塑造和增强中国网络安全发展趋势的因素包括网络安全的实践方式、组织结构、技术本地化和相关法规。本文重点介绍了会对中国首席信息官(CIO)及其安全团队的战略和投资决策造成影响的七个关键趋势。
机遇
投资改善网络安全流程、提高相关技能和技术仍然是CIO和其他安全领导者的关注重点。强调对此类投资的衡量标准,并在面向业务领导者阐述时说明其在使用场景中的价值,这样可以提高安全领导者的效率和声誉。
随着网络安全和风险管理领域整体趋向成熟,企业机构应明确需要在网络安全管理的各个领域中强化哪些能力。第三方风险监控、零信任方法、灵活性和新技术的采用将对企业机构网络安全实践路线图产生重大影响。
安全领导者可以通过改善数字生态系统的安全性,为CIO和业务领导者提供支持。具体来说,就是实施控制措施,从整体上了解日趋分散的攻击面和脆弱的身份验证基础设施。
建议
中国的CIO或其他网络安全领导者应:
通过优化网络安全投资并创造价值,将安全职能定位为业务赋能者。
遵循网络安全判断原则,采用分布式决策流程,扩大并维持网络安全项目规模。
关注防御力和韧性,重新平衡网络安全投资。虽然无法阻止所有漏洞和攻击,但重要的是在充满恶意破坏的环境中,维持可靠、安全和可访问的服务。
采用攻击者的思维方式,对攻击面进行端到端的分析,优先考虑可以降低网络风险的工作。
采用零信任安全运营模式和身份优先的架构方法,使网络安全能力可以更好地支持新的分布式工作方式,从而提升敏捷性并将安全性嵌入设计之中。
评估网络安全集成平台,以更快地获得技术投资回报。
战略规划假设
到2026年,将网络安全投资与业务成果直接挂钩的CIO获得持续性安全资金的可能性将提高50%。
到2026年,通过持续威胁暴露管理项目将安全投资放在优先地位的中国企业机构,遭受攻击的可能性将降低三倍。
到2026年,50%的中国大型企业将投资于零信任项目,而在2023年这一比例不到5%。
到2026年,超过40%的中国企业机构将依靠整合平台实施涉及一个或多个主要网络安全领域的网络安全实践。
到2026年,超过40%的中国企业机构将重新设计安全战略并优先考虑“身份优先”的方法,而在2023年这一比例不到5%。
到2026年,超过40%的中国企业机构将重新平衡对防御力和网络韧性的投资,以管理AI攻击的爆炸性增长,在2023年这一比例为10%。
到2026年,网络安全职能单一且中心化的中国企业机构中,超过30%将失去对安全风险决策的控制。
到2027年,可以脱离IT部门去获取、修改或创建技术的员工数量将从2022年的41%上升到75%。
企业需要了解什么
本文分析了中国网络安全领域的主要趋势,包括中国独有的趋势和与全球趋势相似的走向。
近年来,《网络安全等级保护制度》(等保2.0)、《数据安全法》和《中华人民共和国个人信息保护法》(个人信息保护法)等新的法律法规的出台,促使中国企业机构扩大其安全职能范围。
传统上,监管和合规是中国企业机构为安全项目提供资金的主要驱动力,似乎安全是为了维持业务运转而必须缴纳的一种税费。然而,人工智能(AI)等重大技术突破的出现、工作方式的社会性变革以及地缘政治的转变都意味着技术采购可能必须完全在境内实施,且数据和流程可能无法跨境部署。这些发展正在改变着许多企业机构之间开展业务的方式。
企业机构不应将安全视为维持业务运营所必需但又会造成不便的因素,而应将其视为业务的赋能因素,并据此开展工作。这一转变使企业机构能够迅速占据有利地位。例如,安全可实现数据共享并保障云服务的安全使用,这为CIO和其他安全领导者将自己定位为业务推动者提供了绝好的机会。他们必须成为以业务为中心的推动者,而不仅是继续扮演监护人的旧角色。
本文讨论的趋势所反映出的一些变化,使安全团队有机会在以业务为中心的决策(包括投资决策)中发挥积极作用。CIO和其他安全领导者应抓住这一机会,对企业机构产生积极影响。当前,安全决策正变得更加分散,而且以往侧重于预防且一旦防御遭到破坏就会失效的模式正在被网络韧性这一概念所取代。
