日前，在Gartner年度網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理峰會(huì)上，Gartner高級(jí)總監(jiān)分析師Richard Addiscott和高級(jí)顧問(wèn)總監(jiān)Lisa Neubauer，給出了對(duì)未來(lái)2-5年全球企業(yè)組織數(shù)字化風(fēng)險(xiǎn)發(fā)展和網(wǎng)絡(luò)安全建設(shè)的主要趨勢(shì)預(yù)測(cè)。Addiscott表示：企業(yè)的CISO及其團(tuán)隊(duì)必須在專(zhuān)注于當(dāng)前建設(shè)工作的同時(shí)，抽出時(shí)間來(lái)關(guān)注未來(lái)，看看今后幾年可能會(huì)影響組織網(wǎng)絡(luò)安全計(jì)劃的變革因素會(huì)有哪些。以下預(yù)測(cè)是Gartner數(shù)字化研究團(tuán)隊(duì)在目前看到的一些主要趨勢(shì)，我們建議企業(yè)管理者在制定新的網(wǎng)絡(luò)安全發(fā)展戰(zhàn)略時(shí)，應(yīng)充分考慮并適應(yīng)這些趨勢(shì)。

預(yù)測(cè)一

到2024年底，盡管個(gè)人隱私保護(hù)的法規(guī)制度已經(jīng)基本完善，能夠覆蓋大部分消費(fèi)者數(shù)據(jù)，但或許只有不到10%的企業(yè)能夠?qū)㈦[私保護(hù)轉(zhuǎn)化為業(yè)務(wù)競(jìng)爭(zhēng)優(yōu)勢(shì)。

企業(yè)需要認(rèn)識(shí)到，制定隱私保護(hù)計(jì)劃不僅是為了法律合規(guī)，同時(shí)也可以讓組織更廣泛、更安全地使用數(shù)據(jù)，從而在商業(yè)情報(bào)分析中領(lǐng)先于競(jìng)爭(zhēng)對(duì)手，并且贏得客戶(hù)、合作伙伴以及投資者的信任。Gartner建議企業(yè)管理者要執(zhí)行符合法規(guī)要求的全面隱私保護(hù)計(jì)劃，突破傳統(tǒng)增長(zhǎng)阻礙因素，在競(jìng)爭(zhēng)日益激烈的市場(chǎng)中脫穎而出。

預(yù)測(cè)二

到2025年，超過(guò)半數(shù)的CISO在嘗試使用風(fēng)險(xiǎn)量化方法來(lái)推動(dòng)網(wǎng)絡(luò)安全決策時(shí)，會(huì)以失敗而告終。

Gartner的調(diào)查數(shù)據(jù)顯示，62%的網(wǎng)絡(luò)風(fēng)險(xiǎn)量化采用者都認(rèn)為這種方法會(huì)帶來(lái)收益，但只有36%的采用者實(shí)際取得了基于行動(dòng)的收益結(jié)果，包括降低風(fēng)險(xiǎn)、節(jié)省資金或獲得實(shí)際的決策影響力。因此，企業(yè)安全領(lǐng)導(dǎo)者應(yīng)該把精力集中在企業(yè)董事會(huì)要求的風(fēng)險(xiǎn)量化指標(biāo)上，而不只是生成用于說(shuō)服董事會(huì)的風(fēng)險(xiǎn)分析結(jié)果。

預(yù)測(cè)三

到2025年，超過(guò)半數(shù)的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者可能會(huì)更換工作，主要原因是因?yàn)楣ぷ鲏毫Υ?，難以完成既定的工作目標(biāo)。

由于新冠疫情和整個(gè)行業(yè)的人員短缺，網(wǎng)絡(luò)安全專(zhuān)業(yè)人員的工作壓力在持續(xù)加大，而且會(huì)讓很多人覺(jué)得難以承受。Gartner表示，雖然完全消除安全管理者和分析師的工作壓力不切實(shí)際，但他們迫切需要在一個(gè)能夠理解和支持自己的企業(yè)文化中開(kāi)展工作。改變網(wǎng)絡(luò)安全處置規(guī)則以促進(jìn)整體的網(wǎng)絡(luò)安全意識(shí)形成，對(duì)提升安全團(tuán)隊(duì)的工作效率會(huì)有積極幫助。

預(yù)測(cè)四

盡管CISO的工作壓力巨大，但企業(yè)對(duì)網(wǎng)絡(luò)安全的重視度卻會(huì)持續(xù)提升。到2026年，70%以上企業(yè)的董事會(huì)中都會(huì)包括一名具有網(wǎng)絡(luò)安全專(zhuān)業(yè)知識(shí)的高級(jí)管理者。

