人们对隐私法、勒索软件攻击、信息物理系统和董事会审查的关注推动了安全和风险领导者的优先事项发展。

信息物理系统(包括为自动驾驶汽车或数字孪生等技术提供的结合了网络世界和物理世界的系统)的涌现为企业机构带来了另一种安全风险,而威胁行为体对这些系统的攻击方式是Gartner在未来几年将要重点预测的方向之一。 

下载电子书:Gartner 网络安全IT路线图

Gartner总监分析师Sam Olyaei在2021 Gartner IT Symposium/XPO?的演讲中说道:“我们现在又开始重蹈覆辙,认为现在和过去没有任何变化。但这种情况不能再继续下去了。我们需要不断发展我们的思维、理念、方案以及架构。”

安全和风险管理已经上升为企业机构董事会都需要关心的问题。安全漏洞的数量在不断增加,甚至变得越来越复杂,这刺激了更多的国家机构开始通过立法来保护消费者的权益。另外,安全问题现在还是做出商业决策前人们最先考虑的因素。

根据Gartner分析师预测,去中心化、监管和安全等问题的数量在未来几年会越来越多。因此,在制定未来一年的规划时,您可将如下战略规划假设纳入其中。

1.到2023年底,隐私法将保护世界上75%人口的个人信息。

《通用数据保护条例》(GDPR)是第一个旨在保护消费者隐私的重要立法,紧随其后的还有《巴西通用个人数据保护法》(LGPD)和《加州消费者隐私法案》(CCPA)。这些法律覆盖的范围十分广泛,因此,企业机构需要在不同的司法管辖区应对多个数据保护法规,而且客户将会希望了解企业机构收集的数据类型以及相关的数据用途。也就是说,隐私管理系统的自动化将成为企业机构的重点。首先,企业机构需要以GDPR为基础实现标准化的安全操作,然后再针对各个管辖区的法规进行调整。

2.到2024年,使用网络安全网格架构的企业机构能够将安全事件的财务影响平均减少90%。

现在,企业机构需要在不同的地方支持多种不同的技术,所以灵活的安全解决方案十分重要。而网络安全网格不仅创建了一个企业机构的全方位视图,还突破了传统的安全边界,甚至能够覆盖传统边界以外的身份,从而提高了远程办公的安全性。根据预测,相关需求将在未来两年内推动该技术的采用。

3.到2024年,30%的企业机构将使用由同一供应商在云端交付的安全网络网关(SWG)、云访问安全代理(CASB)、零信任网络访问(ZTNA)和防火墙即服务(FWaaS)功能。

目前,企业机构十分重视优化和整合。所以,通常管理着几十个工具的安全领导者计划将工具数量整合到10个以下。在这种情况下,SaaS将成为他们首选的交付方式,但如此一来,整合工作将增加硬件的采用时间。

4.到2025年,60%的企业机构将把网络安全风险作为决定第三方交易和商业往来的主要因素。

投资者,特别是风险投资者,正在使用网络安全风险作为评估相关机遇的一个关键因素;越来越多的企业机构在进行商业交易(包括进行并购和签订供应商合同)时,会考虑网络安全风险。因此,通过问卷调查或安全评级,这些人会对合作伙伴的网络安全项目提出更多的数据要求。

5.到2025年底,通过立法来规范勒索软件支付赎金、罚款和谈判的国家数量将上升到30%,而2021年这一数据还不到1%。

虽然目前有越来越多的法规可能适用于勒索软件支付赎金,但安全专家应在未来加大对该等支付的打击力度。其中,加密货币市场大多不受监管,支付勒索软件赎金会存在道德伦理、法律法规方面的问题,因此十分需要考虑相关做法的后果。而是否支付的决定应该由一个能够解决所有这些问题的跨职能团队做出。

6.到2025年,40%的董事会将设有一个专门的网络安全委员会,并由一名符合资格的董事会成员进行监督。

随着网络安全成为(并依旧是)董事会的重点,Gartner预计将来会出现董事会级别的网络安全委员会并实施更严格的监督和审查,从而增加了整个企业结构对网络安全风险的可见性。另外,这还需要一个新型的董事会报告方法,具体细节可能取决于董事会成员的特定背景和经验,但主要应集中在价值、风险和成本等方面上。

7.到2025年,70%的首席执行官将要求营造组织韧性文化,应对来自网络犯罪、恶劣天气事件、内乱和政治不稳定等共同威胁。

网络安全不应受到局限,还应考虑组织韧性以及更广泛的安全环境。数字化转型增加了威胁环境的复杂性,这将影响企业机构生产产品和提供服务的方式方法。因此,企业机构需要明确组织韧性和目标,并创建一个相关的网络风险清单。

8.到2025年,威胁行为体将成功地把操作技术环境变为武器,这将足以造成人员伤亡。

随着恶意软件从信息技术领域蔓延到操作技术领域,相关话题也逐渐从商业颠覆转移到人身伤害,后者的责任可能将由首席执行官承担。因此,企业机构应关注以资产为中心的信息物理系统,并确保成立相应的团队进行适当的管理。

关于Gartner

Gartner,Inc.(纽约证券交易所:IT)是全球领先的信息技术研究和顾问公司,也是标准普尔500指数包含的上市公司之一。Gartner为企业领导者提供必不可少的见解、建议和工具,以帮助他们达成其优先处理的关键事项及建设在未来能够取得成功的企业机构。

Gartner完美结合了专家主导、来源于从业者的资源和数据驱动的研究,使客户能够在最重要的问题上做出正确的决策。Gartner的客户遍及100多个国家的14,000个企业机构,覆盖各行各业、各种企业规模的主要职能部门。这些客户都深信Gartner是客观的资源提供者和重要合作伙伴。

欲了解更多Gartner如何帮助决策者推动企业未来发展,请访问Gartner中文网站