本文探讨的另外几个趋势,将引领安全范式向身份优先的安全模式演变,以支持零信任原则的持续采用。此外,采用持续威胁暴露管理的企业机构可以有针对性地部署安全控制和投资,以更有效地防范潜在的安全漏洞。随着技术能力的不断融合,企业机构应评估整合性的网络安全平台,以更快地实现价值。
图1总结了中国网络安全的七大趋势。
图1:中国网络安全的主要趋势
1、以业务为中心的安全投资
描述:随着科技行业不断收缩、经济不确定性可能还将持续一段时间,企业机构的领导者正在仔细审视IT和网络安全的各方面支出。同时,随着针对企业机构的网络安全合规性及其责任承担能力的审查变得越来越严格,CEO期待CIO和其他安全领导者能够及时就企业机构的安全态势提供基于事实的总结。因此,CIO需要就网络安全风险、以及网络安全项目的有效性和业务价值进行有效沟通——这一能力也将有助于他们对安全控制进行适当规模的投资。此外,CIO还必须能够确定以业务为中心的安全投资的优先级,并在审查网络安全预算时从业务角度论证安全投资的必要性。
入选原因:2023年,中国IT预算预计仅增长0.7%,是2014年以来的最低增幅。许多CEO要求其CIO在2023年削减IT支出。CIO和其他安全领导者也面临着提高效率的挑战,同时还需要应对资源的减少或更严格的预算分配审查,确保有限的资金与业务优先任务保持一致。
企业的业务领导者更青睐“基于事实”的投资(即具备可靠的、基于ROI的业务论证的投资项目),这进一步增加了CEO将网络安全投资与业务优先任务挂钩的需求。2022年Gartner的一项调研显示,相较于“基于恐惧”的投资(包括监管合规、安全和风险缓解等维持企业运营的必要性投资,以及为“跟上”竞争对手所需的创新技术投资)和“基于信念”的投资(业务论证尚未明确或尚不准确的投资,例如实验性计划),业务领导者更偏好“基于事实”的投资。
简而言之,中国的CIO和其他安全领导者需要找到衡量和阐述IT业务价值和网络安全投资的最佳方法(更多信息请参阅Articulating the Business Value of China IT)。
网络安全投资如果符合业务项目和优先任务,就会形成积极主动的协作方式。网络安全将不再被视为阻碍或成本中心,而是业务增长和创新的助力,赋能中国企业机构部署新的数字计划(例如商业智能、数据和分析、AI和云平台),在数字资产和运营得到充分保护的自信中把握战略机遇。
影响:以业务为中心的安全投资有助于企业机构规划和部署可持续的、能够推进业务的安全项目,以构建更好的安全能力、提供更好的安全成果。为此,CIO必须建立治理流程,让业务部门参与网络安全投资的决策过程,同时还须决定所需的保护水平和预算。以既定成本实现预期保护水平的业务决策应以“保护水平协议”(PLA)的形式体现。PLA应由高管决策者和网络安全领导者记录和保存,以确保实现既定的运营目标。
此外,为了验证网络安全作为一项业务引导型投资的效力,企业机构必须利用一套定义明确且可量化的指标,评估入选安全投资项目和PLA的成果。这些成果驱动型指标(ODM)应:
直接体现执行某个控制所获得的保护水平。
衡量不同保护水平在业务环境中的有效性,为网络安全决策提供可信度和合理性。
促进高管、监管机构、客户和股东等利益相关者进行更有效的沟通。
与业务成果相匹配的PLA有助于关键利益相关者明确安全事件的业务影响、监管发现以及所选安全投资的成本和合理性。PLA和ODM会持续反映与不同业务成果相关的保护水平。因此,在重点业务风险、一致的保护水平和资源限制方面,出现了大量变革机会。任何变革都需要改变企业机构的网络安全优先事项和投资,并且必须符合预期的业务成果。
行动建议:
明确企业的关键任务和顾虑,这将影响预期的保护水平。为此,可以推动首席执行官(CEO)、首席运营官(COO)、首席财务官(CFO)和业务部门领导者等利益相关者参与安全治理,让他们帮助选择所需的保护水平,并确认他们为此提供资金的意愿。
为了推动业务主导的网络安全投资,将ODM与可衡量的业务系统及相关业务和财务影响相挂钩,使保护水平符合预期业务成果。