要想讓數(shù)字化轉(zhuǎn)型穩(wěn)定開(kāi)展，就需要將網(wǎng)絡(luò)安全建設(shè)被視為數(shù)字化業(yè)務(wù)發(fā)展的伙伴，并得到董事會(huì)的認(rèn)可。這也意味著，制定網(wǎng)絡(luò)安全計(jì)劃不僅僅是為了防止各種網(wǎng)絡(luò)安全攻擊事件發(fā)生，更是為了提高企業(yè)有效承擔(dān)數(shù)字化發(fā)展風(fēng)險(xiǎn)的能力。因此，Gartner建議CISO們需要走在這種變化發(fā)展的最前端，向董事會(huì)充分宣講保障數(shù)字化系統(tǒng)安全的重要性，并建立一種更緊密的溝通關(guān)系，以加強(qiáng)對(duì)網(wǎng)絡(luò)安全工作的信任和支持。

預(yù)測(cè)五

到2026年，企業(yè)組織60%以上的安全威脅檢測(cè)、調(diào)查與響應(yīng)能力將通過(guò)風(fēng)險(xiǎn)暴露面管理來(lái)實(shí)現(xiàn)和驗(yàn)證，并確定對(duì)威脅管理的優(yōu)先級(jí)，而目前這個(gè)比例不到5%。

由于連接性增加、SaaS和云應(yīng)用程序得到廣泛使用，企業(yè)組織的安全攻擊面持續(xù)變大，公司需要更廣泛的可見(jiàn)性和統(tǒng)一策略來(lái)持續(xù)監(jiān)控威脅和風(fēng)險(xiǎn)暴露情況。為了加強(qiáng)對(duì)威脅的檢測(cè)和應(yīng)對(duì)能力，企業(yè)組織需要一個(gè)統(tǒng)一的防護(hù)平臺(tái)或生態(tài)系統(tǒng)，可以體系化的開(kāi)展并管理對(duì)威脅的檢測(cè)、調(diào)查和響應(yīng)工作，讓安全運(yùn)營(yíng)團(tuán)隊(duì)全面了解風(fēng)險(xiǎn)和潛在影響。

預(yù)測(cè)六

到2026年，將有超過(guò)10%的大型企業(yè)組織能夠?qū)嶋H落地全面、成熟、可量化的零信任安全計(jì)劃，目前這個(gè)比例還不到1%。

實(shí)施成熟的、全面的、有效的零信任安全計(jì)劃需要集成和配置多個(gè)不同的能力組件，這可能在技術(shù)實(shí)現(xiàn)上會(huì)很復(fù)雜。只有能夠幫助企業(yè)帶來(lái)更大的商業(yè)價(jià)值，零信任計(jì)劃的應(yīng)用才會(huì)成功。因此，企業(yè)組織應(yīng)遵循從小處入手、循序漸進(jìn)的零信任建設(shè)與應(yīng)用理念，這樣更容易感受到零信任計(jì)劃的價(jià)值和幫助，并逐步解決其中的建設(shè)復(fù)雜性。

預(yù)測(cè)七

到2027年，以人為本將會(huì)成為企業(yè)組織網(wǎng)絡(luò)安全計(jì)劃的基礎(chǔ)性原則，安全管理者要盡量減小安全運(yùn)營(yíng)工作的阻力，并致力于提高安全管控措施的實(shí)際利用率率。

Gartner的研究顯示，超過(guò)90%的受訪人員承認(rèn)，在明知自己的操作會(huì)增加組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)情況下，還是采取過(guò)一系列不安全的應(yīng)用操作。因此，以人為本的網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)要求將人（而不是技術(shù)、威脅或位置）作為實(shí)施安全控制措施的重心，這樣才能最大化減小安全運(yùn)營(yíng)工作的阻力。

預(yù)測(cè)八

到2027年，有75%以上的企業(yè)員工將可以在不依賴(lài)IT部門(mén)的情況下添加、修改或應(yīng)用數(shù)字化技術(shù)，而在2022年這個(gè)比例僅為41%。

研究人員認(rèn)為，隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入發(fā)展，組織CISO的角色和職責(zé)范圍正從網(wǎng)絡(luò)安全控制措施的所有者變成應(yīng)對(duì)數(shù)字化發(fā)展風(fēng)險(xiǎn)的決策參與者和推動(dòng)者。能夠及時(shí)調(diào)整傳統(tǒng)的網(wǎng)絡(luò)安全運(yùn)營(yíng)模式將是應(yīng)對(duì)這種變化的關(guān)鍵。Gartner建議，CISO不能只從技術(shù)和自動(dòng)化的角度思考問(wèn)題，應(yīng)與各部門(mén)員工深度接觸交流，以影響決策制定，并確保每個(gè)員工都能夠掌握適當(dāng)?shù)男畔?，在保障安全的前提下開(kāi)展數(shù)字化工作。

參考鏈接：??https://www.gartner.com/en/newsroom/press-releases/2023-03-28-gartner-unveils-top-8-cybersecurity-predictions-for-2023-2024???