Gartner發(fā)布2024年網(wǎng)絡(luò)安全9大趨勢(shì)

組織的安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者面臨著來(lái)自技術(shù)、組織和人力等多方面的顛覆性挑戰(zhàn)。未雨綢繆做好準(zhǔn)備，并務(wù)實(shí)地推進(jìn)，對(duì)于應(yīng)對(duì)挑戰(zhàn)和實(shí)施有效的網(wǎng)絡(luò)安全計(jì)劃至關(guān)重要。

2022年年底，生成式人工智能 (GenAI) 作為主流技術(shù)出現(xiàn)，引發(fā)了數(shù)十年來(lái)數(shù)字和商業(yè)領(lǐng)域的重大顛覆性變化。

作為SRM領(lǐng)導(dǎo)人不能忽視的強(qiáng)大力量，GenAI顯然是一個(gè)需要管理的挑戰(zhàn)。到 2025 年，為保護(hù)生成式 AI 所需的網(wǎng)絡(luò)安全資源將會(huì)激增，導(dǎo)致應(yīng)用和數(shù)據(jù)安全方面的支出增加超過(guò)15%。

但SRM領(lǐng)導(dǎo)人還必須需應(yīng)對(duì)無(wú)法控制的其他外部挑戰(zhàn)，這包括：

●彌合安全人才供需之間的鴻溝。

●云采用的不斷增長(zhǎng)正在擴(kuò)大并改變數(shù)字生態(tài)系統(tǒng)的組成。

●加強(qiáng)公共和私營(yíng)部門(mén)對(duì)網(wǎng)絡(luò)安全、隱私和數(shù)據(jù)本地化的監(jiān)管義務(wù)和政府監(jiān)督。

●企業(yè)數(shù)字能力的持續(xù)分散。

●在不斷變化的威脅環(huán)境中管理風(fēng)險(xiǎn)則是永恒的挑戰(zhàn)。

為應(yīng)對(duì)這些挑戰(zhàn)的影響，SRM領(lǐng)導(dǎo)者正在其安全計(jì)劃中采用一系列安全實(shí)踐、技術(shù)能力和結(jié)構(gòu)改革，以提高組織彈性和安全職能部門(mén)的效率。

這包括優(yōu)化組織彈性和安全部門(mén)的效率。

現(xiàn)在提高組織彈性已成為安全投資的主要驅(qū)動(dòng)力，這主要是因?yàn)椋涸频牟捎寐什粩嗵岣�，�?shù)字生態(tài)系統(tǒng)繼續(xù)蔓延；組織的混合工作環(huán)境日趨普遍；威脅環(huán)境不斷演變，新技能讓攻擊者更加膽大妄為。

SRM領(lǐng)導(dǎo)者越來(lái)越認(rèn)識(shí)到，試圖修復(fù)組織不斷擴(kuò)張的數(shù)字環(huán)境中數(shù)量激增的漏洞是愚蠢的。支持持續(xù)威脅暴露管理 (CTEM) 并提供更強(qiáng)大、支持安全的身份和訪問(wèn)管理 (IAM) 功能的計(jì)劃的勢(shì)頭持續(xù)增強(qiáng)。

此外，采用注重彈性的第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法的 SRM 領(lǐng)導(dǎo)者，正在降低風(fēng)險(xiǎn)和加快推出新數(shù)字化計(jì)劃的速度方面獲得回報(bào)。

在優(yōu)化組織效率的方面，積極主動(dòng)的 SRM 領(lǐng)導(dǎo)者看到利用 GenAI 功能，提升運(yùn)營(yíng)效率的機(jī)會(huì)。此外，安全使用 GenAI 的需求影響安全技能規(guī)劃和培養(yǎng)。這也是安全行為和文化計(jì)劃受到關(guān)注的一個(gè)關(guān)鍵原因，其目的在于最大限度地減少不安全員工行為的影響。此外，越來(lái)越多地采用結(jié)果驅(qū)動(dòng)的指標(biāo)來(lái)促進(jìn)更有效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和投資決策。隨著組織繼續(xù)分散和數(shù)字決策變化，安全運(yùn)營(yíng)模式改革的趨勢(shì)持續(xù)存在。

圖 1：2024 年主要網(wǎng)絡(luò)安全趨勢(shì)

趨勢(shì)1、持續(xù)威脅暴露管理計(jì)劃勢(shì)頭強(qiáng)勁

戰(zhàn)略規(guī)劃假設(shè)：

到 2026 年，基于持續(xù)威脅暴露管理計(jì)劃優(yōu)先考慮安全投資的組織將實(shí)現(xiàn)漏洞數(shù)量減少三分之二。

描述：

近年來(lái)，組織攻擊面顯著擴(kuò)大。這一增長(zhǎng)的主要推動(dòng)因素是 SaaS 的加速部署、數(shù)字供應(yīng)鏈的擴(kuò)展、企業(yè)在社交媒體上的影響力的增加、定制應(yīng)用開(kāi)發(fā)、遠(yuǎn)程辦公和基于互聯(lián)網(wǎng)的客戶(hù)交互。

攻擊面的增加給組織留下了潛在的盲點(diǎn)，以及大量需要解決的潛在風(fēng)險(xiǎn)。

為了應(yīng)對(duì)這種情況，SRM 領(lǐng)導(dǎo)者引入了試點(diǎn)流程，用于管理威脅暴露的數(shù)量和重要性以及通過(guò)持續(xù)威脅暴露管理 (CTEM) 計(jì)劃處理威脅的影響。更成熟的組織開(kāi)始實(shí)施一系列安全優(yōu)化，以更好地動(dòng)員業(yè)務(wù)領(lǐng)導(dǎo)者，而不僅僅是短期補(bǔ)救措施。

受關(guān)注原因：

大多數(shù)組織管理威脅暴露的工作過(guò)于專(zhuān)注于發(fā)現(xiàn)和糾正基于技術(shù)的漏洞。這種關(guān)注受到 SecOps合規(guī)性計(jì)劃的鼓勵(lì)，但通常不會(huì)考慮現(xiàn)代組織運(yùn)營(yíng)實(shí)踐的重大轉(zhuǎn)變，例如轉(zhuǎn)向云驅(qū)動(dòng)的應(yīng)用程序和容器。安全團(tuán)隊(duì)必須增強(qiáng)其當(dāng)前模型，并超越這一目標(biāo)，其中修補(bǔ)和保護(hù)基于物理和自我管理軟件的系統(tǒng)是主要目標(biāo)。SRM 領(lǐng)導(dǎo)者已經(jīng)意識(shí)到，現(xiàn)有的實(shí)踐不夠廣泛，同時(shí)，人員配備的限制限制了可以完成的工作量。

趨勢(shì)影響：

對(duì)暴露面相關(guān)的問(wèn)題的關(guān)注焦點(diǎn)，已經(jīng)從簡(jiǎn)單地管理商業(yè)產(chǎn)品中的軟件漏洞轉(zhuǎn)移。如此大規(guī)模地增加技術(shù)風(fēng)險(xiǎn)對(duì)于安全運(yùn)營(yíng)團(tuán)隊(duì)來(lái)說(shuō)是難以承受的。與業(yè)務(wù)目標(biāo)缺乏一致性將導(dǎo)致對(duì)首先解決哪些問(wèn)題做出錯(cuò)誤的決定，這將導(dǎo)致無(wú)法量化的暴露空白點(diǎn)，并可能浪費(fèi)安全預(yù)算來(lái)解決無(wú)關(guān)緊要的問(wèn)題。SRM 領(lǐng)導(dǎo)者必須使用更廣泛的威脅暴露管理流程，同時(shí)平衡已經(jīng)捉襟見(jiàn)肘的運(yùn)營(yíng)團(tuán)隊(duì)，并創(chuàng)建有效且預(yù)先商定的補(bǔ)救動(dòng)員渠道來(lái)響應(yīng)發(fā)現(xiàn)的問(wèn)題。

