǐng)導(dǎo)者對(duì) 2024 年的計(jì)劃,由于隱私問題和威脅行為者獲得了 LLM 技術(shù),他們正在提出有關(guān)新風(fēng)險(xiǎn)和威脅的合理問題。他們需要忽略“恐懼、不確定性和懷疑”,并通過監(jiān)控現(xiàn)有安全控制中的檢測(cè)性能偏差,并加倍加強(qiáng)彈性和暴露管理舉措,應(yīng)對(duì)GenAI 可能導(dǎo)致的威脅環(huán)境中不可預(yù)測(cè)的變化。
間接和潛在:隨著組織內(nèi)越來越多的團(tuán)隊(duì)抓住機(jī)會(huì)將 GenAI 功能集成到其系統(tǒng)中,網(wǎng)絡(luò)安全團(tuán)隊(duì)將必須不斷適應(yīng)流程的變化。例如,人力資源團(tuán)隊(duì)可能會(huì)將 GenAI 納入招聘流程,采購(gòu)團(tuán)隊(duì)可能在選擇或續(xù)簽產(chǎn)品合同時(shí)使用 GenAI。即將出臺(tái)的法規(guī)和合規(guī)要求也將影響安全團(tuán)隊(duì)。
受關(guān)注原因:
GenAI的使用增加是不可避免的。在2024 年Gartner CIO 和技術(shù)高管調(diào)查中,只有 3% 的受訪者表示他們對(duì) GenAI 不感興趣。SRM 領(lǐng)導(dǎo)者如果推遲采用 GenAI 應(yīng)用程序的新安全實(shí)踐,或者忽略 GenAI 的安全用例(即使基于當(dāng)今的基本實(shí)現(xiàn)和示例),則可能會(huì)在其他公司效仿時(shí)失去其組織的競(jìng)爭(zhēng)優(yōu)勢(shì)。同一項(xiàng)調(diào)查發(fā)現(xiàn),三分之一 (34%) 的組織計(jì)劃在未來 12 個(gè)月內(nèi)部署 Gen AI 。
SRM領(lǐng)導(dǎo)者還需要為快速發(fā)展做好準(zhǔn)備,因?yàn)?ChatGPT 等 LLM 應(yīng)用程序只是 GenAI 顛覆的開始。多模式 GenAI(涉及不同類型數(shù)據(jù)的訓(xùn)練模型)已經(jīng)將 GenAI 用例的范圍擴(kuò)展到文本之外!按笮蛣(dòng)作模型”——可以自動(dòng)執(zhí)行動(dòng)作的基礎(chǔ)模型——也即將出現(xiàn)。
趨勢(shì)影響:
安全團(tuán)隊(duì)定期證明其適應(yīng)范式變化的能力。然而,旨在保護(hù) GenAI 應(yīng)用安全的新興安全工具(例如,它們的模型和提示)的不成熟,加上 GenAI 應(yīng)用架構(gòu)的動(dòng)態(tài)變化,使得開發(fā)最佳實(shí)踐和提出建議變得困難。
GenAI的炒作縮短了安全領(lǐng)導(dǎo)者的時(shí)間范圍。他們陷入了不得不對(duì)整個(gè)組織中發(fā)生的許多 GenAI 計(jì)劃做出緊急反應(yīng)的境地——這與企業(yè)開始遷移到云時(shí)的情況類似。SRM 領(lǐng)導(dǎo)者不能等到一切穩(wěn)定下來才準(zhǔn)備和計(jì)劃。
在網(wǎng)絡(luò)安全實(shí)踐中,安全運(yùn)營(yíng)和應(yīng)用程序安全是提供商通過使用 GenAI 添加功能的兩個(gè)主要領(lǐng)域。早期的實(shí)現(xiàn)采用助手的形式,本質(zhì)上是一個(gè)旨在回答問題的交互式提示。太多的此類實(shí)施可能很快就會(huì)產(chǎn)生“即時(shí)疲勞”,因此與 GenAI 的交互需要取得進(jìn)展。我們還預(yù)計(jì)使用經(jīng)過專門訓(xùn)練的模型的新用例很快就會(huì)出現(xiàn)。