衡量与业务成果一致的安全成果带给企业机构的价值回报。这将有助于企业将保护水平和保护成本与实际发生的业务和财务的负面影响(如网络安全保险费、监管罚款、业务损失和营收下降)进行比较,从而衡量增加安全投资的必要性。
面对其他高管和董事会提出的问题时,从一致性、充分性、合理性和有效性(CARE)出发,证明网络安全项目的必要性(请参阅Metrics to Prove You CARE About Cybersecurity)。
2、威胁暴露面管理
描述:持续威胁暴露面管理(CTEM)项目使企业机构能够维持一致、可操作的安全态势、补救措施和改进计划,以便业务高管和IT团队了解情况并采取相应行动。CTEM结合了攻击者和防御者的视角,最大限度地减少企业当前和未来面临的威胁。采用CTEM项目的企业机构会使用工具来记录资产和漏洞、模拟或测试攻击,同时利用其他形式的态势评估流程和技术。
CTEM项目包含五个可循环的步骤:范围界定、暴露面发现、优先级排序、验证和动员。CTEM对传统的网络安全评估进行了扩展,从而:
使CTEM迭代范围与特定的业务风险及优先级保持一致。
解决所有暴露问题,无论是否存在补丁。这既包括传统的、可修补的漏洞,也包括与业务风险和优先级相关的更现代化的、不可修补的威胁暴露。
通过网络安全验证行动,验证企业暴露面和修复措施的优先级。
提升整个团队的动员效率,调整成果预期,从策略和技术响应转变为基于证据的安全优化。
入选原因:由于技术环境日益复杂和分散,中国的企业机构面临的攻击面越来越多。安全风险不仅来自IT资产,也来自新的技术——例如运营技术(OT)、物联网(IoT)、信息物理系统和供应链技术。此外,尽管主动网络安全防御这一理念已在中国出现多年,但目前安全专家仍旧很难将之付诸实施。这是因为网络攻击在不断演进,攻击者拥有时间和资源来设计新策略,以绕过当前的检测和防御措施。
评估工具的激增也给安全团队带来了新的挑战,因为在确定补救措施的优先级这一问题上,评估工具会放大而非解决其中的困难。
中国的安全领导者不断寻求改进框架、工具和方法,以降低网络安全风险,包括从纯粹的预防性措施转变为使用具有检测和响应能力的、更成熟的、能增强战略的预防性控制。
CTEM通过持续调整网络安全优化的重点任务,为解决这一问题提供了务实有效的系统性方法。同时,通过对最关键的安全风险进行优先级排序和管理,CTEM可以帮助企业机构改善安全态势,应对新兴威胁。企业机构也可利用CTEM来明确目标并管理最关键的安全风险,从而获得可行且有效的结果。
中国企业机构应利用CTEM来应对由复杂的技术环境、不断变化的网络安全格局、风险管理的重视、合规要求以及新技术的整合所带来的特定挑战。采用CTEM可以主动管理威胁暴露、加强安全态势,并降低与数字运营相关的风险。
影响:随着数字业务和企业资产的不断变化,风险暴露管理需要具备持续评估和运营流程,结合不同的技术,以及对各种攻击面和补救措施进行优先级排序,从而实现最佳成果。建立CTEM项目需要遵循以下原则:
范围界定应优先于威胁识别。在管理攻击面时,企业机构应同时运行多个重点项目,而不是试图同时处理所有攻击面。重点应放在对业务最重要、最可能导致业务中断的领域上。
针对同一威胁向量的问题,无论是否可通过补丁修补,应合并处理,并为其设置相应的成功指标。威胁向量可成为CTEM范围界定的不错选择。
组建红队实施攻击模拟,以检查传统漏洞和技术栈之外的暴露面。流程和人员也应该是验证的目标。
应将动员作为一项目标。CTEM项目的范围应与明确定义的负责补救措施的角色相一致,并与能够解决问题的人员建立联系。同时必须建立跨团队关系,并为其他团队提供一系列战术和战略补救措施。
行动建议:
利用攻击面管理和安全态势验证等新兴方法,应对威胁暴露面。随着CTEM项目日趋成熟,着手将企业机构控制程度较低的资产纳入管理范围,例如软件即服务(SaaS)应用、供应链合作伙伴所掌握的己方数据以及供应商相关资源。
界定CTEM范围时,应确保其与业务风险保持一致,并同步给涉及修复和优化的利益相关者。这有助于确保项目聚焦于最重要的领域,并让合适的人员参与到修复过程中。
