公司沒有可能導致公眾、乘客或工作人員受傷或失去生命的安全風險。所有安全目標都已實現(xiàn)并逐年改善。我們愿意接受可能導致經濟損失的風險。公司在運算性能網(wǎng)絡的可靠性和能力以及資產狀況方面只容忍低到中的總體風險。
首席信息安全官一直致力于說明根據(jù)風險作出決策的重要性,而且他們發(fā)現(xiàn)創(chuàng)建風險偏好聲明是讓企業(yè)機構保持IT風險管理與業(yè)務目標一致性的最有效工具。首席信息安全官可通過創(chuàng)建簡單、實用和務實的風險偏好聲明消除網(wǎng)絡安全團隊與各業(yè)務部門之間的文化脫節(jié)。Gartner預計,這將是2019年影響首席信息安全官的七大網(wǎng)絡安全和風險管理趨勢之一。
Gartner研究副總裁Peter Firstbrook在2019年Gartner安全與風險管理峰會(Gartner Security and Risk Management Summit 2019 inNational Harbor,MD)上表示:“這些重要趨勢突顯了安全生態(tài)系統(tǒng)正在發(fā)生戰(zhàn)略性轉變,而這些轉變目前尚未得到廣泛的認可,但是具有廣泛的行業(yè)影響力和巨大的顛覆潛力。這些發(fā)展趨勢使安全和風險管理領導者(SRM)能夠提高抵御能力、更好地支持業(yè)務目標并提升自身在企業(yè)機構中的地位。”
趨勢一:領先的安全和風險管理領導者正在創(chuàng)建與業(yè)務成果相關的務實風險偏好聲明,以更有效地吸引利益相關者。
根據(jù)Gartner客戶的詢問,安全和風險管理領導者所面臨的最嚴峻挑戰(zhàn)之一是無法與業(yè)務領導者進行有效溝通。盡管首席信息安全官參與戰(zhàn)略會議較多,但業(yè)務領導者往往無法判斷某項技術或某個項目是否具有過高的風險或者企業(yè)機構是否因為過度規(guī)避風險而錯失機會。
風險偏好聲明將業(yè)務目標和風險應對計劃相聯(lián)系,以便在承擔風險時向利益相關者和合作伙伴告知企業(yè)機構的意圖。風險偏好聲明必須明確、一致和具有相關性,并且必須為企業(yè)機構選擇正確的實現(xiàn)方式。
趨勢二:重新關注安全運營中心(SOC)的實施情況或成熟度,把重點放在威脅檢測和響應上。
由于網(wǎng)絡安全攻擊的復雜性和影響日益增加以及網(wǎng)絡安全工具產生警報的復雜性不斷提高,企業(yè)機構希望能夠建立或重新激活安全運營中心或者將這一功能外包。到2022年,50%的安全運營中心將轉變?yōu)榧闪耸录憫、威脅情報和威脅搜尋能力的現(xiàn)代安全運營中心,而在2015年,這一比例還不到10%。
企業(yè)機構正在投資更敏感的工具并專注于維持響應和檢測或預防之間的平衡。由于復雜的警報和工具數(shù)量增加,因此對于運營集中化和優(yōu)化的需求也在增加,這意味著安全運營中心如今已是一種業(yè)務資產。
趨勢三:領先的企業(yè)機構正在利用數(shù)據(jù)安全治理框架來確定數(shù)據(jù)安全投資的優(yōu)先級別。
數(shù)據(jù)安全不僅僅是一個技術問題。為了實現(xiàn)有效的數(shù)據(jù)安全,可能需要建立數(shù)據(jù)安全治理框架來獲得以數(shù)據(jù)為中心的藍圖;并通過該藍圖確認所有企業(yè)計算資產中的結構化和非結構化數(shù)據(jù)集并加以分類,同時制定數(shù)據(jù)安全策略。當安全和風險管理領導者確認了業(yè)務戰(zhàn)略和風險承受能力時,該框架就可以作為技術投資優(yōu)先級別指南。
趨勢四:受市場需求以及生物識別技術與強大的基于硬件認證技術的推動,“無密碼”認證正受到市場青睞。
無密碼認證是一個長期目標,但直到現(xiàn)在才開始真正受到市場的青睞。密碼會吸引攻擊者,并且易受到社會工程學、網(wǎng)絡釣魚、撞庫和惡意軟件等多種攻擊。
隨著新的無密碼標準的出現(xiàn)以及兼容無密碼身份驗證的設備數(shù)量日益增加,無密碼認證的普及率正在提高。生物識別技術因具有強大的身份識別能力而成為一項越來越受歡迎的“無密碼”技術。其他技術包括硬件令牌(hardware tokens)、電話令牌(phone as a token)、在線快速身份驗證(fast IDentity Online)和被動行為分析(analytics based on passive behaviors)。
趨勢五:越來越多的網(wǎng)絡安全產品供應商開始提供優(yōu)質的服務,幫助客戶獲得更直接的價值并協(xié)助客戶進行技能培訓。
全球空缺的網(wǎng)絡安全職位預計將從2018年的100萬個增加到2020年的150萬個。企業(yè)機構正在想方設法填補空缺的職位,但它們可能會發(fā)現(xiàn)即便是留住現(xiàn)有的員工也十分困難。與此同時,網(wǎng)絡安全軟件正在日益擴散和復雜化。一些技術,尤其是人工智能技術的運用,需要人類安全專家不斷進行監(jiān)控或調查。
可能在不久之后,就沒有足夠的技術人員來使用這些產品。因此,越來越多的供應商開始提供優(yōu)質的服務,將產品與實施、配置和長期運營服務相結合。這意味著供應商可以幫助客戶從工具中獲得更直接的價值,并且企業(yè)機構可以提升網(wǎng)絡管理員的技能水平。
趨勢六:由于云已成為主流計算平臺,因此領先的企業(yè)機構正在投資云安全能力并使這項能力變得更加成熟。
隨著越來越多的企業(yè)機構開始使用云平臺,網(wǎng)絡安全團隊將會遇到更加多樣和復雜的云安全挑戰(zhàn)。為了應對這個快速變化的環(huán)境,領先的企業(yè)機構正在建立云卓越技術中心團隊并對人員、流程和工具加以投資。云訪問安全代理(CASB)、云安全狀態(tài)管理(CSPM)和云工作負載保護平臺(CWPP)等工具能夠提供多重云安全能力來應對風險,但企業(yè)機構仍須對人員和流程進行投資,例如采用安全開發(fā)運維(SecDevOps)的工作方式等。
趨勢七:持續(xù)自適應風險與信任評估網(wǎng)絡安全策略開始出現(xiàn)在更傳統(tǒng)的網(wǎng)絡安全市場中。
持續(xù)自適應風險與信任評估(CARTA)是一種安全策略方法。該策略方法承認沒有完美的保護方法,因此需要隨時隨地調整安全策略。局域網(wǎng)網(wǎng)絡安全和電子郵件安全這兩個傳統(tǒng)市場正在開始采用持續(xù)自適應風險與信任評估的思維模式,側重于周界內檢測以及檢測與響應能力。