安全和风险管理 (SRM) 领导者在根据九大行业趋势创建和实施网络安全计划时,必须重新考虑他们在技术和以人为本的元素之间的投资平衡。
以人为本的网络安全方法对于减少安全故障至关重要。
在控制设计和实施以及通过业务沟通和网络安全人才管理中关注人,将有助于改善业务风险决策和网络安全人员保留。
为了应对网络安全风险并维持有效的网络安全计划,SRM 领导者必须关注三个关键领域:
(1) 人员对于安全计划的成功和可持续性的重要作用;
(2) 技术安全能力,在整个组织的数字生态系统中提供更大的可见性和响应能力;
(3) 重组安全功能的运作方式,以在不损害安全性的情况下实现敏捷性。
以下九种趋势将对这三个领域的 SRM 领导者产生广泛影响:
趋势一:以人为本的安全设计
以人为本的安全设计优先考虑员工体验在控制管理生命周期中的作用。
到 2027 年,50% 的大型企业首席信息安全官 (CISO) 将采用以人为本的安全设计实践,以最大限度地减少网络安全引起的摩擦并最大限度地采用控制措施。
传统的安全意识计划未能减少不安全的员工行为。
首席信息安全官必须审查过去的网络安全事件,以确定网络安全引起的摩擦的主要来源,并确定他们可以在哪些方面通过更多以人为本的控制来减轻员工的负担,或者在没有显着降低风险的情况下取消增加摩擦的控制。
趋势 2:加强人员管理以实现安全计划的可持续性
传统上,网络安全领导者专注于改进支持其计划的技术和流程,而很少关注创造这些变化的人。采用以人为本的人才管理方法来吸引和留住人才的 CISO 的职能和技术成熟度有所提高。
到 2026 年,60% 的组织将从外部招聘转向从内部人才市场“悄悄招聘”,以应对系统性网络安全和招聘挑战。
趋势 3:转变网络安全运营模式以支持价值创造
技术正从中央 IT 职能转移到业务线、公司职能、融合团队和员工个人。
Gartner 的一项调查发现,41% 的员工从事某种技术工作,这一趋势预计将在未来五年内继续增长。
企业领导者现在普遍认为,网络安全风险是需要管理的首要业务风险,而不是需要解决的技术问题。支持和加速业务成果是网络安全的核心优先事项,但仍然是最大的挑战。
CISO 必须修改其网络安全的运营模型,以整合工作的完成方式。员工必须知道如何平衡许多风险,包括网络安全、财务、声誉、竞争和法律风险。
网络安全还必须通过根据业务成果和优先级衡量和报告成功与商业价值相关联。
趋势 4:威胁暴露管理
现代企业的攻击面复杂,容易产生疲劳。CISO 必须改进他们的评估实践,以通过实施持续威胁暴露管理 (CTEM) 计划来了解他们面临的威胁。
到 2026 年,根据 CTEM 计划优先考虑其安全投资的组织遭受的违规行为将减少三分之二。
CISO 必须不断改进他们的威胁评估实践,以跟上他们组织不断发展的工作实践,使用 CTEM 方法来评估不仅仅是技术漏洞。
趋势 5:身份结构免疫力
脆弱的身份基础设施是由身份结构中的不完整、配置错误或易受攻击的元素造成的。到 2027 年,身份结构免疫原则将阻止 85% 的新攻击,从而将违规的财务影响降低 80%。
身份结构免疫性不仅通过身份威胁和检测响应 (ITDR) 保护结构中现有的和新的 IAM 组件,而且还通过完成和正确配置它来加强它。
趋势 6:网络安全验证
网络安全验证汇集了用于验证潜在攻击者如何利用已识别威胁暴露的技术、流程和工具。网络安全验证所需的工具在自动化可重复和可预测的评估方面取得了重大进展,使攻击技术、安全控制和流程的定期基准成为可能。
到 2026 年,超过 40% 的组织(包括三分之二的中型企业)将依靠整合平台来运行网络安全验证评估。
趋势 7:网络安全平台整合
随着组织寻求简化操作,供应商正在围绕一个或多个主要网络安全领域整合平台。例如,身份安全服务可以通过结合治理、特权访问和访问管理功能的通用平台提供。
SRM 领导者需要不断盘点安全控制,以了解存在重叠的地方,并通过整合平台减少冗余。
趋势 8:可组合的业务需要可组合的安全性
组织必须从依赖单一系统转变为在其应用程序中构建模块化功能,以响应不断加快的业务变化步伐。可组合安全是一种将网络安全控制集成到架构模式中,然后在可组合技术实现中以模块化级别应用的方法。
到 2027 年,超过 50% 的核心业务应用程序将使用可组合架构构建,需要一种新方法来保护这些应用程序。
可组合安全性旨在保护可组合业务。使用可组合组件创建应用程序会引入未被发现的依赖关系。对于 CISO 来说,这是一个重要的机会,可以通过创建基于组件的、可重用的安全控制对象来设计嵌入隐私和安全性。
趋势 9:董事会扩大其在网络安全监督方面的能力
董事会对网络安全的日益关注受到网络安全明确级别问责制趋势的推动,包括加强董事会成员在其治理活动中的责任。网络安全领导者必须向董事会提供报告,证明网络安全计划对组织目标的影响。
SRM 领导者必须鼓励董事会积极参与网络安全决策制定。
作为战略顾问,为董事会采取的行动提供建议,包括预算分配和安全资源。