安全和风险管理领导者面临着多个方面的颠覆:技术、组织和人力。准备和务实的执行对于解决这些干扰并提供有效的网络安全计划至关重要。
机会
安全和风险管理 (SRM) 领导者可以通过使用生成人工智能 (GenAI) 与业务利益相关者主动协作,提高安全职能部门的声誉和绩效。这将有助于为这一颠覆性技术的道德、安全和可靠使用奠定基础。
对第三方服务和软件的有效风险管理、增强身份结构的安全性以及对混合数字环境的持续监控的投资可以强化组织的攻击面并增强其弹性。
将安全治理工作与与业务相关的网络安全报告的使用相结合,可以提高安全职能部门作为值得信赖的合作伙伴和组织战略目标关键推动者的绩效和声誉。
对安全计划中人的因素的日益关注继续显示出在最大限度地减少员工不安全行为的影响的使命中的重大承诺。在民主化数字环境中试验新兴技术时,它还可以提供更大的保证。
建议
作为寻求优化组织网络安全计划和投资的 SRM 领导者应该:
通过在组织的数字和第三方生态系统中实施持续、务实、与业务一致的风险管理工作,提高组织弹性。扩大身份和访问管理 (IAM) 在降低网络安全风险方面的作用。
通过协调网络安全决策来支持去中心化技术项目。使用与保护级别协议 (PLA) 一致的、业务一致、结果驱动的指标 (ODM)来衡量安全功能的性能。
通过采用包含数据解耦策略的可组合应用程序架构,在面对本地化规则时实现弹性操作。
采取以人为本的战略方法,通过重新培训现有安全人才、使用GenAI 来增强(而不是取代)人类工作以及实施适合具体情况的安全行为和文化计划,来提高安全职能的绩效。
战略规划假设
到 2026 年,根据持续威胁暴露管理计划优先考虑安全投资的组织将实现漏洞数量减少三分之二。
到 2025 年,10% 的全球企业将运营多个受特定主权数据战略约束的离散业务部门,从而在相同业务价值的情况下使其业务成本增加一倍或更多。
到 2025 年,生成式 AI 将导致保护其安全所需的网络安全资源激增,导致应用程序和数据安全方面的支出增加超过 15%。
到 2025 年,40% 的网络安全项目将部署社会行为原则(例如助推技术)来影响整个组织的安全文化,而 2021 年这一比例还不到 5%。
到 2027 年,50% 的大型企业首席信息安全官 (CISO) 将采用以人为本的安全设计实践,以最大限度地减少网络安全引起的摩擦并最大限度地提高控制采用率。
到 2026 年, 50% 的大型企业将使用敏捷学习作为主要的技能提升/再培训方法。
需要知道什么
生成式人工智能 (GenAI) 在 2022 年底作为主流功能的出现,引发了数十年来数字和商业领域最大的颠覆之一。这是SRM领导人不能忽视的强大力量。
然而,虽然 GenAI 已经成为一股不可忽视的力量,但他们还必须继续应对 SRM 领导者无法控制的其他外部力量。他们还面临:
寻求弥合安全人才供需之间的鸿沟。
云采用的不断增长,正在扩大并改变数字生态系统的组成。
加强公共和私营部门对网络安全、隐私和数据本地化的监管义务和政府监督。
企业间数字能力的持续分散。
在不断变化的威胁环境中管理安全风险是永恒的挑战。
SRM 领导者正在通过在其安全计划中采用一系列实践、技术能力和结构改革来应对这些力量的综合影响,以提高组织弹性和网络安全职能的绩效。
出于以下几个相互关联的原因,提高组织弹性已成为安全投资的主要驱动力:
由于云采用率的不断提高,数字生态系统继续蔓延。
组织正在巩固混合工作安排。
威胁环境不断演变,新兴功能也让攻击者更加胆大妄为。
SRM 领导者越来越认识到,试图修复组织不断扩张的数字环境中数量激增的漏洞是愚蠢的。因此,支持持续威胁暴露管理 (CTEM) 并提供更强大、支持安全的身份和访问管理 (IAM) 功能的计划的势头持续增强(这两种趋势从2023 年开始都是持续的趋势)。
此外,采用注重弹性的第三方网络安全风险管理方法的 SRM 领导者正在降低风险和加快推出新数字化计划的速度方面获得回报。
使用云服务的跨国组织正在采用模块化应用程序和数据架构,以帮助他们遵守全球拼凑的隐私和数据主权要求。这被视为解决数据本地化需求增长和降低业务中断风险的关键。