行動(dòng)建議:
AI消費(fèi):對(duì)第三方 GenAI 應(yīng)用程序和現(xiàn)有應(yīng)用程序中嵌入的 GenAI 功能的新用例進(jìn)行工業(yè)化盤點(diǎn)、監(jiān)控和管理。將 IT 和軟件供應(yīng)鏈依賴性納入風(fēng)險(xiǎn)評(píng)估。
提供商和技術(shù)選擇要求:更新這些要求以解決隱私、版權(quán)、可追溯性和可解釋性挑戰(zhàn)。為進(jìn)入組織的基于 GenAI 的產(chǎn)品制定政策并進(jìn)行監(jiān)督,以便想要使用該技術(shù)的內(nèi)部團(tuán)隊(duì)能夠理解一套商定的協(xié)調(diào)政策。
AI 應(yīng)用程序的安全性:更新應(yīng)用程序和數(shù)據(jù)安全實(shí)踐以集成新的攻擊面,例如用于檢測(cè) AI 模型的提示或編排層。評(píng)估支持人工智能信任、風(fēng)險(xiǎn)和安全管理 (TRiSM) 框架的技術(shù)。
生成式網(wǎng)絡(luò)安全人工智能:在將 GenAI 集成到網(wǎng)絡(luò)安全計(jì)劃之前運(yùn)行概念驗(yàn)證,從應(yīng)用程序安全和安全操作開始。旨在增強(qiáng)人類的工作,而不是取代他們,并確保新工具在自身改進(jìn)的同時(shí),還能增加團(tuán)隊(duì)的知識(shí)。
威脅形勢(shì)的變化:監(jiān)控現(xiàn)有安全控制的檢測(cè)準(zhǔn)確性和總體性能的下降。確保能夠獲得有關(guān)不斷變化的威脅形勢(shì)的正確情報(bào)。承認(rèn)并傳達(dá),未來 GenAI 攻擊的場(chǎng)景規(guī)劃很棘手,而且可能不是最有利可圖的資源利用方式。
趨勢(shì)6、安全行為和安全文化計(jì)劃日益受到關(guān)注,以減少人為安全風(fēng)險(xiǎn)
戰(zhàn)略規(guī)劃假設(shè):
到 2025 年,40% 的網(wǎng)絡(luò)安全項(xiàng)目將部署社會(huì)行為原則(例如助推技術(shù))來影響整個(gè)組織的安全文化,而 2021 年這一比例還不到 5%。
到 2027 年,50% 的大型企業(yè) CISO 將采用以人為本的安全設(shè)計(jì)實(shí)踐,以最大限度地減少網(wǎng)絡(luò)安全引起的摩擦并最大限度地提高控制采用率。
描述:
安全行為和文化計(jì)劃 (SBCP) 封裝了一種企業(yè)范圍內(nèi)的方法,可最大程度地減少與員工行為(無論是無意的還是故意的)相關(guān)的網(wǎng)絡(luò)安全事件。
SBCP 的主要目標(biāo)是改變行為。它涵蓋傳統(tǒng)實(shí)踐,例如意識(shí)培訓(xùn)和網(wǎng)絡(luò)釣魚模擬,以及一系列影響行為的學(xué)科,包括:
組織變革管理。
以人為本的用戶體驗(yàn)(UX)設(shè)計(jì)。
開發(fā)安全運(yùn)營(yíng)。
SBCP 還考慮一系列影響程序設(shè)計(jì)的因素,并鼓勵(lì)基于平臺(tái)的架構(gòu),以幫助:
降低員工對(duì)社會(huì)工程的敏感度并提高他們?cè)谑艿焦魰r(shí)的反應(yīng)。
改進(jìn)安全控制的采用。
最大限度地減少系統(tǒng)采購(gòu)過程中引入的漏洞。
在不增加安全風(fēng)險(xiǎn)的情況下制定敏捷的、業(yè)務(wù)主導(dǎo)的數(shù)字決策。
受關(guān)注原因:
客戶和供應(yīng)商已經(jīng)認(rèn)識(shí)到,普遍只注重提高員工的網(wǎng)絡(luò)安全意識(shí),這在很大程度上無法有效減少因員工行為而導(dǎo)致的安全事件的數(shù)量。2022年Gartner 安全行為驅(qū)動(dòng)因素調(diào)查發(fā)現(xiàn):