行動(dòng)建議：

通過(guò)使 CTEM 范圍與業(yè)務(wù)目標(biāo)保持一致來(lái)關(guān)注相關(guān)問(wèn)題。SRM 領(lǐng)導(dǎo)者必須致力于通過(guò)突出對(duì)組織關(guān)鍵運(yùn)營(yíng)最具潛在影響的問(wèn)題來(lái)提高風(fēng)險(xiǎn)暴露的可見(jiàn)性并吸引其他高級(jí)領(lǐng)導(dǎo)者的興趣。他們應(yīng)該為 CTEM定義一個(gè)更窄的范圍，與業(yè)務(wù)目標(biāo)保持一致，使用熟悉的語(yǔ)言并解釋對(duì)業(yè)務(wù)而不是技術(shù)的影響。

通過(guò)驗(yàn)證減少優(yōu)先問(wèn)題的數(shù)量。介紹驗(yàn)證步驟和支持技術(shù)，例如入侵和攻擊模擬 (BAS) 和自動(dòng)滲透測(cè)試工具。此類(lèi)工具通過(guò)突出顯示可能因使用現(xiàn)實(shí)世界技術(shù)的真正妥協(xié)而導(dǎo)致的發(fā)現(xiàn)問(wèn)題，從而減輕漏洞評(píng)估 (VA) 解決方案等暴露評(píng)估工具的輸出所帶來(lái)的負(fù)擔(dān)。

做好前期工作，讓業(yè)務(wù)部門(mén)參與響應(yīng)。SRM 領(lǐng)導(dǎo)者必須擴(kuò)大自己與部門(mén)負(fù)責(zé)人、資產(chǎn)所有者和第三方之間的溝通渠道，以便有明確的途徑來(lái)動(dòng)員應(yīng)對(duì)和補(bǔ)救措施。通過(guò)明確闡明和討論與推遲補(bǔ)救工作相關(guān)的殘余風(fēng)險(xiǎn)，獲得業(yè)務(wù)部門(mén)和資產(chǎn)所有者的支持。提供短期和長(zhǎng)期選擇，以減少或消除風(fēng)險(xiǎn)。

趨勢(shì)2、IAM持續(xù)演進(jìn)，在改善網(wǎng)絡(luò)安全成效方面發(fā)揮日益重要作用

描述：

身份優(yōu)先的安全方法將重點(diǎn)從網(wǎng)絡(luò)安全和其他傳統(tǒng)控制轉(zhuǎn)移到 IAM。它使 IAM 成為組織網(wǎng)絡(luò)安全成果乃至業(yè)務(wù)成果的關(guān)鍵貢獻(xiàn)者。采用這種方法的組織必須更加關(guān)注基本的 IAM 衛(wèi)生和 IAM 系統(tǒng)的強(qiáng)化，以提高彈性。這包括縮小攻擊預(yù)防方面長(zhǎng)期存在的能力差距，例如擴(kuò)大對(duì)云權(quán)利和機(jī)器身份的控制，以及引入新的身份威脅檢測(cè)和響應(yīng)（ITDR）高級(jí)功能。IAM 架構(gòu)正在向身份結(jié)構(gòu)發(fā)展，并采用新功能以可組合的方式實(shí)現(xiàn)實(shí)時(shí)身份控制。

受關(guān)注原因：

IAM 在網(wǎng)絡(luò)安全中的作用一直在穩(wěn)步增強(qiáng)。截至 2023 年，IAM 是使用 Gartner 客戶(hù)查詢(xún)服務(wù)的 SRM 領(lǐng)導(dǎo)者討論的第二熱門(mén)話題。

針對(duì)身份基礎(chǔ)設(shè)施的攻擊很常見(jiàn)，防御者正在使用 ITDR 等策略來(lái)應(yīng)對(duì)這些攻擊。

IAM 和數(shù)據(jù)安全是從 IaaS 到 SaaS 等各類(lèi)服務(wù)的云共享責(zé)任模型中的客戶(hù)責(zé)任。

Gartner 調(diào)查中近三分之二的受訪者希望他們的組織在未來(lái) 12 個(gè)月內(nèi)增加對(duì) IAM 功能的投資，包括欺詐檢測(cè)、身份驗(yàn)證、客戶(hù)身份、員工身份治理和管理以及權(quán)限訪問(wèn)管理。

身份優(yōu)先安全正在成為安全的關(guān)鍵控制面。

與 Gartner 客戶(hù)的對(duì)話表明，他們?cè)絹?lái)越多地使用 IAM 的結(jié)果驅(qū)動(dòng)指標(biāo) (ODM)來(lái)鼓勵(lì)更好的安全性。這些指標(biāo)側(cè)重于通過(guò)影響特定于身份的變量（例如身份數(shù)據(jù)的準(zhǔn)確性）來(lái)增強(qiáng)彈性和安全性，并使組織更接近最小特權(quán)原則。

基于這些觀點(diǎn)，Gartner 認(rèn)為 IAM 在組織安全計(jì)劃中的作用越來(lái)越大。因此，組織的 IAM 實(shí)踐需要不斷發(fā)展。

趨勢(shì)影響：

組織必須加倍努力實(shí)施更好的身份衛(wèi)生。這一點(diǎn)至關(guān)重要，因?yàn)椴涣嫉纳矸菪l(wèi)生會(huì)破壞 ITDR 的許多潛在收益。Misset 權(quán)限為不良行為者提供了切入點(diǎn)，為橫向移動(dòng)創(chuàng)造了機(jī)會(huì)，并可能加劇簡(jiǎn)單錯(cuò)誤造成的附帶損害。鑒于存在大量的權(quán)利、帳戶(hù)甚至本地帳戶(hù)存儲(chǔ)庫(kù)，全面實(shí)施衛(wèi)生是一項(xiàng)重大任務(wù)。ODM 可以幫助定義實(shí)施更好衛(wèi)生的方向性指導(dǎo)，但也需要自動(dòng)化。

ITDR需要額外的努力和技能。只有注重衛(wèi)生，它才能有效發(fā)揮作用。使用其他安全檢測(cè)和響應(yīng)流程的組織，甚至可能擁有自己的安全運(yùn)營(yíng)中心 (SOC)，可以從 ITDR 中受益，但這需要對(duì) SOC 團(tuán)隊(duì)進(jìn)行 IAM 培訓(xùn)。

IAM 基礎(chǔ)設(shè)施必須進(jìn)行變革，以加深對(duì)安全功能的支持。目前在用的許多傳統(tǒng) IAM 基礎(chǔ)設(shè)施都過(guò)于復(fù)雜，且存在巨大技術(shù)差距。IAM 技術(shù)債務(wù)是次優(yōu)或低效 IAM 技術(shù)決策的技術(shù)積累，也是普遍存在的問(wèn)題。

IAM 基礎(chǔ)設(shè)施必須發(fā)展成為一個(gè)身份基礎(chǔ)設(shè)施，旨在實(shí)現(xiàn)身份優(yōu)先的安全性。它必須使用并代理上下文，以一致的方式為任何適用的人員或機(jī)器提供和支持自適應(yīng)、連續(xù)、風(fēng)險(xiǎn)意識(shí)和彈性訪問(wèn)控制。

行動(dòng)建議：

加倍努力實(shí)施適當(dāng)?shù)纳矸菪l(wèi)生。將此定義為安全計(jì)劃的優(yōu)先事項(xiàng)，并使用ODM提供方向指導(dǎo)并設(shè)定改進(jìn)標(biāo)準(zhǔn)。

通過(guò)對(duì) IAM 中的安全操作人員進(jìn)行培訓(xùn)，將 ITDR擴(kuò)展為一種實(shí)踐。為關(guān)鍵企業(yè)身份系統(tǒng)（例如 Microsoft Active Directory 和云交付的訪問(wèn)管理服務(wù)）實(shí)施安全態(tài)勢(shì)評(píng)估以及威脅檢測(cè)和響應(yīng)功能。

通過(guò)向身份結(jié)構(gòu)演進(jìn)，重構(gòu)身份基礎(chǔ)設(shè)施以支持身份優(yōu)先的安全原則。首先通過(guò)使用可組合工具策略來(lái)改進(jìn) IAM 工具之間的集成。

趨勢(shì)3、彈性驅(qū)動(dòng)、資源高效的第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理

