信息化观察网

本文来自Gartner官网、数据安全和隐私计算。

2023年4月12日，Gartner发布了最新的2023年9大顶级网络安全趋势，安全领导者必须转向聚焦以人为本（Human-Centric Focus），以建立有效的网络安全计划。

根据Gartner公司的说法，安全和风险管理（SRM）领导者在按照九个行业顶级趋势创建和实施网络安全计划时，必须重新思考他们在技术和以人为中心的元素之间的投资平衡。

Gartner的高级分析师Richard Addiscott表示：“以人为中心的网络安全方法对于减少安全故障至关重要。关注控制设计和实施中的人员，以及通过商业沟通和网络安全人才管理来改善业务风险决策和网络安全人员保留。”

为了应对网络安全风险并维持有效的网络安全计划，SRM领导者必须专注于三个关键领域：（i）人员在安全计划成功和可持续性方面的基本作用；（ii）技术安全能力，提供跨组织数字生态系统更大的可见性和响应能力；以及（iii）重新调整安全功能的运作方式，实现敏捷性而不影响安全。

以下九种趋势将对这三个领域的SRM领导者产生广泛影响：

趋势1:以人为本的安全设计

以人为本的安全设计优先考虑员工体验在整个控制管理生命周期中的作用。到2027年，50%的大型企业首席信息安全官(CISO)将采用以人为本的安全设计实践，以最大限度地减少网络安全引起的摩擦并最大限度地采用控制措施。

“传统的安全意识计划未能减少不安全的员工行为，”Addiscott说。“首席信息安全官必须审查过去的网络安全事件，以确定网络安全引起的摩擦的主要来源，并确定他们可以在哪些方面通过更多以人为本的控制来减轻员工的负担，或者在没有显着降低风险的情况下取消增加摩擦的控制。”

趋势2：加强人员管理以实现安全计划的可持续性

传统上，网络安全领导者专注于改进支持其计划的技术和流程，对创建这些变化的人员关注较少。采取以人为本的人才管理方法来吸引和保留人才的CISO已经看到了他们的功能和技术成熟度的提高。

到2026年，Gartner预测，60%的组织将从外部招聘转向从内部人才市场“悄悄招聘”，以应对系统性网络安全和招聘挑战。

趋势3:转变网络安全运营模式以支持价值创造

技术正在从中央IT职能转移到业务线、企业职能、融合团队和员工个人。Gartner的一项调查发现，41%的员工从事某种技术工作，这一趋势预计将在未来五年内继续增长。

“企业领导者现在普遍认为，网络安全风险是需要管理的首要业务风险，而不是需要解决的技术问题，Addiscott说道。“支持和加速业务成果是核心的网络安全优先事项，但仍然是一个主要的挑战。”

CISO必须修改其网络安全的运营模型，以整合工作的完成方式。员工必须知道如何平衡许多风险，包括网络安全、财务、声誉、竞争和法律风险。网络安全也必须通过衡量和报告成功情况与业务成果和优先事项相结合，与业务价值相连接。

趋势4:威胁暴露管理

现代企业的攻击面复杂且容易产生疲劳。CISO必须改进他们的评估实践，以通过实施持续威胁暴露管理(CTEM)计划来了解他们面临的威胁。Gartner预测，到2026年，根据CTEM计划优先考虑其安全投资的组织遭受的违规行为将减少三分之二。

“CISO必须不断改进他们的威胁评估实践，以跟上他们组织不断发展的工作实践，使用CTEM方法来评估不仅仅是技术漏洞，”Addiscott说。

趋势5：身份结构免疫力

脆弱的身份基础设施是由身份结构中的不完整、配置错误或易受攻击的元素造成的。到2027年，身份结构免疫原则将防止85％的新攻击，从而将违规行为的财务影响减少80％。

“身份结构免疫性不仅通过身份威胁和检测响应(ITDR)保护结构中现有的和新的IAM组件，而且还通过完成和正确配置它来加强它，”Addiscott说。

趋势6：网络安全验证

网络安全验证汇集了用于验证潜在攻击者如何利用已识别威胁暴露的技术、流程和工具。网络安全验证所需的工具正在取得重大进展，以自动化评估的可重复和可预测方面，实现攻击技术、安全控制和流程的定期基准测试。到2026年，超过40%的组织（包括三分之二的中型企业）将依靠整合平台来运行网络安全验证评估。

趋势7：网络安全平台合并

随着组织寻求简化运营，供应商正在围绕一个或多个主要网络安全领域整合平台。比如，身份安全服务可以通过一个共同的平台提供，该平台结合了治理、特权访问和访问管理功能。SRM领导者需要不断进行安全控制库存，以了解重叠存在的地方，并通过合并的平台减少冗余。

趋势8：可组合的业务需要可组合的安全性

组织必须从依赖单一系统过渡到在其应用程序中构建模块化功能，以响应不断加快的业务变化步伐。可组合安全是一种将网络安全控制集成到架构模式中，然后在可组合技术实现中以模块化级别应用的方法。到2027年，将有50％以上的核心业务应用程序使用可组成架构构建，需要新的方法来保护这些应用程序。

“可组合安全性旨在保护可组合业务，”Addiscott说。“使用可组合组件创建应用程序会引入未发现的依赖关系。对于CISO来说，这是一个重要的机会，可以通过创建基于组件的、可重用的安全控制对象来设计嵌入隐私和安全性。”

趋势9：董事会扩大其在网络安全监督方面的能力

董事会对网络安全的日益关注受到网络安全明确级别问责制趋势的推动，将加强董事会成员在治理活动中的责任包括在内。网络安全领导人必须向董事会提供报告，证明网络安全计划对组织目标的影响。

“SRM领导者必须鼓励董事会积极参与网络安全决策制定，”Addiscott说。“作为战略顾问，为董事会采取的行动提供建议，包括预算分配和安全资源。”

文章链接：https://mp.weixin.qq.com/s/at5RxDifETHRLcG-IKl_jA