趋势安全策略
在悉尼Gartner安全与风险管理峰会的开幕主题演讲中,Gartner高级总监分析师Richard Addiscott和Gartner管理副总裁Rob McMillan讨论了Gartner网络安全专家准备的顶级预测,以帮助安全和风险管理领导者在数字时代取得成功。
“我们不能陷入旧习惯,并试图像过去一样对待一切,”Addiscott说,“大多数安全和风险领导者现在都认识到,重大破坏是一场危机。我们无法控制它,但我们可以发展我们的思维,我们的理念,我们的程序和我们的架构。
Gartner 建议网络安全领导者在未来两年的安全战略中构建以下战略规划假设。
到2023年,要求组织提供消费者隐私权的政府法规将覆盖50亿公民和全球GDP的70%以上。截至2021年,50个国家有近30亿人获得了消费者隐私权,隐私监管也在不断扩大。Gartner 建议组织跟踪主题权限请求指标,包括每个请求的成本和履行时间,以识别效率低下的问题并证明加速自动化的合理性。
到2025年,80%的企业将采用一种策略,从单个供应商的SSE平台统一Web,云服务和私有应用程序访问。借助可供所有人访问的混合劳动力和数据,供应商正在提供集成的安全服务边缘 (SSE) 解决方案,以提供一致且简单的 Web、专用访问和 SaaS 应用程序安全性。与同类最佳的解决方案相比,单一供应商解决方案提供了显著的运营效率和安全有效性,包括更紧密的集成、更少的使用控制台以及更少的数据必须解密、检查和重新加密的位置。
到2025年,60%的组织将把零信任作为安全的起点。超过一半的人将无法实现这些好处。
零信任一词现在在安全供应商营销和政府的安全指导中很普遍。作为一种心态——用基于身份和上下文的风险适当信任取代隐式信任——它非常强大。但是,由于零信任既是一项安全原则,也是一项组织愿景,因此需要文化转变和清晰的沟通,将其与业务成果联系起来,以实现收益。
到2025年,60%的组织将使用网络安全风险作为进行第三方交易和业务活动的主要决定因素。根据Gartner的数据,只有23%的安全和风险领导者实时监控第三方的网络安全风险。Gartner认为,由于消费者的担忧和监管机构的兴趣,组织将开始将与第三方开展业务时将网络安全风险作为重要的决定因素,从对关键技术供应商的简单监控到对并购的复杂尽职调查。
到2025年,30%的国家将通过立法来规范勒索软件支付,罚款和谈判,而2021年这一比例不到1%。现代勒索软件团伙现在窃取数据并对其进行加密。是否支付赎金的决定是业务层面的决定,而不是安全决策。Gartner 建议在谈判之前聘请专业的事件响应团队以及执法部门和任何监管机构。
到2025年,威胁行为者将成功地将作战技术环境武器化,造成人员伤亡。
对OT(监控或控制设备、资产和流程的硬件和软件)的攻击已经变得越来越普遍,破坏性也越来越大。Gartner表示,在运营环境中,安全和风险管理领导者应该更关心现实世界对人类和环境的危害,而不是信息盗窃。
到2025年,70%的CEO将要求建立组织弹性文化,以便在网络犯罪、恶劣天气事件、内乱和政治不稳定等威胁下生存下来。COVID-19大流行暴露了传统业务连续性管理计划无法支持组织应对大规模中断的能力。由于可能会持续中断,Gartner 建议风险领导者将组织弹性视为战略要务,并制定组织范围的弹性战略,同时吸引员工、利益相关者、客户和供应商。
到2026年,50%的C级高管将在雇佣合同中纳入与风险相关的绩效要求。
根据Gartner最近的一项调查,大多数董事会现在将网络安全视为业务风险,而不仅仅是技术IT问题。因此,Gartner希望看到处理网络风险的正式问责制从安全领导者转变为高级商业领导者。