描述：

第三方不可避免地會(huì)遭遇網(wǎng)絡(luò)安全事件，這迫使 SRM 領(lǐng)導(dǎo)者更多地關(guān)注以彈性為導(dǎo)向的投資，并放棄前期的盡職調(diào)查活動(dòng)。積極進(jìn)取的SRM 領(lǐng)導(dǎo)者正在優(yōu)先考慮彈性驅(qū)動(dòng)的活動(dòng)，例如實(shí)施補(bǔ)償控制和加強(qiáng)事件響應(yīng)計(jì)劃。與此同時(shí)，他們還為業(yè)務(wù)合作伙伴提供有針對(duì)性的支持，以告知第三方簽約并影響控制決策。

受關(guān)注原因：

SRM 領(lǐng)導(dǎo)者越來(lái)越多地將資源投入到合同前的盡職調(diào)查活動(dòng)中。與 2021 年相比，近三分之二 (65%) 參與 2023 年 Gartner 重新構(gòu)想第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)調(diào)查的受訪者表示增加了預(yù)算，76% 的人在第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃上花費(fèi)了更多時(shí)間。

盡管本意是好的，但這種不斷增長(zhǎng)的投資并沒(méi)有產(chǎn)生預(yù)期的結(jié)果。在同一項(xiàng)調(diào)查中，4-5 % 的受訪者表示，與兩年前相比，第三方網(wǎng)絡(luò)安全相關(guān)事件造成的業(yè)務(wù)中斷數(shù)量有所增加。SRM 領(lǐng)導(dǎo)者對(duì)傳統(tǒng) TPCRM 實(shí)踐在保護(hù)企業(yè)免受第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)方面的低效感到失望，因此正在尋找替代方案來(lái)提供更好的投資回報(bào)。

趨勢(shì)影響：

采用彈性驅(qū)動(dòng)、資源高效的 TPCRM 方法的組織已經(jīng)取得了切實(shí)的成功。他們超出執(zhí)行領(lǐng)導(dǎo)者對(duì)最大限度地減少第三方事件影響的預(yù)期的可能性是其兩倍多。他們還取得了更好的業(yè)務(wù)成果：在采用這種 TPCRM 方法的受訪者組織中，近 80% 在推出新數(shù)字化計(jì)劃的速度方面領(lǐng)先于同行。

想要采用這種方法的 SRM 領(lǐng)導(dǎo)者必須認(rèn)識(shí)到：

業(yè)務(wù)優(yōu)先級(jí)會(huì)影響 TPCRM 的工作，反之亦然。企業(yè)領(lǐng)導(dǎo)者對(duì)于 TPCRM 的成功至關(guān)重要。通過(guò)與他們接觸以了解他們的優(yōu)先事項(xiàng)，SRM 領(lǐng)導(dǎo)者能夠闡明所涉及的價(jià)值并調(diào)整計(jì)劃。同時(shí)，這種參與使企業(yè)能夠做出更好的基于風(fēng)險(xiǎn)的決策，并促進(jìn)實(shí)施可提供彈性的安全控制。

TPCRM 需要通力協(xié)作。著眼于安全團(tuán)隊(duì)的資源效率，有效的 SRM 領(lǐng)導(dǎo)者認(rèn)識(shí)到 TPCRM 需要與在第三方風(fēng)險(xiǎn)管理（即采購(gòu)、法律和企業(yè)風(fēng)險(xiǎn)管理）中發(fā)揮作用的所有風(fēng)險(xiǎn)職能部門(mén)建立合作伙伴關(guān)系。必須共同制定政策、程序和實(shí)踐，以確�？缏毮艿囊恢滦圆⒆畲笙薅鹊販p少工作流程中的摩擦。例如，初始網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分類(lèi)需要納入采購(gòu)流程。這種方法有助于確保網(wǎng)絡(luò)安全團(tuán)隊(duì)的專(zhuān)業(yè)知識(shí)應(yīng)用于對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)結(jié)果影響最大的計(jì)劃。

關(guān)鍵的第三方是你的盟友。SRM 領(lǐng)導(dǎo)者必須將其參與策略從監(jiān)管轉(zhuǎn)向與第三方合作。這將有助于確保關(guān)鍵第三方接觸的所有企業(yè)最有價(jià)值的資產(chǎn)（例如材料數(shù)據(jù)、網(wǎng)絡(luò)和業(yè)務(wù)流程）得到持續(xù)保護(hù)。建立互利關(guān)系可以提高透明度，促進(jìn)第三方實(shí)施控制，并在發(fā)生網(wǎng)絡(luò)安全事件時(shí)改善協(xié)作。

行動(dòng)建議：

加強(qiáng)針對(duì)構(gòu)成最高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的第三方活動(dòng)的應(yīng)急計(jì)劃。創(chuàng)建特定于第三方的事件手冊(cè)，進(jìn)行桌面練習(xí)并定義明確的退出策略，例如及時(shí)撤銷(xiāo)訪問(wèn)和銷(xiāo)毀數(shù)據(jù)。

通過(guò)提高盡職調(diào)查的效率，將資源重新分配給彈性驅(qū)動(dòng)的活動(dòng)。不要廣泛定制風(fēng)險(xiǎn)調(diào)查問(wèn)卷，而應(yīng)使用行業(yè)標(biāo)準(zhǔn)風(fēng)險(xiǎn)調(diào)查問(wèn)卷。投資自動(dòng)化技術(shù)，幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)大規(guī)模分析問(wèn)卷答復(fù)。

與重要的第三方建立互惠互利的關(guān)系。在高度互聯(lián)的環(huán)境中，供應(yīng)商的風(fēng)險(xiǎn)也是您的風(fēng)險(xiǎn)。幫助 SRM 領(lǐng)導(dǎo)者成熟符合 SRM 領(lǐng)導(dǎo)者的利益，這樣他們就可以更好地維護(hù)企業(yè)。首先，制定安全要求基線，以評(píng)估供應(yīng)商在風(fēng)險(xiǎn)管理實(shí)踐方面的成熟度。其次，與能夠訪問(wèn)您的關(guān)鍵資產(chǎn)（例如系統(tǒng)、數(shù)據(jù)集、網(wǎng)絡(luò)和業(yè)務(wù)流程）的不太成熟的供應(yīng)商合作，與他們分享事件管理的最佳實(shí)踐，并建議管理風(fēng)險(xiǎn)的控制措施。

趨勢(shì)4、隱私驅(qū)動(dòng)的應(yīng)用和數(shù)據(jù)解耦，以增強(qiáng)碎片化世界中的運(yùn)營(yíng)

戰(zhàn)略規(guī)劃假設(shè)：

到 2025 年，10% 的全球企業(yè)將運(yùn)營(yíng)多個(gè)受特定主權(quán)數(shù)據(jù)戰(zhàn)略約束的離散業(yè)務(wù)部門(mén)，從而在相同業(yè)務(wù)價(jià)值的情況下使其業(yè)務(wù)成本增加一倍或更多。

描述：

幾十年來(lái)一直依賴(lài)單租戶(hù)應(yīng)用程序的跨國(guó)公司 (MNC) 面臨著不斷增長(zhǎng)的合規(guī)性要求和業(yè)務(wù)中斷風(fēng)險(xiǎn)。這是由于民族主義隱私和數(shù)據(jù)保護(hù)以及本地化要求的不斷提高，導(dǎo)致企業(yè)應(yīng)用程序架構(gòu)和數(shù)據(jù)本地化實(shí)踐強(qiáng)制分散。具有前瞻性思維的組織正在通過(guò)規(guī)劃和實(shí)施各種級(jí)別的應(yīng)用程序和數(shù)據(jù)解耦策略來(lái)做出響應(yīng)。其中包括減少 IT 資源依賴(lài)性、采用模塊化和可組合架構(gòu)（包括行業(yè)云平臺(tái)），以及為高度監(jiān)管的市場(chǎng)隔離應(yīng)用程序、數(shù)據(jù)存儲(chǔ)庫(kù)和基礎(chǔ)設(shè)施。這有助于降低合規(guī)風(fēng)險(xiǎn)并創(chuàng)造競(jìng)爭(zhēng)優(yōu)勢(shì)。