69% 的受訪員工承認(rèn)在過去 12 個(gè)月內(nèi)故意繞過安全控制。
93% 的員工知道他們的行為會(huì)增加組織的風(fēng)險(xiǎn),但還是采取了這些行動(dòng)。
GenAI的民主化加劇了這一挑戰(zhàn),因?yàn)樗箚T工可以不受限制地訪問強(qiáng)大的技術(shù)功能,如果不小心使用,可能會(huì)導(dǎo)致數(shù)據(jù)泄露。
自 Gartner 于 2022 年推出 SBCP 概念和相關(guān)的 PIPE(實(shí)踐、影響、平臺(tái)、推動(dòng)者)框架以來,針對(duì)該主題向 Gartner 客戶咨詢服務(wù)的請(qǐng)求增加了四倍多。SRM 領(lǐng)導(dǎo)者認(rèn)識(shí)到,將重點(diǎn)從提高意識(shí)轉(zhuǎn)向促進(jìn)行為改變將有助于降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。此外,這種轉(zhuǎn)變使 SRM 領(lǐng)導(dǎo)者能夠應(yīng)對(duì)“安全疲勞”、控制摩擦以及無論風(fēng)險(xiǎn)如何優(yōu)先考慮速度和利潤(rùn)的組織文化等挑戰(zhàn)。領(lǐng)先的供應(yīng)商正在做出響應(yīng)并快速轉(zhuǎn)變解決方案,以支持行為改變并增強(qiáng)客戶企業(yè)文化的安全意識(shí)。
趨勢(shì)影響:
桑坦德銀行和“SevenHills”等已采用 SBCP 相關(guān)實(shí)踐的組織已經(jīng)看到:
提高員工對(duì)安全控制的采用。
減少不安全行為。
速度和敏捷性提高。
當(dāng)員工有能力做出獨(dú)立的網(wǎng)絡(luò)風(fēng)險(xiǎn)決策時(shí),可以更有效地利用網(wǎng)絡(luò)安全資源。
當(dāng)前的投資往往不足以實(shí)現(xiàn)上述成果。2022 年Gartner網(wǎng)絡(luò)安全意識(shí)調(diào)查發(fā)現(xiàn),雖然 84% 的受訪組織表示其意識(shí)計(jì)劃的主要目標(biāo)是改變行為,但 80% 的組織擁有的全職員工 (FTE) 不足,50%與他們的意識(shí)計(jì)劃相關(guān)的FTE 低于 0.6。
為了執(zhí)行有效的 SBCP,SRM 領(lǐng)導(dǎo)者需要更多的FTE容量和能力、更加以平臺(tái)為中心的技術(shù)架構(gòu)以及提高項(xiàng)目設(shè)計(jì)的復(fù)雜性。鑒于對(duì)整體企業(yè)方法的要求,與傳統(tǒng)的意識(shí)活動(dòng)相比,SBCP 還需要整個(gè)組織內(nèi)更多的高級(jí)管理人員支持和更多的時(shí)間投入。因此,毫不奇怪的是,在接受 Gartner 另一項(xiàng)調(diào)查的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者中,有 68% 的人表示,他們發(fā)現(xiàn)為 SBCP 獲得高管支持比之前的安全意識(shí)活動(dòng)更具挑戰(zhàn)性。16盡管如此,組織高級(jí)管理人員的明顯和持續(xù)的倡導(dǎo)對(duì)于優(yōu)化該計(jì)劃提供顯著改進(jìn)的安全行為的機(jī)會(huì)以及根深蒂固更具安全意識(shí)的企業(yè)文化至關(guān)重要。
行動(dòng)建議:
通過定期審查過去網(wǎng)絡(luò)安全事件的可靠樣本,確定與不安全員工行為相關(guān)的網(wǎng)絡(luò)安全事件的數(shù)量和類型,將 SBCP 的工作重點(diǎn)放在最危險(xiǎn)的員工行為上。
通過采用 Gartner PIPE 框架,使用適合可用資金和資源的可擴(kuò)展方法,指導(dǎo)有效且高效地實(shí)施 SBCP。
通過使用結(jié)果驅(qū)動(dòng)、以行為為中心的指標(biāo)來幫助向執(zhí)行利益相關(guān)者和董事會(huì)展示 SBCP 的業(yè)務(wù)價(jià)值,從而培養(yǎng)更高水平的持續(xù)和可見的執(zhí)行支持。
趨勢(shì)7、網(wǎng)絡(luò)安全效果驅(qū)動(dòng)的指標(biāo)彌合董事會(huì)溝通偏差
描述:
網(wǎng)絡(luò)安全結(jié)果驅(qū)動(dòng)指標(biāo)(ODM )是具有特殊屬性的運(yùn)營(yíng)指標(biāo)——它們使網(wǎng)絡(luò)安全的利益相關(guān)者能在網(wǎng)絡(luò)安全投資和安全保護(hù)級(jí)別之間劃清界限。ODM對(duì)于制定可防御的網(wǎng)絡(luò)安全投資策略至關(guān)重要。它們以簡(jiǎn)單的語(yǔ)言反映了具有強(qiáng)大屬性的商定保護(hù)級(jí)別,以便:
提供可信且合理的風(fēng)險(xiǎn)偏好表達(dá),支持直接投資。
能夠向沒有技術(shù)背景的非 IT 管理人員進(jìn)行解釋。
充當(dāng)支持直接投資以改變保護(hù)水平的價(jià)值杠桿。
ODM 協(xié)助解決許多幾十年來一直存在問題的任務(wù)。例如,它們可以幫助:
制定業(yè)務(wù)決策以接受第三方風(fēng)險(xiǎn)而不承擔(dān)責(zé)任。
支持 SRM 領(lǐng)導(dǎo)者使用多個(gè)半自主操作單元來管理安全保護(hù)級(jí)別,同時(shí)保持自主性。
支持并購(gòu)中“買方”的網(wǎng)絡(luò)安全盡職調(diào)查。
向高管解釋重大網(wǎng)絡(luò)事件,并指導(dǎo)具體投資來修復(fù)這些事件。
支持透明度,以教育高管、業(yè)務(wù)線和公司職能部門了解不適當(dāng)或漫不經(jīng)心的風(fēng)險(xiǎn)接受情況。
暴露矩陣管理問題,例如IT 團(tuán)隊(duì)在修補(bǔ)問題中所扮演的角色,而安全組織通常負(fù)責(zé)解決這些問題。
受關(guān)注原因:
2023年 Gartner 網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者演變調(diào)查向首席信息安全官 (CISO) 提出了以下問題:“不斷變化的業(yè)務(wù)目標(biāo)對(duì)您的網(wǎng)絡(luò)安全戰(zhàn)略有何影響?”對(duì)此,60% 的人表示有一些影響或重大影響。當(dāng)業(yè)務(wù)發(fā)生轉(zhuǎn)變時(shí),我們需要能夠以可衡量且可防御的方式闡明剩余風(fēng)險(xiǎn)的變化。盡管對(duì)網(wǎng)絡(luò)安全人員、流程和技術(shù)進(jìn)行了大量投資,但網(wǎng)絡(luò)安全事件對(duì)跨部門組織的頻率和負(fù)面影響仍在持續(xù)上升。這削弱了董事會(huì)成員和 C 級(jí)領(lǐng)導(dǎo)者對(duì)其網(wǎng)絡(luò)安全組織戰(zhàn)略的信心。美國(guó)證券交易委員會(huì) (SEC)的新監(jiān)管、歐盟第二版網(wǎng)絡(luò)和信息系統(tǒng)指令 (NIS2) 以及澳大利亞證券和投資委員會(huì) (ASIC) 的最新信號(hào)凸顯了政府對(duì)高管持續(xù)施加的壓力,要求他們滿足這一要求需要。
