执行绩效评估将越来越多地与管理网络风险的能力联系起来;近三分之一的国家将在未来三年内规范勒索软件响应;根据 Gartner, Inc. 今天公布的顶级网络安全预测,安全平台整合将帮助组织在恶劣的环境中蓬勃发展。
在悉尼 Gartner 安全和风险管理峰会的开幕主题演讲中,Gartner 高级总监分析师 Richard Addiscott 和常务副总裁 Rob McMillan 讨论了 Gartner 网络安全专家为帮助安全和风险管理领导者在数字时代。
“我们不能陷入旧习惯,并试图像过去一样对待一切。大多数安全和风险领导者现在都认识到,重大破坏距离危机只有一次。我们无法控制它,但我们可以发展我们的思维、我们的理念、我们的计划和我们的架构,”Addiscott 说。
Gartner 建议网络安全领导者将以下战略规划假设纳入其未来两年的安全战略。到 2023 年,要求组织提供消费者隐私权的政府法规将覆盖 50 亿公民和全球 70% 以上的 GDP。
截至 2021 年,近 30 亿人在 50 个国家/地区获得了消费者隐私权,并且隐私监管继续扩大。 Gartner 建议组织跟踪主题权利请求指标,包括每个请求的成本和完成时间,以识别效率低下并证明加速自动化的合理性。
到 2025 年,80% 的企业将采用一种策略,从单一供应商的 SSE 平台统一 Web、云服务和私有应用程序访问。
凭借混合型员工队伍和随处可访问的数据,供应商正在提供集成安全服务边缘(SSE)解决方案,以提供一致且简单的web、私有访问和SaaS应用程序安全。与同类最佳的解决方案相比,单一供应商解决方案提供了显著的运营效率和安全有效性,包括更紧密的集成、更少的控制台使用,以及更少的数据必须解密、检查和重新加密的位置。
到2025年,60%的组织将零信任作为安全的起点。超过一半的人将无法实现这些好处。
零信任一词现在在证券供应商营销和政府的安全指导中很流行。作为一种心态——用身份和基于背景的风险适当信任取代隐性信任——它非常强大。然而,由于零信任既是一种安全原则,也是一种组织愿景,因此需要文化转变和清晰的沟通,将其与业务成果联系起来,以实现效益。
到2025年,60%的组织将把网络安全风险作为进行第三方交易和业务约定的主要决定因素。
与第三方相关的网络攻击正在增加。然而,根据Gartner的数据,只有23%的安全和风险领导者实时监控第三方的网络安全风险。由于消费者的担忧和监管机构的关注,Gartner认为,企业在与第三方开展业务时,将开始将网络安全风险视为一个重要的决定因素,从对关键技术供应商的简单监控到对并购的复杂尽职调查。
到2025年,30%的国家将通过监管勒索支付、罚款和谈判的立法,而2021这一比例还不到1%。
现代勒索软件团伙现在不仅窃取数据,还对其进行加密。是否支付赎金的决定是业务层面的决定,而不是安全层面的决定。Gartner建议在谈判之前,聘请专业的事件响应团队、执法部门和任何监管机构。
到2025年,威胁行为者将成功地将作战技术环境武器化,造成人员伤亡。
对 OT(监控或控制设备、资产和流程的硬件和软件)的攻击已经变得更加普遍和更具破坏性。 Gartner 表示,在运营环境中,安全和风险管理领导者应该更关注现实世界对人类和环境的危害,而不是信息盗窃。
到2025年,为了在网络犯罪、恶劣天气事件、内乱和政治不稳定的威胁下生存下来,5%的首席执行官将要求建立一种组织韧性文化。
Covid-19 大流行暴露了传统的业务连续性管理计划无法支持组织对大规模中断的响应。由于可能会持续中断,Gartner 建议风险领导者将组织弹性视为一项战略必要性,并建立一个组织范围的弹性战略,同时让员工、利益相关者、客户和供应商参与其中。
到 2026 年,50% 的 C 级高管将在其雇佣合同中包含与风险相关的绩效要求。
根据 Gartner 最近的一项调查,大多数董事会现在将网络安全视为业务风险,而不仅仅是技术 IT 问题。因此,Gartner 预计将看到处理网络风险的正式责任从安全领导者转移到高级业务领导者。