受關(guān)注原因：

由于日益復(fù)雜的地緣政治風(fēng)險(xiǎn)和合規(guī)義務(wù)阻礙了全球一致的企業(yè)架構(gòu)，跨國(guó)運(yùn)營(yíng)變得更具挑戰(zhàn)性。與個(gè)人數(shù)據(jù)相關(guān)的“主權(quán)”考慮已演變?yōu)閭�(gè)人和關(guān)鍵業(yè)務(wù)信息的本地化要求。需求數(shù)量和范圍的擴(kuò)大促使跨國(guó)公司調(diào)整其云采用策略�？鐕�(guó)公司已轉(zhuǎn)向模塊化應(yīng)用程序架構(gòu)設(shè)計(jì)或在其全球總部對(duì)其集中式應(yīng)用（例如 ERP、CRM 以及數(shù)據(jù)和分析平臺(tái)）進(jìn)行解耦，以應(yīng)對(duì)其擁有大量業(yè)務(wù)運(yùn)營(yíng)的高風(fēng)險(xiǎn)市場(chǎng)。2022年Gartner 首席信息官和技術(shù)高管調(diào)查發(fā)現(xiàn)，7% 的受訪者已經(jīng)投資創(chuàng)建可組合企業(yè)，另有 61% 的受訪者預(yù)計(jì)到2024年將這樣做。

趨勢(shì)影響：

脫鉤工作對(duì)網(wǎng)絡(luò)安全和數(shù)據(jù)安全的影響涉及：

監(jiān)管合規(guī)性。由于目標(biāo)地區(qū)的新法規(guī)提出了新的且常常相互沖突的要求，合規(guī)工作和審計(jì)的復(fù)雜性大大增加。

數(shù)據(jù)遷移和集成實(shí)踐。應(yīng)用程序和數(shù)據(jù)存儲(chǔ)的解耦可能會(huì)導(dǎo)致隔離和互操作性挑戰(zhàn)，從而降低信息保真度并阻礙業(yè)務(wù)連續(xù)性和創(chuàng)新。跨國(guó)公司可以整合邊緣操作和可組合架構(gòu)來(lái)緩解其中一些挑戰(zhàn)。

數(shù)據(jù)架構(gòu)和存儲(chǔ)。數(shù)據(jù)本地化要求正在導(dǎo)致應(yīng)用程序和數(shù)據(jù)托管的快速發(fā)展，這進(jìn)一步擴(kuò)大了攻擊面。與此同時(shí)，需要重新構(gòu)想數(shù)據(jù)訪問(wèn)和威脅管理編排，因?yàn)閷?duì)數(shù)據(jù)本地化的相同要求使得從一個(gè)中心位置執(zhí)行此類(lèi)活動(dòng)變得困難。

安全的開(kāi)發(fā)實(shí)踐。隨著應(yīng)用程序的改進(jìn)，出現(xiàn)了將安全要求“融入”開(kāi)發(fā)實(shí)踐的機(jī)會(huì)，而不是后來(lái)“附加”。如果應(yīng)用需要解耦，不同轄區(qū)之間的安全標(biāo)準(zhǔn)可能會(huì)有所不同。因此，如果存在此類(lèi)差異，則需要在開(kāi)發(fā)應(yīng)用程序時(shí)對(duì)它們進(jìn)行協(xié)調(diào)。

行動(dòng)建議：

與業(yè)務(wù)、IT 和法律團(tuán)隊(duì)持續(xù)合作，為組織已運(yùn)營(yíng)的國(guó)家和計(jì)劃擴(kuò)展的國(guó)家制定數(shù)據(jù)本地化要求。法律部門(mén)必須識(shí)別任何不合規(guī)和法律沖突的情況，并制定聯(lián)合制定的緩解策略，其中包括成本效益分析。

維護(hù)數(shù)據(jù)清單和地圖，以識(shí)別符合本地化要求的信息資產(chǎn)。優(yōu)先投資能夠持續(xù)發(fā)現(xiàn)云中敏感數(shù)據(jù)和個(gè)人數(shù)據(jù)的工具。這將為數(shù)據(jù)安全策略提供信息，并作為數(shù)據(jù)或信息治理設(shè)置的輸入，以最大限度地提高業(yè)務(wù)利益相關(guān)者的知識(shí)和支持。

將安全開(kāi)發(fā)實(shí)踐（例如安全軟件開(kāi)發(fā)框架 (SSDF) 和 LINDDUN 注重隱私的威脅建�？蚣苤械膶�(shí)踐）納入軟件開(kāi)發(fā)生命周期。通過(guò)采用模塊化方法來(lái)應(yīng)用安全架構(gòu)控制，以配合向可組合應(yīng)用程序、微服務(wù)架構(gòu)、云/容器部署等的整體轉(zhuǎn)變。

趨勢(shì)5、生成式人工智能引發(fā)短期質(zhì)疑，但激發(fā)長(zhǎng)期希望

戰(zhàn)略規(guī)劃假設(shè)：

到 2025 年，生成式 AI 將導(dǎo)致保護(hù)其安全所需的網(wǎng)絡(luò)安全資源激增，導(dǎo)致應(yīng)用程序和數(shù)據(jù)安全方面的支出增加超過(guò) 15%。

描述：

ChatGPT 等大型語(yǔ)言模型 (LLM) 應(yīng)用程序已將生成式人工智能 (GenAI) 提上議程，納入許多業(yè)務(wù)、IT 和網(wǎng)絡(luò)安全路線圖。GenAI 一詞描述了從數(shù)據(jù)和模型工件的表示中學(xué)習(xí)以生成新工件的技術(shù)。

GenAI引入了需要保護(hù)的新攻擊面。這需要改變應(yīng)用程序和數(shù)據(jù)安全實(shí)踐以及用戶(hù)監(jiān)控。GenAI 還將改變網(wǎng)絡(luò)安全市場(chǎng)的動(dòng)態(tài)。

GenAI正在以多種方式影響 SRM 領(lǐng)導(dǎo)者：

直接且緊急：首先，需要解決 ChatGPT 不受管理和不受控制的使用，以最大程度地降低風(fēng)險(xiǎn)。最值得注意的問(wèn)題是在第三方 GenAI 應(yīng)用程序中使用機(jī)密數(shù)據(jù)，以及使用未經(jīng)審查的生成內(nèi)容可能導(dǎo)致的版權(quán)侵權(quán)和品牌損害。很快，業(yè)務(wù)計(jì)劃推動(dòng)對(duì)保護(hù) GenAI 應(yīng)用的需求，為傳統(tǒng)應(yīng)用安全保護(hù)增加了新的攻擊面。

直接且大肆宣傳為緊迫：網(wǎng)絡(luò)安全提供商發(fā)布了一波雙曲線人工智能公告，旨在激發(fā)人們對(duì) GenAI 可能做的事情的興趣。我們已經(jīng)看到 GenAI 功能用于安全運(yùn)營(yíng)和應(yīng)用安全，但尚未觀察到網(wǎng)絡(luò)安全產(chǎn)品直接使用 GenAI 技術(shù)來(lái)檢測(cè)或預(yù)防威脅。

間接且可怕：隨著 SRM 領(lǐng)導(dǎo)者對(duì) 2024 年的計(jì)劃，由于隱私問(wèn)題和威脅行為者獲得了 LLM 技術(shù)，他們正在提出有關(guān)新風(fēng)險(xiǎn)和威脅的合理問(wèn)題。他們需要忽略“恐懼、不確定性和懷疑”，并通過(guò)監(jiān)控現(xiàn)有安全控制中的檢測(cè)性能偏差，并加倍加強(qiáng)彈性和暴露管理舉措，應(yīng)對(duì)GenAI 可能導(dǎo)致的威脅環(huán)境中不可預(yù)測(cè)的變化。

間接和潛在：隨著組織內(nèi)越來(lái)越多的團(tuán)隊(duì)抓住機(jī)會(huì)將 GenAI 功能集成到其系統(tǒng)中，網(wǎng)絡(luò)安全團(tuán)隊(duì)將必須不斷適應(yīng)流程的變化。例如，人力資源團(tuán)隊(duì)可能會(huì)將 GenAI 納入招聘流程，采購(gòu)團(tuán)隊(duì)可能在選擇或續(xù)簽產(chǎn)品合同時(shí)使用 GenAI。即將出臺(tái)的法規(guī)和合規(guī)要求也將影響安全團(tuán)隊(duì)。