SRM 領(lǐng)導(dǎo)者繼續(xù)努力傳達(dá)網(wǎng)絡(luò)安全投資的價(jià)值,超越監(jiān)管合規(guī)性和“縮小功能和技術(shù)成熟度方面的偏差”的重要性,而這兩者與保護(hù)都沒有有意義的相關(guān)性。將網(wǎng)絡(luò)安全投資與商業(yè)價(jià)值聯(lián)系起來的傳統(tǒng)方法同樣有限。支出不等于保護(hù)。網(wǎng)絡(luò)風(fēng)險(xiǎn)量化仍處于起步階段,成本高昂,并且僅支持廣泛的戰(zhàn)略決策。熱圖是非常主觀的。
組織正在尋求一種衡量網(wǎng)絡(luò)安全價(jià)值的方法,該方法能夠與高管產(chǎn)生共鳴,并支持符合業(yè)務(wù)需求的實(shí)際投資決策。ODM 越來越多地被視為最有前途的候選者之一。
趨勢(shì)影響:
ODM改變網(wǎng)絡(luò)安全治理,以支持通過保護(hù)級(jí)別協(xié)議 (PLA)與非 IT 高管直接談判資金和所需的保護(hù)級(jí)別。
管理結(jié)果取代了與高管討論工具和技術(shù)的任何需要,同時(shí)在交付方法方面保持完全的靈活性。
ODM 提供了“風(fēng)險(xiǎn)偏好”的另一種定義,該定義較少涉及接受損失的意愿,而更多涉及實(shí)現(xiàn)商定的保護(hù)水平以及證明是否正在實(shí)現(xiàn)的愿望。
ODM 使 SRM 領(lǐng)導(dǎo)者能夠重新設(shè)定他們的責(zé)任,這樣就不再是為了防止違規(guī),而是為了“讓風(fēng)險(xiǎn)所有者保持在他們的風(fēng)險(xiǎn)偏好范圍內(nèi)”。
SRM 領(lǐng)導(dǎo)者必須鼓勵(lì)非 IT 領(lǐng)導(dǎo)者減少對(duì)威脅場(chǎng)景和基于可能性的投資理由的興趣,而更多地關(guān)注持續(xù)暴露的保護(hù)級(jí)別。
需要投資來準(zhǔn)備系統(tǒng)和流程,以便為 ODM 持續(xù)收集新數(shù)據(jù)。
行動(dòng)建議:
使用 Gartner 的工具:風(fēng)險(xiǎn)和安全性業(yè)務(wù)協(xié)調(diào)結(jié)果驅(qū)動(dòng)指標(biāo)目錄來選擇能夠全面了解當(dāng)前績(jī)效與企業(yè)最大風(fēng)險(xiǎn)的 ODM。
與業(yè)務(wù)線和公司職能領(lǐng)導(dǎo)者協(xié)商每個(gè) ODM 的保護(hù)級(jí)別(所需性能)。PLA 可能因運(yùn)營(yíng)組和部門而異。
使用 Gartner 的網(wǎng)絡(luò)安全商業(yè)價(jià)值基準(zhǔn)為利益相關(guān)者提供有關(guān) ODM 績(jī)效的外部視角。
開始在董事會(huì)層面報(bào)告 ODM 績(jī)效,以支持董事會(huì)在監(jiān)督風(fēng)險(xiǎn)偏好管理和決策方面的作用。
趨勢(shì)8、去中心化:不斷發(fā)展的網(wǎng)絡(luò)安全運(yùn)營(yíng)模式
描述:
技術(shù)的獲取、創(chuàng)建和交付繼續(xù)從中央 IT 職能轉(zhuǎn)移到業(yè)務(wù)線。這種轉(zhuǎn)變打破了傳統(tǒng)的網(wǎng)絡(luò)安全運(yùn)營(yíng)模式。SRM 領(lǐng)導(dǎo)者正在調(diào)整網(wǎng)絡(luò)安全運(yùn)營(yíng)模式,以滿足自主、創(chuàng)新和敏捷性的業(yè)務(wù)需求。決策權(quán)正在變得分散,策略細(xì)節(jié)現(xiàn)在由邊緣擁有,一些治理正在集中化和正式化,以更好地支持邊緣的風(fēng)險(xiǎn)所有者,SRM 領(lǐng)導(dǎo)者角色正在演變?yōu)閮r(jià)值推動(dòng)者角色。