采用网络安全验证方法,增强现有工作流程,提高网络安全就绪度。这一方法有助于企业机构明确自身安全态势中的不足,并确定修复工作的优先级。
在扩展漏洞管理项目时,通过对验证技术发现的结果进行优先级调整,实现运营成功,拉动项目进展。这有助于企业机构为其CTEM项目奠定坚实的基础,并取得早期成功。
将CTEM项目的范围与风险意识和管理项目相结合,提供以业务为导向的关注点。
3、零信任采用
描述:零信任是一个热门术语,但对许多企业机构来说却十分费解。Gartner将零信任定义为安全范式,可明确识别用户和设备,并授予其适当的访问权限,以便企业能够以最小的摩擦进行运营,同时降低风险。零信任可以作为一种思维方式或范式、一种战略或某些特定架构和技术实施加以应用。
入选原因:物理边界的逐渐消失改变了企业实施安全控制的方法。然而,大多数中国企业仍然非常关注物理边界,这种情况需要改变。企业必须采用对边界赋予新定义的零信任方法、以自适应信任和持续评估来优化其安全态势。
影响:随着中国云采用和数字化的普及,企业机构的数字资产正在逐渐从传统物理边界(如本地数据中心和办公室)中移出。身份和情景正成为新边界的基础,企业机构必须以此实施安全控制。
混合工作模式的增多:新冠肺炎加速了混合工作模式在中国的普及,而且这种工作模式并不会消失。企业机构正寻求可以随时随地在任何设备上安全访问应用的方法。
严格的数据监管:近年来,中国相继出台了《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》等多项数据监管规定。对于在中国运营的企业机构而言,确保数据安全和合规已成为当务之急。
行动建议:
制定宏观零信任战略,在实施零信任解决方案之前,确保身份与访问管理的技术和流程得到充分理解并发展成熟。
投资于零信任网络访问(ZTNA)以满足越来越多的混合办公需求,并根据期望的终端用户访问使用场景以及企业机构的终端和应用架构来选择ZTNA供应商。
使用零信任技术保护数据访问,从而降低合规风险。例如,检测和阻止对重要数据的海外访问,以避免数据出境问题。
4、网络安全平台整合
描述:中国企业机构希望降低复杂性、简化运营并提高员工效率。供应商正在围绕一个或多个主要网络安全领域对平台产品进行整合,例如身份与访问管理、网络安全、云安全、数据安全、工作空间安全、信息物理系统和安全运营等。虽然本地部署在中国仍然很流行,但许多中国供应商正在将其产品转变为“即服务”模式。精简供应商数量之后,企业机构可利用数量更少的产品降低运营复杂性、提升员工效率、实现更广泛的集成,并获得更多类型的功能。然而,这也可能导致风险集中、更高的价格和运营影响。但这一顾虑并不能削弱企业机构对供应商整合和集成的需求。企业机构对提供身份和网络安全服务等关键基础设施服务的安全供应商网络安全韧性越来越感兴趣。
入选原因:网络安全平台整合趋势是由需求和供给共同驱动的。企业机构希望降低复杂性,而供应商和客户在2023年都面临着潜在的“三重压力”——经济压力、人才稀缺和人才成本,以及供应链方面的挑战。
在需求侧,Gartner观察到企业机构对网络安全平台整合的兴趣浓厚。企业希望在合适的场景下将组件进行组合,并希望通过集成其他领域来获得组装式安全能力。安全服务边缘(SSE)技术就对此有所帮助,能够将分散的安全web网关和ZTNA解决方案组合起来。中国的一些安全供应商现在会将治理、终端探测和响应、特权访问和访问管理功能以及安全运营整合到一个通用的平台中。
在供应侧,随着可用资金和安全市场的增长,安全供应商数量在近几年出现了前所未有的激增。中国现在有数千家安全供应商,尽管这一数字在2022年上半年下降了31%。安全供应商面临着越来越大的压力,而且由于增长需求被削减成本、创造现金流和最大限度提高盈利能力的需求所取代,他们已经在减员。此外,大型供应商正将各类功能添加到前后端集成服务集中,不断完善平台建设。