受關(guān)注原因：

GenAI的使用增加是不可避免的。在2024 年Gartner CIO 和技術(shù)高管調(diào)查中，只有 3% 的受訪者表示他們對(duì) GenAI 不感興趣。SRM 領(lǐng)導(dǎo)者如果推遲采用 GenAI 應(yīng)用程序的新安全實(shí)踐，或者忽略 GenAI 的安全用例（即使基于當(dāng)今的基本實(shí)現(xiàn)和示例），則可能會(huì)在其他公司效仿時(shí)失去其組織的競(jìng)爭(zhēng)優(yōu)勢(shì)。同一項(xiàng)調(diào)查發(fā)現(xiàn)，三分之一 (34%) 的組織計(jì)劃在未來(lái) 12 個(gè)月內(nèi)部署 Gen AI 。

SRM領(lǐng)導(dǎo)者還需要為快速發(fā)展做好準(zhǔn)備，因?yàn)?ChatGPT 等 LLM 應(yīng)用程序只是 GenAI 顛覆的開(kāi)始。多模式 GenAI（涉及不同類(lèi)型數(shù)據(jù)的訓(xùn)練模型）已經(jīng)將 GenAI 用例的范圍擴(kuò)展到文本之外。“大型動(dòng)作模型”——可以自動(dòng)執(zhí)行動(dòng)作的基礎(chǔ)模型——也即將出現(xiàn)。

趨勢(shì)影響：

安全團(tuán)隊(duì)定期證明其適應(yīng)范式變化的能力。然而，旨在保護(hù) GenAI 應(yīng)用安全的新興安全工具（例如，它們的模型和提示）的不成熟，加上 GenAI 應(yīng)用架構(gòu)的動(dòng)態(tài)變化，使得開(kāi)發(fā)最佳實(shí)踐和提出建議變得困難。

GenAI的炒作縮短了安全領(lǐng)導(dǎo)者的時(shí)間范圍。他們陷入了不得不對(duì)整個(gè)組織中發(fā)生的許多 GenAI 計(jì)劃做出緊急反應(yīng)的境地——這與企業(yè)開(kāi)始遷移到云時(shí)的情況類(lèi)似。SRM 領(lǐng)導(dǎo)者不能等到一切穩(wěn)定下來(lái)才準(zhǔn)備和計(jì)劃。

在網(wǎng)絡(luò)安全實(shí)踐中，安全運(yùn)營(yíng)和應(yīng)用程序安全是提供商通過(guò)使用 GenAI 添加功能的兩個(gè)主要領(lǐng)域。早期的實(shí)現(xiàn)采用助手的形式，本質(zhì)上是一個(gè)旨在回答問(wèn)題的交互式提示。太多的此類(lèi)實(shí)施可能很快就會(huì)產(chǎn)生“即時(shí)疲勞”，因此與 GenAI 的交互需要取得進(jìn)展。我們還預(yù)計(jì)使用經(jīng)過(guò)專(zhuān)門(mén)訓(xùn)練的模型的新用例很快就會(huì)出現(xiàn)。

行動(dòng)建議：

AI消費(fèi)：對(duì)第三方 GenAI 應(yīng)用程序和現(xiàn)有應(yīng)用程序中嵌入的 GenAI 功能的新用例進(jìn)行工業(yè)化盤(pán)點(diǎn)、監(jiān)控和管理。將 IT 和軟件供應(yīng)鏈依賴(lài)性納入風(fēng)險(xiǎn)評(píng)估。

提供商和技術(shù)選擇要求：更新這些要求以解決隱私、版權(quán)、可追溯性和可解釋性挑戰(zhàn)。為進(jìn)入組織的基于 GenAI 的產(chǎn)品制定政策并進(jìn)行監(jiān)督，以便想要使用該技術(shù)的內(nèi)部團(tuán)隊(duì)能夠理解一套商定的協(xié)調(diào)政策。

AI 應(yīng)用程序的安全性：更新應(yīng)用程序和數(shù)據(jù)安全實(shí)踐以集成新的攻擊面，例如用于檢測(cè) AI 模型的提示或編排層。評(píng)估支持人工智能信任、風(fēng)險(xiǎn)和安全管理 (TRiSM) 框架的技術(shù)。

生成式網(wǎng)絡(luò)安全人工智能：在將 GenAI 集成到網(wǎng)絡(luò)安全計(jì)劃之前運(yùn)行概念驗(yàn)證，從應(yīng)用程序安全和安全操作開(kāi)始。旨在增強(qiáng)人類(lèi)的工作，而不是取代他們，并確保新工具在自身改進(jìn)的同時(shí)，還能增加團(tuán)隊(duì)的知識(shí)。

威脅形勢(shì)的變化：監(jiān)控現(xiàn)有安全控制的檢測(cè)準(zhǔn)確性和總體性能的下降。確保能夠獲得有關(guān)不斷變化的威脅形勢(shì)的正確情報(bào)。承認(rèn)并傳達(dá)，未來(lái) GenAI 攻擊的場(chǎng)景規(guī)劃很棘手，而且可能不是最有利可圖的資源利用方式。

趨勢(shì)6、安全行為和安全文化計(jì)劃日益受到關(guān)注，以減少人為安全風(fēng)險(xiǎn)

戰(zhàn)略規(guī)劃假設(shè)：

到 2025 年，40% 的網(wǎng)絡(luò)安全項(xiàng)目將部署社會(huì)行為原則（例如助推技術(shù)）來(lái)影響整個(gè)組織的安全文化，而 2021 年這一比例還不到 5%。

到 2027 年，50% 的大型企業(yè) CISO 將采用以人為本的安全設(shè)計(jì)實(shí)踐，以最大限度地減少網(wǎng)絡(luò)安全引起的摩擦并最大限度地提高控制采用率。

描述：

安全行為和文化計(jì)劃 (SBCP) 封裝了一種企業(yè)范圍內(nèi)的方法，可最大程度地減少與員工行為（無(wú)論是無(wú)意的還是故意的）相關(guān)的網(wǎng)絡(luò)安全事件。

SBCP 的主要目標(biāo)是改變行為。它涵蓋傳統(tǒng)實(shí)踐，例如意識(shí)培訓(xùn)和網(wǎng)絡(luò)釣魚(yú)模擬，以及一系列影響行為的學(xué)科，包括：

組織變革管理。

以人為本的用戶(hù)體驗(yàn)（UX）設(shè)計(jì)。

開(kāi)發(fā)安全運(yùn)營(yíng)。

SBCP 還考慮一系列影響程序設(shè)計(jì)的因素，并鼓勵(lì)基于平臺(tái)的架構(gòu)，以幫助：

降低員工對(duì)社會(huì)工程的敏感度并提高他們?cè)谑艿焦�擊時(shí)的反應(yīng)。

改進(jìn)安全控制的采用。

最大限度地減少系統(tǒng)采購(gòu)過(guò)程中引入的漏洞。

在不增加安全風(fēng)險(xiǎn)的情況下制定敏捷的、業(yè)務(wù)主導(dǎo)的數(shù)字決策。

受關(guān)注原因：

客戶(hù)和供應(yīng)商已經(jīng)認(rèn)識(shí)到，普遍只注重提高員工的網(wǎng)絡(luò)安全意識(shí)，這在很大程度上無(wú)法有效減少因員工行為而導(dǎo)致的安全事件的數(shù)量。2022年Gartner 安全行為驅(qū)動(dòng)因素調(diào)查發(fā)現(xiàn)：

69% 的受訪員工承認(rèn)在過(guò)去 12 個(gè)月內(nèi)故意繞過(guò)安全控制。

93% 的員工知道他們的行為會(huì)增加組織的風(fēng)險(xiǎn)，但還是采取了這些行動(dòng)。

GenAI的民主化加劇了這一挑戰(zhàn)，因?yàn)樗�使員工可以不受限制地訪問(wèn)強(qiáng)大的技術(shù)功能，如果不小心使用，可能會(huì)導(dǎo)致數(shù)據(jù)泄露。