受關(guān)注原因:
企業(yè)使用技術(shù)的方式正在發(fā)生轉(zhuǎn)變:在 Gartner 調(diào)查中,三分之二 ( 67%) 的首席執(zhí)行官和高級(jí)業(yè)務(wù)主管表示希望直接在業(yè)務(wù)職能范圍內(nèi)完成更多技術(shù)工作。此外,許多企業(yè)正在經(jīng)歷數(shù)字化轉(zhuǎn)型和云遷移,將工作分散在遠(yuǎn)程或混合模式中,并面臨著將隱私、合規(guī)性和網(wǎng)絡(luò)安全納入業(yè)務(wù)運(yùn)營(yíng)的監(jiān)管壓力。因此,技術(shù)的獲取、創(chuàng)建和交付的責(zé)任正在從中央 IT 職能轉(zhuǎn)移到業(yè)務(wù)線、公司職能、融合團(tuán)隊(duì)甚至員工個(gè)人。
傳統(tǒng)的網(wǎng)絡(luò)安全運(yùn)營(yíng)模式無法適應(yīng)這一新現(xiàn)實(shí)。網(wǎng)絡(luò)安全需要與業(yè)務(wù)建立更緊密的聯(lián)系,以保持?jǐn)?shù)據(jù)資產(chǎn)的可見性并支持控制實(shí)施。自上而下的治理或控制將無法擴(kuò)展,因?yàn)楣ぷ髁鞒痰漠悩?gòu)性和技術(shù)所有權(quán)的分散意味著安全職能部門無法監(jiān)督每一個(gè)涉及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的決策。SRM領(lǐng)導(dǎo)者需要提高業(yè)務(wù)決策者的網(wǎng)絡(luò)素養(yǎng)和網(wǎng)絡(luò)判斷力,以便員工能夠?qū)⒕W(wǎng)絡(luò)安全考慮融入到日常工作中,并實(shí)施協(xié)作風(fēng)險(xiǎn)管理流程。
趨勢(shì)影響:
Gartner的研究表明,SRM 領(lǐng)導(dǎo)者正在采用各種策略來推動(dòng)安全運(yùn)營(yíng)模式的演進(jìn):
從“中心化轉(zhuǎn)向去中心化”。這意味著集中和簡(jiǎn)化網(wǎng)絡(luò)安全監(jiān)督和協(xié)同決策,同時(shí)推動(dòng)分散資源所有者的自治和問責(zé)制。先進(jìn)的 SRM 領(lǐng)導(dǎo)者認(rèn)識(shí)到,邊緣的本地化網(wǎng)絡(luò)判斷可以降低風(fēng)險(xiǎn)并支持創(chuàng)造業(yè)務(wù)價(jià)值。
策略治理集中化,同時(shí)推動(dòng)策略實(shí)施(例如標(biāo)準(zhǔn)和指南)更加靈活和本地化管理,以適應(yīng)邊緣的控制所有權(quán)。事實(shí)上,Gartner 調(diào)查的 45% 的 CISO 正在整合或減少策略,而不是增加策略。為了使策略對(duì)用戶更加友好,SRM 領(lǐng)導(dǎo)者及其團(tuán)隊(duì)現(xiàn)在正在與最終用戶共同制定策略,并為風(fēng)險(xiǎn)和數(shù)據(jù)所有者提供對(duì)特定標(biāo)準(zhǔn)和實(shí)施的更多控制。
創(chuàng)建新流程、添加新功能以支持新的運(yùn)營(yíng)模式。例如,在 Gartner 調(diào)查中,64% 的 CISO 創(chuàng)建了新的網(wǎng)絡(luò)安全流程,60% 在過去 24 個(gè)月內(nèi)創(chuàng)建了新的團(tuán)隊(duì)或職能。