影响:整合的好处在于可以更好地集成,并且可在整个环境中部署更多功能,以应对企业机构不断扩大的攻击面。此外,随着集成管理工作的减少,员工效率可能会提高。同时,员工还可以借助运营平台自动摄取的后台数据源,提升分析能力,产生更多收益。
不过,供应商整合会导致供应商锁定,企业机构可能需要购买多于自身需求的产品并出现重复功能,导致成本上升。此外,初创公司的减少可能导致针对新兴网络安全威胁的技术创新也随之减少。最后,在关键运营安全功能上更加依赖单一供应商,会增加服务中断时出现运营暂停的风险。
行动建议:
建立持续盘点安全控制措施的能力,以识别差距和重复功能,从而减少整合平台内的冗余。
优先选择具有广泛的合作伙伴生态的平台供应商,可以在其无法满足某些领域的要求时提供开箱即用的集成功能。
评估多种功能,优先选择可以长期合作的产品,而不是价格极低但可能无法持续的产品。
根据要求采购或维护小型单点解决方案供应商,但要针对其可能被收购的情况制定合同条款和相应计划,规定收购后续事宜。
5、身份优先安全
描述:中国的数字经济推动了社会方方面面的数字化变革,数字身份在人们的生活中发挥着越来越重要的作用。如今,数字身份让用户的个人身份不再仅仅用于自身,而是广泛地分布于多个组织、系统、算法和智能设备之中。同时,管理机器(设备和工作负载)可信身份也成为企业机构面临的一项挑战。
身份优先安全采用“三C”方法,将身份置于安全设计的核心:
一致性(Consistent):利用中心化策略,以一致的方式对去中心化的分布式数字资产进行访问控制。
情境化(Context):使用与身份和资产相关的情境化数据来支持动态决策。这可以明确情境化信息的类型和来源,并将其提供给访问控制。
持续性(Continuous):在整个会话中应用自适应控制,而不仅仅是在登录时。
入选原因:
混合云环境的发展趋势打破了传统的网络边界。在这个没有传统边界的新世界中,身份正在成为关键的控制平面,也是整体零信任架构的基础部分。企业机构需要确保其身份边界的可管理性和防御性。
机器身份的攻击面很大,因为任何企业机构都拥有大量的机器。新引入的IT方法——例如DevOps、容器化、无服务器计算,以及物联网、IT和运营技术(OT)的融合,进一步加剧了这个问题。企业机构面临着管理机器可信身份的挑战。
在过去12个月中,超过80%的企业机构遭遇了身份相关的信息泄露。
身份与访问管理(IAM)基础设施已成为监管机构和攻击者共同的焦点,因为这是保障存储敏感数据的关键业务系统访问安全的关键所在。
影响:身份优先安全需要结合分散式执行和集中式控制,将重点从特定IAM工具和平台转移到组装式身份框架,使工具可以实现互操作。在中国普遍使用的传统IAM工具是“4A”平台(账户、认证、授权、审计)——通常是一种本地部署的融合型平台,具有高度定制化的架构。然而,“4A”平台不够灵活,无法与应用编程接口(API)网关和凭据管理工具等许多组件进行互操作,从而无法对传统边界之外的应用、数据和用户部署分布式访问控制。
由于迁移成本高昂且难度较大,企业机构如果在IAM系统中用大量的定制化代码来支持复杂的IT环境,将很难用现代基础设施替换所有现有的IAM基础设施。然而,IAM系统正在发生重大变化,其设计需要跟得上快速的变化和新的规模,从而支持数字化转型。
身份优先安全中另一个重要的角色是由机器学习和其他AI驱动型技术支持的高级身份分析。它可以基于情景和行为数据的分析,支持风险感知型访问决策,也有助于将低风险的重复性IAM流程自动化。然而,目前只有少数解决方案具有真正敏捷设计的运行时特性。
行动建议:负责IAM的网络安全领导者应:
如果所在企业机构对4A平台的投入较多,则可采用混合部署模式,同时使用由软件即服务(SaaS)交付的访问管理(AM)和由软件交付的身份治理与管理(IGA),在4A平台的支持下满足其云计算需求。
重新调整IAM选型策略,优先考虑互操作性和身份分析能力,以实现可组合的、敏捷的IAM架构。选择支持开放身份标准、具有可组装性的IAM工具。
6、网络韧性