自 Gartner 于 2022 年推出 SBCP 概念和相關(guān)的 PIPE（實(shí)踐、影響、平臺(tái)、推動(dòng)者）框架以來(lái)，針對(duì)該主題向 Gartner 客戶(hù)咨詢(xún)服務(wù)的請(qǐng)求增加了四倍多。SRM 領(lǐng)導(dǎo)者認(rèn)識(shí)到，將重點(diǎn)從提高意識(shí)轉(zhuǎn)向促進(jìn)行為改變將有助于降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。此外，這種轉(zhuǎn)變使 SRM 領(lǐng)導(dǎo)者能夠應(yīng)對(duì)“安全疲勞”、控制摩擦以及無(wú)論風(fēng)險(xiǎn)如何優(yōu)先考慮速度和利潤(rùn)的組織文化等挑戰(zhàn)。領(lǐng)先的供應(yīng)商正在做出響應(yīng)并快速轉(zhuǎn)變解決方案，以支持行為改變并增強(qiáng)客戶(hù)企業(yè)文化的安全意識(shí)。

趨勢(shì)影響：

桑坦德銀行和“SevenHills”等已采用 SBCP 相關(guān)實(shí)踐的組織已經(jīng)看到：

提高員工對(duì)安全控制的采用。

減少不安全行為。

速度和敏捷性提高。

當(dāng)員工有能力做出獨(dú)立的網(wǎng)絡(luò)風(fēng)險(xiǎn)決策時(shí)，可以更有效地利用網(wǎng)絡(luò)安全資源。

當(dāng)前的投資往往不足以實(shí)現(xiàn)上述成果。2022 年Gartner網(wǎng)絡(luò)安全意識(shí)調(diào)查發(fā)現(xiàn)，雖然 84% 的受訪組織表示其意識(shí)計(jì)劃的主要目標(biāo)是改變行為，但 80% 的組織擁有的全職員工 (FTE) 不足，50%與他們的意識(shí)計(jì)劃相關(guān)的FTE 低于 0.6。

為了執(zhí)行有效的 SBCP，SRM 領(lǐng)導(dǎo)者需要更多的FTE容量和能力、更加以平臺(tái)為中心的技術(shù)架構(gòu)以及提高項(xiàng)目設(shè)計(jì)的復(fù)雜性。鑒于對(duì)整體企業(yè)方法的要求，與傳統(tǒng)的意識(shí)活動(dòng)相比，SBCP 還需要整個(gè)組織內(nèi)更多的高級(jí)管理人員支持和更多的時(shí)間投入。因此，毫不奇怪的是，在接受 Gartner 另一項(xiàng)調(diào)查的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者中，有 68% 的人表示，他們發(fā)現(xiàn)為 SBCP 獲得高管支持比之前的安全意識(shí)活動(dòng)更具挑戰(zhàn)性。16盡管如此，組織高級(jí)管理人員的明顯和持續(xù)的倡導(dǎo)對(duì)于優(yōu)化該計(jì)劃提供顯著改進(jìn)的安全行為的機(jī)會(huì)以及根深蒂固更具安全意識(shí)的企業(yè)文化至關(guān)重要。

行動(dòng)建議：

通過(guò)定期審查過(guò)去網(wǎng)絡(luò)安全事件的可靠樣本，確定與不安全員工行為相關(guān)的網(wǎng)絡(luò)安全事件的數(shù)量和類(lèi)型，將 SBCP 的工作重點(diǎn)放在最危險(xiǎn)的員工行為上。

通過(guò)采用 Gartner PIPE 框架，使用適合可用資金和資源的可擴(kuò)展方法，指導(dǎo)有效且高效地實(shí)施 SBCP。

通過(guò)使用結(jié)果驅(qū)動(dòng)、以行為為中心的指標(biāo)來(lái)幫助向執(zhí)行利益相關(guān)者和董事會(huì)展示 SBCP 的業(yè)務(wù)價(jià)值，從而培養(yǎng)更高水平的持續(xù)和可見(jiàn)的執(zhí)行支持。

趨勢(shì)7、網(wǎng)絡(luò)安全效果驅(qū)動(dòng)的指標(biāo)彌合董事會(huì)溝通偏差

描述：

網(wǎng)絡(luò)安全結(jié)果驅(qū)動(dòng)指標(biāo)（ODM ）是具有特殊屬性的運(yùn)營(yíng)指標(biāo)——它們使網(wǎng)絡(luò)安全的利益相關(guān)者能在網(wǎng)絡(luò)安全投資和安全保護(hù)級(jí)別之間劃清界限。ODM對(duì)于制定可防御的網(wǎng)絡(luò)安全投資策略至關(guān)重要。它們以簡(jiǎn)單的語(yǔ)言反映了具有強(qiáng)大屬性的商定保護(hù)級(jí)別，以便：

提供可信且合理的風(fēng)險(xiǎn)偏好表達(dá)，支持直接投資。

能夠向沒(méi)有技術(shù)背景的非 IT 管理人員進(jìn)行解釋。

充當(dāng)支持直接投資以改變保護(hù)水平的價(jià)值杠桿。

ODM 協(xié)助解決許多幾十年來(lái)一直存在問(wèn)題的任務(wù)。例如，它們可以幫助：

制定業(yè)務(wù)決策以接受第三方風(fēng)險(xiǎn)而不承擔(dān)責(zé)任。

支持 SRM 領(lǐng)導(dǎo)者使用多個(gè)半自主操作單元來(lái)管理安全保護(hù)級(jí)別，同時(shí)保持自主性。

支持并購(gòu)中“買(mǎi)方”的網(wǎng)絡(luò)安全盡職調(diào)查。

向高管解釋重大網(wǎng)絡(luò)事件，并指導(dǎo)具體投資來(lái)修復(fù)這些事件。

支持透明度，以教育高管、業(yè)務(wù)線和公司職能部門(mén)了解不適當(dāng)或漫不經(jīng)心的風(fēng)險(xiǎn)接受情況。

暴露矩陣管理問(wèn)題，例如IT 團(tuán)隊(duì)在修補(bǔ)問(wèn)題中所扮演的角色，而安全組織通常負(fù)責(zé)解決這些問(wèn)題。

受關(guān)注原因：

2023年 Gartner 網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者演變調(diào)查向首席信息安全官 (CISO) 提出了以下問(wèn)題：“不斷變化的業(yè)務(wù)目標(biāo)對(duì)您的網(wǎng)絡(luò)安全戰(zhàn)略有何影響？”對(duì)此，60% 的人表示有一些影響或重大影響。當(dāng)業(yè)務(wù)發(fā)生轉(zhuǎn)變時(shí)，我們需要能夠以可衡量且可防御的方式闡明剩余風(fēng)險(xiǎn)的變化。盡管對(duì)網(wǎng)絡(luò)安全人員、流程和技術(shù)進(jìn)行了大量投資，但網(wǎng)絡(luò)安全事件對(duì)跨部門(mén)組織的頻率和負(fù)面影響仍在持續(xù)上升。這削弱了董事會(huì)成員和 C 級(jí)領(lǐng)導(dǎo)者對(duì)其網(wǎng)絡(luò)安全組織戰(zhàn)略的信心。美國(guó)證券交易委員會(huì) (SEC)的新監(jiān)管、歐盟第二版網(wǎng)絡(luò)和信息系統(tǒng)指令 (NIS2) 以及澳大利亞證券和投資委員會(huì) (ASIC) 的最新信號(hào)凸顯了政府對(duì)高管持續(xù)施加的壓力，要求他們滿(mǎn)足這一要求需要。

SRM 領(lǐng)導(dǎo)者繼續(xù)努力傳達(dá)網(wǎng)絡(luò)安全投資的價(jià)值，超越監(jiān)管合規(guī)性和“縮小功能和技術(shù)成熟度方面的偏差”的重要性，而這兩者與保護(hù)都沒(méi)有有意義的相關(guān)性。將網(wǎng)絡(luò)安全投資與商業(yè)價(jià)值聯(lián)系起來(lái)的傳統(tǒng)方法同樣有限。支出不等于保護(hù)。網(wǎng)絡(luò)風(fēng)險(xiǎn)量化仍處于起步階段，成本高昂，并且僅支持廣泛的戰(zhàn)略決策。熱圖是非常主觀的。