SRM 領(lǐng)導(dǎo)者在轉(zhuǎn)變其角色和網(wǎng)絡(luò)安全運(yùn)營(yíng)模式方面發(fā)揮著主導(dǎo)作用。在接受 Gartner 調(diào)查的 CISO 中,至少有 85% 受訪者領(lǐng)導(dǎo)或共同領(lǐng)導(dǎo)了運(yùn)營(yíng)模式的變革,而不是接受變革。
行動(dòng)建議:
通過與風(fēng)險(xiǎn)和業(yè)務(wù)職能部門的利益相關(guān)者建立代表指導(dǎo)委員會(huì),促進(jìn)協(xié)作、集中決策和網(wǎng)絡(luò)判斷(即員工自主做出風(fēng)險(xiǎn)知情決策的能力),并確保協(xié)作風(fēng)險(xiǎn)決策流程。
實(shí)施簡(jiǎn)化和標(biāo)準(zhǔn)化的網(wǎng)絡(luò)安全流程,包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)接受、異常管理和沖突解決,以提高協(xié)作和風(fēng)險(xiǎn)決策效率。
制定靈活的政策框架,允許資源所有者根據(jù)其特定需求定制網(wǎng)絡(luò)安全程序和控制措施。這可以增強(qiáng)風(fēng)險(xiǎn)管理的主人翁意識(shí)和責(zé)任感,同時(shí)保持政策合規(guī)性。
通過與業(yè)務(wù)利益相關(guān)者合作、促進(jìn)網(wǎng)絡(luò)判斷并使安全措施與組織的動(dòng)態(tài)需求保持一致,接受 SRM 領(lǐng)導(dǎo)者作為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)決策推動(dòng)者不斷變化的角色。
趨勢(shì)9、網(wǎng)絡(luò)安全再培訓(xùn),讓組織面向未來
戰(zhàn)略規(guī)劃假設(shè):
到 2026 年,50%的大型企業(yè)將使用敏捷學(xué)習(xí)作為主要的技能提升/再培訓(xùn)方法。
描述:
網(wǎng)絡(luò)安全人才短缺是長(zhǎng)期存在的全球問題。僅在美國(guó),合格的網(wǎng)絡(luò)安全專業(yè)人員只能滿足當(dāng)前需求的 70%,這是過去十年來的歷史最低水平。
勞動(dòng)力市場(chǎng)供需問題無法由個(gè)別 SRM 領(lǐng)導(dǎo)人解決。可以解決的是新出現(xiàn)的技能缺口。網(wǎng)絡(luò)安全團(tuán)隊(duì)所需的技能正在發(fā)生巨大變化,但網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者仍在繼續(xù)招聘?jìng)鹘y(tǒng)角色和技能。SRM 領(lǐng)導(dǎo)者必須通過重新培訓(xùn)現(xiàn)有人才和雇用具有新能力的新人才來重新培訓(xùn)他們的團(tuán)隊(duì)。
受關(guān)注原因:
SRM領(lǐng)導(dǎo)者面臨著大趨勢(shì)的融合,所有這些都會(huì)影響網(wǎng)絡(luò)安全團(tuán)隊(duì)蓬勃發(fā)展所需的技能。這些趨勢(shì)包括:
云采用。大多數(shù)組織現(xiàn)在都是云優(yōu)先(或云首選)實(shí)體。他們向云的遷移進(jìn)一步推動(dòng)了對(duì)底層基礎(chǔ)設(shè)施安全的抽象。
GenAI。GenAI 工具的快速崛起和普遍可用性改變了必須保護(hù)的技術(shù)和網(wǎng)絡(luò)安全團(tuán)隊(duì)將使用的工具。
運(yùn)營(yíng)模式轉(zhuǎn)型。網(wǎng)絡(luò)安全專業(yè)人員越來越需要與業(yè)務(wù)合作伙伴合作并通過業(yè)務(wù)合作伙伴合作,而不是單獨(dú)管理網(wǎng)絡(luò)安全實(shí)施。