描述:网络韧性是指能够适应和响应数字业务生态系统的威胁或故障的能力。具有网络韧性的企业机构能够在快速恢复之后,确保软件和技术的基础设施和服务是可靠、安全和可访问的,以应对所有类型的恶意或不利的服务中断。网络韧性与IT、运营技术、物联网和物理生态系统中发现的技术基础设施、服务和数据相关。它不仅适用于以信息为中心的企业机构,例如银行、金融服务和保险业,也适用于制造业、公用事业和交通运输等行业的企业机构。网络韧性战略使恢复原则得到更有效的应用,以最大程度地减少或消除中断带来的业务损失,但目前并不可能消除所有安全事件。
入选原因:
攻击者——有些甚至都不具备相关技术能力,可以使用生成式AI工具以低成本、低耗力的方式实施网络攻击。网络攻击的数量将成倍增加,并且要比现在频繁得多。因此,试图阻止所有网络安全攻击是不现实的。
企业机构在以数字化转型实现业务增长的过程中,会引入新的业务流程,获得新的合作伙伴和供应商,并采纳新的技术。这会带来新的、未知的漏洞,一旦被利用就可能导致数字业务故障的增加。
影响:尽管网络韧性对韧性的重视程度要高于防御力,但最低可行网络安全(MVC)的标准与实践仍须适用。对网络韧性举措投入过多而损害MVC,会增加业务中断的风险。网络安全领导者需要在网络韧性和MVC之间取得良好的平衡。在满足MVC要求的基础上,还有其他投资增强网络韧性的机会。
鉴于网络安全事件的必然性,网络韧性要求企业机构接受网络安全破坏的发生,并将此类破坏视为网络安全领导者将网安计划付诸实践的机会,从而防范未来的破坏。具备中断应对经验的网络安全领导者的价值将会增加,而不是减少,除非该中断是由于领导者不称职或未实施MVC实践而发生的。
行动建议:
利用Gartner IT评分进行自评,以企业机构的现状为基准,确定MVC。
平衡防御力和韧性,减少或消除安全漏洞对业务的损害。
在招聘网络安全人才和决定留住哪些网络安全员工时,优先考虑其应对网络安全破坏的经验。
7、网络安全判断力
描述:网络安全判断是指整个企业机构中的决策者独立做出明智的网络风险决策的能力,而不是依赖安全团队的决策协助。网络安全判断力不同于传统的员工意识。后者通常指不会带来业务价值的风险决策,例如点击可疑链接或书面记录密码。网络安全判断力涉及存在多种权衡因素的风险决策,并且没有单一、明显的行动方案——例如,销售经理必须从多个SaaS电子邮件营销提供商中选择其一,或者产品开发人员需要修改算法和数据输入以改进销售线索挖掘。
入选原因:企业网络风险决策日益分散于各个部门:
业务部门正在招聘内部技术人员,而不是完全依赖于IT部门。Gartner预测,到2027年,在IT部门视线外获取、修改或创建技术的员工数量将从2022年的41%上升到75%。
新的敏捷或DevOps持续交付方式意味着更多的人会更频繁地做出具有网络风险影响的决策。在面对大量和高频的网络风险决策时,中心化安全团队亲自协助风险决策就会成为“瓶颈”。
许多网络安全领导者试图让其团队更多的做出决策协助,以减少在没有信息安全团队参与的情况下做出的决策数量。然而,大多数此类尝试都未能成功。即使是那些成功的尝试,也只是部署了本可以更好地用于其他更有价值的安全活动的宝贵资源。
影响:
网络安全判断力可以使整个企业机构内的所有风险所有者做出明智的网络风险决策。网络安全判断力有助于决策者更快地做出风险决策并按照自己的节奏行动,同时不会忽视风险相关决策对信息的必要需求。
在做出风险决策时,网络安全判断力并不要求信息安全人员在场。安全领导者采用网络安全判断后,节省的安全资源可以重新分配到影响力更高的网络安全项目中。
随着分布式数字劳动力的网络判断力日趋成熟,企业机构将做出更多高质量的网络风险决策。这将大大减少整个企业机构的网络风险暴露。
行动建议:
投资自助服务工具,帮助安全风险决策者通过体验式学习提高网络安全判断力,从而在整个企业机构内培养网络判断力。
明确哪些团队(如业务部门和交付团队)可以在网络风险决策方面获得更多自主权,以及哪些团队可能需要额外支持。为此,应评估其安全成熟度水平,以及与网络安全团队互动的频率和质量。