組織正在尋求一種衡量網(wǎng)絡(luò)安全價(jià)值的方法，該方法能夠與高管產(chǎn)生共鳴，并支持符合業(yè)務(wù)需求的實(shí)際投資決策。ODM 越來(lái)越多地被視為最有前途的候選者之一。

趨勢(shì)影響：

ODM改變網(wǎng)絡(luò)安全治理，以支持通過(guò)保護(hù)級(jí)別協(xié)議 (PLA)與非 IT 高管直接談判資金和所需的保護(hù)級(jí)別。

管理結(jié)果取代了與高管討論工具和技術(shù)的任何需要，同時(shí)在交付方法方面保持完全的靈活性。

ODM 提供了“風(fēng)險(xiǎn)偏好”的另一種定義，該定義較少涉及接受損失的意愿，而更多涉及實(shí)現(xiàn)商定的保護(hù)水平以及證明是否正在實(shí)現(xiàn)的愿望。

ODM 使 SRM 領(lǐng)導(dǎo)者能夠重新設(shè)定他們的責(zé)任，這樣就不再是為了防止違規(guī)，而是為了“讓風(fēng)險(xiǎn)所有者保持在他們的風(fēng)險(xiǎn)偏好范圍內(nèi)”。

SRM 領(lǐng)導(dǎo)者必須鼓勵(lì)非 IT 領(lǐng)導(dǎo)者減少對(duì)威脅場(chǎng)景和基于可能性的投資理由的興趣，而更多地關(guān)注持續(xù)暴露的保護(hù)級(jí)別。

需要投資來(lái)準(zhǔn)備系統(tǒng)和流程，以便為 ODM 持續(xù)收集新數(shù)據(jù)。

行動(dòng)建議：

使用 Gartner 的工具：風(fēng)險(xiǎn)和安全性業(yè)務(wù)協(xié)調(diào)結(jié)果驅(qū)動(dòng)指標(biāo)目錄來(lái)選擇能夠全面了解當(dāng)前績(jī)效與企業(yè)最大風(fēng)險(xiǎn)的 ODM。

與業(yè)務(wù)線和公司職能領(lǐng)導(dǎo)者協(xié)商每個(gè) ODM 的保護(hù)級(jí)別（所需性能）。PLA 可能因運(yùn)營(yíng)組和部門(mén)而異。

使用 Gartner 的網(wǎng)絡(luò)安全商業(yè)價(jià)值基準(zhǔn)為利益相關(guān)者提供有關(guān) ODM 績(jī)效的外部視角。

開(kāi)始在董事會(huì)層面報(bào)告 ODM 績(jī)效，以支持董事會(huì)在監(jiān)督風(fēng)險(xiǎn)偏好管理和決策方面的作用。

趨勢(shì)8、去中心化：不斷發(fā)展的網(wǎng)絡(luò)安全運(yùn)營(yíng)模式

描述：

技術(shù)的獲取、創(chuàng)建和交付繼續(xù)從中央 IT 職能轉(zhuǎn)移到業(yè)務(wù)線。這種轉(zhuǎn)變打破了傳統(tǒng)的網(wǎng)絡(luò)安全運(yùn)營(yíng)模式。SRM 領(lǐng)導(dǎo)者正在調(diào)整網(wǎng)絡(luò)安全運(yùn)營(yíng)模式，以滿(mǎn)足自主、創(chuàng)新和敏捷性的業(yè)務(wù)需求。決策權(quán)正在變得分散，策略細(xì)節(jié)現(xiàn)在由邊緣擁有，一些治理正在集中化和正式化，以更好地支持邊緣的風(fēng)險(xiǎn)所有者，SRM 領(lǐng)導(dǎo)者角色正在演變?yōu)閮r(jià)值推動(dòng)者角色。

受關(guān)注原因：

企業(yè)使用技術(shù)的方式正在發(fā)生轉(zhuǎn)變：在 Gartner 調(diào)查中，三分之二 ( 67%) 的首席執(zhí)行官和高級(jí)業(yè)務(wù)主管表示希望直接在業(yè)務(wù)職能范圍內(nèi)完成更多技術(shù)工作。此外，許多企業(yè)正在經(jīng)歷數(shù)字化轉(zhuǎn)型和云遷移，將工作分散在遠(yuǎn)程或混合模式中，并面臨著將隱私、合規(guī)性和網(wǎng)絡(luò)安全納入業(yè)務(wù)運(yùn)營(yíng)的監(jiān)管壓力。因此，技術(shù)的獲取、創(chuàng)建和交付的責(zé)任正在從中央 IT 職能轉(zhuǎn)移到業(yè)務(wù)線、公司職能、融合團(tuán)隊(duì)甚至員工個(gè)人。

傳統(tǒng)的網(wǎng)絡(luò)安全運(yùn)營(yíng)模式無(wú)法適應(yīng)這一新現(xiàn)實(shí)。網(wǎng)絡(luò)安全需要與業(yè)務(wù)建立更緊密的聯(lián)系，以保持?jǐn)?shù)據(jù)資產(chǎn)的可見(jiàn)性并支持控制實(shí)施。自上而下的治理或控制將無(wú)法擴(kuò)展，因?yàn)楣ぷ髁鞒痰漠悩?gòu)性和技術(shù)所有權(quán)的分散意味著安全職能部門(mén)無(wú)法監(jiān)督每一個(gè)涉及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的決策。SRM領(lǐng)導(dǎo)者需要提高業(yè)務(wù)決策者的網(wǎng)絡(luò)素養(yǎng)和網(wǎng)絡(luò)判斷力，以便員工能夠?qū)⒕W(wǎng)絡(luò)安全考慮融入到日常工作中，并實(shí)施協(xié)作風(fēng)險(xiǎn)管理流程。

趨勢(shì)影響：

Gartner的研究表明，SRM 領(lǐng)導(dǎo)者正在采用各種策略來(lái)推動(dòng)安全運(yùn)營(yíng)模式的演進(jìn)：

從“中心化轉(zhuǎn)向去中心化”。這意味著集中和簡(jiǎn)化網(wǎng)絡(luò)安全監(jiān)督和協(xié)同決策，同時(shí)推動(dòng)分散資源所有者的自治和問(wèn)責(zé)制。先進(jìn)的 SRM 領(lǐng)導(dǎo)者認(rèn)識(shí)到，邊緣的本地化網(wǎng)絡(luò)判斷可以降低風(fēng)險(xiǎn)并支持創(chuàng)造業(yè)務(wù)價(jià)值。

策略治理集中化，同時(shí)推動(dòng)策略實(shí)施（例如標(biāo)準(zhǔn)和指南）更加靈活和本地化管理，以適應(yīng)邊緣的控制所有權(quán)。事實(shí)上，Gartner 調(diào)查的 45% 的 CISO 正在整合或減少策略，而不是增加策略。為了使策略對(duì)用戶(hù)更加友好，SRM 領(lǐng)導(dǎo)者及其團(tuán)隊(duì)現(xiàn)在正在與最終用戶(hù)共同制定策略，并為風(fēng)險(xiǎn)和數(shù)據(jù)所有者提供對(duì)特定標(biāo)準(zhǔn)和實(shí)施的更多控制。

創(chuàng)建新流程、添加新功能以支持新的運(yùn)營(yíng)模式。例如，在 Gartner 調(diào)查中，64% 的 CISO 創(chuàng)建了新的網(wǎng)絡(luò)安全流程，60% 在過(guò)去 24 個(gè)月內(nèi)創(chuàng)建了新的團(tuán)隊(duì)或職能。

SRM 領(lǐng)導(dǎo)者在轉(zhuǎn)變其角色和網(wǎng)絡(luò)安全運(yùn)營(yíng)模式方面發(fā)揮著主導(dǎo)作用。在接受 Gartner 調(diào)查的 CISO 中，至少有 85% 受訪者領(lǐng)導(dǎo)或共同領(lǐng)導(dǎo)了運(yùn)營(yíng)模式的變革，而不是接受變革。