供應(yīng)商整合。這意味著網(wǎng)絡(luò)安全團(tuán)隊(duì)必須管理更少的安全解決方案套件和供應(yīng)商關(guān)系。
威脅范圍的擴(kuò)大,F(xiàn)在的威脅包括網(wǎng)絡(luò)物理系統(tǒng)、遠(yuǎn)程工作、GenAI 技術(shù)以及員工對(duì)低代碼/無代碼解決方案的使用。
增強(qiáng)的互聯(lián)勞動(dòng)力。為了使組織內(nèi)部的 GenAI 先驅(qū)成為可能,我們正在制定和實(shí)施戰(zhàn)略,以優(yōu)化人類員工的價(jià)值。
總的來說,這些趨勢(shì)正在改變網(wǎng)絡(luò)安全團(tuán)隊(duì)所需的技能。對(duì)新技能的需求增長(zhǎng)速度將快于新角色、新認(rèn)證、新職位描述、新頭銜等的廣泛創(chuàng)建。因此,學(xué)習(xí)和發(fā)展解決方案、招聘平臺(tái)和人力資源實(shí)踐將落后于網(wǎng)絡(luò)安全的需求。
趨勢(shì)影響:
網(wǎng)絡(luò)安全團(tuán)隊(duì)需要新技能,其中許多技能尚未定義或標(biāo)準(zhǔn)化。SRM 領(lǐng)導(dǎo)者應(yīng)考慮以下影響:
“相鄰技能”將解決一些技能缺口。在人力資源實(shí)踐、職位描述模板以及認(rèn)證和培訓(xùn)服務(wù)趕上之前,對(duì)新興技能的需求將會(huì)增長(zhǎng)。SRM 領(lǐng)導(dǎo)者將需要招聘“相關(guān)技能”(內(nèi)部和外部),以大致滿足新興技能需求,以便駕馭上述大趨勢(shì)。
“軟”技能將勝過技術(shù)實(shí)力。風(fēng)險(xiǎn)決策和政策細(xì)節(jié)越來越多地掌握在網(wǎng)絡(luò)安全直接權(quán)限之外的邊緣。網(wǎng)絡(luò)安全團(tuán)隊(duì)需要更多的軟技能,例如商業(yè)頭腦、口頭溝通能力和同理心,以便與他人合作。這些技能可幫助網(wǎng)絡(luò)安全專業(yè)人員了解網(wǎng)絡(luò)風(fēng)險(xiǎn)如何影響業(yè)務(wù)成果、控制措施如何給業(yè)務(wù)帶來摩擦,以及如何通過談判獲得平衡網(wǎng)絡(luò)風(fēng)險(xiǎn)與其他考慮因素的結(jié)果。
新的挑戰(zhàn)需要新的技能。網(wǎng)絡(luò)安全團(tuán)隊(duì)將需要新技能,其中許多技能在過去幾年中并不存在。這些技能可能是全新網(wǎng)絡(luò)安全角色或增強(qiáng)現(xiàn)有角色的新技能的一部分。例如,數(shù)據(jù)科學(xué)家可能需要人工智能倫理方面的技能,安全意識(shí)管理者可能需要人類心理學(xué)方面的技能。
行動(dòng)建議:
制定網(wǎng)絡(luò)安全勞動(dòng)力計(jì)劃。記錄新興技能的需求,并將其映射到當(dāng)前或新型的網(wǎng)絡(luò)安全角色。與網(wǎng)絡(luò)安全員工交流您的路線圖,以便他們了解自己的角色將如何演變,以及領(lǐng)導(dǎo)層將如何支持他們的持續(xù)發(fā)展和職業(yè)發(fā)展。
雇用未來,而不是過去。更新職位描述和外包 RFP,以反映預(yù)期的未來而不是過去的技能需求。
培養(yǎng)敏捷的學(xué)習(xí)文化。圍繞敏捷學(xué)習(xí)改進(jìn)網(wǎng)絡(luò)安全的學(xué)習(xí)和發(fā)展計(jì)劃。敏捷學(xué)習(xí)優(yōu)先考慮通過迭代、短時(shí)間爆發(fā)的實(shí)踐技能開發(fā),而不是基于瀑布的培訓(xùn)和認(rèn)證計(jì)劃。