调研机构Forrester公司分析师最近分享了他们对2023年网络安全的一些预测。这些预测表明,企业在如何管理风险和隐私问题方面正在发生文化方面的转变。
Forrester公司的分析师做出的一些最令人震惊的预测包括:网络安全员工因工作倦怠而变成告密者;企业高管因为监控员工而遭到解雇;以及更多的网络保险提供商进入托管检测和响应市场。
50%以上的首席风险官将直接向首席执行官报告
Forrester的高级分析师Alla Valente说,“随着企业拥抱创新和数字化战略,他们现在也面临着前所未有的变化,包括系统性风险、不断演变的监管格局、仍处于混乱状态的供应链以及客户期望的转变。
随着企业扩大其风险管理战略以包括新的风险来源,并将其重心转移到包括非金融风险,首席风险官的角色正变得至关重要,即使在非金融企业中也是如此。
但对于当今的首席风险官来说,这还不足以抵御风险的下行(即合规性和保险)。随着风险管理在企业内部得到越来越多的关注和重视,首席风险官正肩负着寻找增长机会的任务。
在这种情况下,风险管理不是开展业务的成本,而是开展更多业务的机会。这导致了报告结构的转变,更多的首席风险官直接向首席执行官报告。”
企业高管将会因为监控员工而被解雇
Forrester公司的首席分析师Heidi Shey说,“随着远程工作和在家工作选择的兴起,一些雇主正在采用对员工进行电子监控的技术。企业在实施任何监控技术,都必须优先考虑隐私权和员工体验,无论是跟踪员工的工作效率,实现重返办公室的策略,还是解决内部风险的问题。
这是一项商业计划,企业在计划和实施时必须非常小心谨慎,因为从监管和劳动力的角度来看,有很多违规或发生灾难的机会。
监控工作可能会违反GDPR等数据保护法规以及纽约州和加拿大安大略省新颁布的专门与员工监控有关的法律。2023年,我们可以期待立法者对工作场所监控问题给予更多关注,例如加利福尼亚州提出的问责法案。
我们还可能会看到更多的员工抗议以及罢工,以回应被视为雇主干涉和越权的监控措施。”
预计三家网络保险公司将收购托管检测和响应提供商
Forrester公司的副总裁兼首席分析师Jeff Pollard说,“网络保险公司将积极进军托管检测和响应领域,他们认为,需要为投保的客户提供检测和响应服务,而不是客户自己实施。这将延续2022年由商业保险商Acrisure公司开创的趋势。
收购托管检测和响应提供商为保险公司提供了:
(1)关于网络攻击者活动的高价值数据,以完善承保指南;
(2)对投保者环境的无与伦比的可见性;
(3)验证证明的能力。
从保险公司购买托管检测和响应的安全领导者应该考虑保险公司将如何在承保中使用遥测技术,这很可能会对买方不利;他们是否认为保险公司会投资提供托管检测和响应等网络安全服务;他们是否认为保险公司可以帮助他们阻止正在遭遇的主动攻击。”
企业将起诉攻击性安全工具提供商导致的违规行为
Forrester公司的高级分析师Allie Mellen说,“安全专业人员和网络攻击者如今都在使用Cobalt Strike、Metasploit、Mimikatz等攻击工具包。一些安全服务提供商共享披露信息或包括销售尽职调查流程,以确保客户不会使用该技术对他人进行攻击和伤害。
随着这样的工具越来越多,企业和政府将向提供商施压,以确保这些工具不会落入坏人之手,这将影响这些工具的创建和共享方式。
在2023年可能会发生针对提供商的诉讼,这可能会为其他软件产品建立一个滥用的先例,特别是在第三方违规引发紧张局势的情况下。作为网络安全计划的一部分,需要确保产品作为网络安全计划一部分销售,以减轻风险。”
世界500强公司将因解雇其网络安全人员而被曝光
Forrester公司的副总裁兼首席分析师Jinan Budge说,“网络防御的薄弱环节有可能影响社会的整体水平。处于网络防御核心的安全团队人手不足,疲惫不堪。2022年的一项研究发现,66%的安全团队成员表示在工作中承受着巨大的压力,64%的安全团队成员表示心理健康受到了工作压力的影响。
在网络安全事件发生后的第一周,那些每天工作超过12小时的应急人员也有类似的表现。职业倦怠远远超出了心理健康的范畴,会导致减员、健康风险甚至死亡。
在一项重要的国家基础设施研究中,57%的安全主管将职业倦怠列为离开该行业的首要原因。此外,世界卫生组织的一项研究表明,每周工作55小时的员工患中风的风险要高35%。例如2022年,澳大利亚等国出现了科技员工因工作过度疲劳而死亡的案例。
在2023年,安全员工可能会举报不安全的工作条件。企业需要评估和解决导致网络安全人员职业倦怠的因素,提供身心健康的工作环境,并为安全团队提供完成工作所需的工具、流程和预算。”