行動(dòng)建議：

通過(guò)與風(fēng)險(xiǎn)和業(yè)務(wù)職能部門(mén)的利益相關(guān)者建立代表指導(dǎo)委員會(huì)，促進(jìn)協(xié)作、集中決策和網(wǎng)絡(luò)判斷（即員工自主做出風(fēng)險(xiǎn)知情決策的能力），并確保協(xié)作風(fēng)險(xiǎn)決策流程。

實(shí)施簡(jiǎn)化和標(biāo)準(zhǔn)化的網(wǎng)絡(luò)安全流程，包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)接受、異常管理和沖突解決，以提高協(xié)作和風(fēng)險(xiǎn)決策效率。

制定靈活的政策框架，允許資源所有者根據(jù)其特定需求定制網(wǎng)絡(luò)安全程序和控制措施。這可以增強(qiáng)風(fēng)險(xiǎn)管理的主人翁意識(shí)和責(zé)任感，同時(shí)保持政策合規(guī)性。

通過(guò)與業(yè)務(wù)利益相關(guān)者合作、促進(jìn)網(wǎng)絡(luò)判斷并使安全措施與組織的動(dòng)態(tài)需求保持一致，接受 SRM 領(lǐng)導(dǎo)者作為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)決策推動(dòng)者不斷變化的角色。

趨勢(shì)9、網(wǎng)絡(luò)安全再培訓(xùn)，讓組織面向未來(lái)

戰(zhàn)略規(guī)劃假設(shè)：

到 2026 年，50%的大型企業(yè)將使用敏捷學(xué)習(xí)作為主要的技能提升/再培訓(xùn)方法。

描述：

網(wǎng)絡(luò)安全人才短缺是長(zhǎng)期存在的全球問(wèn)題。僅在美國(guó)，合格的網(wǎng)絡(luò)安全專(zhuān)業(yè)人員只能滿(mǎn)足當(dāng)前需求的 70%，這是過(guò)去十年來(lái)的歷史最低水平。

勞動(dòng)力市場(chǎng)供需問(wèn)題無(wú)法由個(gè)別 SRM 領(lǐng)導(dǎo)人解決�？梢越鉀Q的是新出現(xiàn)的技能缺口。網(wǎng)絡(luò)安全團(tuán)隊(duì)所需的技能正在發(fā)生巨大變化，但網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者仍在繼續(xù)招聘?jìng)鹘y(tǒng)角色和技能。SRM 領(lǐng)導(dǎo)者必須通過(guò)重新培訓(xùn)現(xiàn)有人才和雇用具有新能力的新人才來(lái)重新培訓(xùn)他們的團(tuán)隊(duì)。

受關(guān)注原因：

SRM領(lǐng)導(dǎo)者面臨著大趨勢(shì)的融合，所有這些都會(huì)影響網(wǎng)絡(luò)安全團(tuán)隊(duì)蓬勃發(fā)展所需的技能。這些趨勢(shì)包括：

云采用。大多數(shù)組織現(xiàn)在都是云優(yōu)先（或云首選）實(shí)體。他們向云的遷移進(jìn)一步推動(dòng)了對(duì)底層基礎(chǔ)設(shè)施安全的抽象。

GenAI。GenAI 工具的快速崛起和普遍可用性改變了必須保護(hù)的技術(shù)和網(wǎng)絡(luò)安全團(tuán)隊(duì)將使用的工具。

運(yùn)營(yíng)模式轉(zhuǎn)型。網(wǎng)絡(luò)安全專(zhuān)業(yè)人員越來(lái)越需要與業(yè)務(wù)合作伙伴合作并通過(guò)業(yè)務(wù)合作伙伴合作，而不是單獨(dú)管理網(wǎng)絡(luò)安全實(shí)施。

供應(yīng)商整合。這意味著網(wǎng)絡(luò)安全團(tuán)隊(duì)必須管理更少的安全解決方案套件和供應(yīng)商關(guān)系。

威脅范圍的擴(kuò)大�，F(xiàn)在的威脅包括網(wǎng)絡(luò)物理系統(tǒng)、遠(yuǎn)程工作、GenAI 技術(shù)以及員工對(duì)低代碼/無(wú)代碼解決方案的使用。

增強(qiáng)的互聯(lián)勞動(dòng)力。為了使組織內(nèi)部的 GenAI 先驅(qū)成為可能，我們正在制定和實(shí)施戰(zhàn)略，以?xún)?yōu)化人類(lèi)員工的價(jià)值。

總的來(lái)說(shuō)，這些趨勢(shì)正在改變網(wǎng)絡(luò)安全團(tuán)隊(duì)所需的技能。對(duì)新技能的需求增長(zhǎng)速度將快于新角色、新認(rèn)證、新職位描述、新頭銜等的廣泛創(chuàng)建。因此，學(xué)習(xí)和發(fā)展解決方案、招聘平臺(tái)和人力資源實(shí)踐將落后于網(wǎng)絡(luò)安全的需求。

趨勢(shì)影響：

網(wǎng)絡(luò)安全團(tuán)隊(duì)需要新技能，其中許多技能尚未定義或標(biāo)準(zhǔn)化。SRM 領(lǐng)導(dǎo)者應(yīng)考慮以下影響：

“相鄰技能”將解決一些技能缺口。在人力資源實(shí)踐、職位描述模板以及認(rèn)證和培訓(xùn)服務(wù)趕上之前，對(duì)新興技能的需求將會(huì)增長(zhǎng)。SRM 領(lǐng)導(dǎo)者將需要招聘“相關(guān)技能”（內(nèi)部和外部），以大致滿(mǎn)足新興技能需求，以便駕馭上述大趨勢(shì)。

“軟”技能將勝過(guò)技術(shù)實(shí)力。風(fēng)險(xiǎn)決策和政策細(xì)節(jié)越來(lái)越多地掌握在網(wǎng)絡(luò)安全直接權(quán)限之外的邊緣。網(wǎng)絡(luò)安全團(tuán)隊(duì)需要更多的軟技能，例如商業(yè)頭腦、口頭溝通能力和同理心，以便與他人合作。這些技能可幫助網(wǎng)絡(luò)安全專(zhuān)業(yè)人員了解網(wǎng)絡(luò)風(fēng)險(xiǎn)如何影響業(yè)務(wù)成果、控制措施如何給業(yè)務(wù)帶來(lái)摩擦，以及如何通過(guò)談判獲得平衡網(wǎng)絡(luò)風(fēng)險(xiǎn)與其他考慮因素的結(jié)果。

新的挑戰(zhàn)需要新的技能。網(wǎng)絡(luò)安全團(tuán)隊(duì)將需要新技能，其中許多技能在過(guò)去幾年中并不存在。這些技能可能是全新網(wǎng)絡(luò)安全角色或增強(qiáng)現(xiàn)有角色的新技能的一部分。例如，數(shù)據(jù)科學(xué)家可能需要人工智能倫理方面的技能，安全意識(shí)管理者可能需要人類(lèi)心理學(xué)方面的技能。

行動(dòng)建議：

制定網(wǎng)絡(luò)安全勞動(dòng)力計(jì)劃。記錄新興技能的需求，并將其映射到當(dāng)前或新型的網(wǎng)絡(luò)安全角色。與網(wǎng)絡(luò)安全員工交流您的路線圖，以便他們了解自己的角色將如何演變，以及領(lǐng)導(dǎo)層將如何支持他們的持續(xù)發(fā)展和職業(yè)發(fā)展。

雇用未來(lái)，而不是過(guò)去。更新職位描述和外包 RFP，以反映預(yù)期的未來(lái)而不是過(guò)去的技能需求。

培養(yǎng)敏捷的學(xué)習(xí)文化。圍繞敏捷學(xué)習(xí)改進(jìn)網(wǎng)絡(luò)安全的學(xué)習(xí)和發(fā)展計(jì)劃。敏捷學(xué)習(xí)優(yōu)先考慮通過(guò)迭代、短時(shí)間爆發(fā)的實(shí)踐技能開(kāi)發(fā)，而不是基于瀑布的培訓(xùn)和認(rèn)證計(jì)劃。