GenAI占据了 SRM 领导者的大量空间,这是另一个需要管理的挑战。但积极主动的 SRM 领导者也看到了利用 GenAI 功能增强运营层面安全功能的机会。
安全使用 GenAI 的需求进一步影响安全技能规划和开发。这也是旨在最大限度地减少不安全员工行为影响的安全行为和文化计划受到关注的一个关键原因。
加强的监管框架使得改进网络安全委员会的报告势在必行,而不仅仅是可取的。因此,越来越多地采用结果驱动的指标来促进更有效的网络安全风险和投资决策。
随着组织继续分散和民主化数字决策,安全运营模式改革的趋势持续存在。图 1 总结了 2024 年的主要网络安全趋势。
图 1:2024 年主要网络安全趋势
优化弹性 |
优化性能 |
持续威胁暴露管理 |
生成式人工智能 |
扩展 IAM 的网络安全价值 |
安全行为和文化计划 |
第三方网络安全风险管理 |
网络安全结果驱动的指标 |
隐私驱动的应用程序和数据解耦 |
不断发展的网络安全运营模式 |
网络安全再培训 |
战略规划假设:到 2026 年,基于持续威胁暴露管理计划优先考虑安全投资的组织将实现漏洞数量减少三分之二。
描述:
近年来,组织攻击面大幅扩大。这一增长的主要推动因素是 SaaS 的加速采用、数字供应链的扩展、企业在社交媒体上的影响力的增加、定制应用程序开发、远程工作和基于互联网的客户交互。
攻击面的增加给组织留下了潜在的盲点,以及大量需要解决的潜在风险。
为了应对这种情况,SRM 领导者引入了试点流程,用于管理威胁暴露的数量和重要性以及通过持续威胁暴露管理 (CTEM) 计划处理威胁的影响。他们现在正在将这些试点扩展到网络安全验证活动之外。更成熟的组织开始提供一系列安全优化,以更好地动员业务领导者,而不仅仅是短期补救措施。
为什么热门:
大多数组织管理威胁暴露的工作过于专注于发现和纠正基于技术的漏洞。这种关注受到 SecOps合规性计划的鼓励,但通常不会考虑现代组织运营实践的重大转变,例如转向云驱动的应用程序和容器。安全团队必须增强其当前模型,并超越这一目标,其中修补和保护基于物理和自我管理软件的系统是主要目标。SRM 领导者已经意识到,现有的实践不够广泛,同时,人员配备的限制限制了可以完成的工作量。
CTEM 计划越来越多地采用的具体原因包括:
缺乏对大量潜在问题的可见性。组织面临威胁的方式之多令人望而生畏。例如; 到 2023 年, 84% 的代码库中至少会发现一个开源漏洞。需要新的方法来确定潜在问题的范围和分类,以提供方向并提供机会来修复具有潜在高业务影响的问题。
在整个企业范围内孤立地收购技术。随着比以往任何时候都更多的可用技术和可获取的技术,多个部门对它的收购变得难以追踪,其所有权也难以确定。SRM 领导者需要现代方法来应对并动员发现的使组织面临风险的风险。
对第三方的依赖增加。网络风险的所有权不是企业可以与其他运营能力一起外包的东西,它可以从各种业务合作伙伴和软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务供应商那里获得。平台即服务)。根据最近的报告,过去十年中,典型组织使用的 SaaS 应用程序数量迅速增长,达到大约 130 个 SaaS。
影响:
对与暴露相关的问题的关注焦点已经从简单地管理商业产品中的软件漏洞转移。如此大规模地增加技术风险对于安全运营团队来说是难以承受的。与业务目标缺乏一致性将导致对首先解决哪些问题做出错误的决定,这将导致无法量化的暴露差距,并可能浪费安全预算来解决无关紧要的问题。SRM 领导者必须使用更广泛的威胁暴露管理流程,同时平衡已经捉襟见肘的运营团队,并创建有效且预先商定的补救动员渠道来响应发现的问题。
行动:
通过使 CTEM 范围与业务目标保持一致来关注相关问题。SRM 领导者必须致力于通过突出对组织关键运营最具潜在影响的问题来提高风险暴露的可见性并吸引其他高级领导者的兴趣。他们应该为 CTEM定义一个更窄的范围,与业务目标保持一致,使用熟悉的语言并解释对业务而不是技术的影响。
通过验证减少优先问题的数量。介绍验证步骤和支持技术,例如入侵和攻击模拟 (BAS) 和自动渗透测试工具。此类工具通过突出显示可能因使用现实世界技术的真正妥协而导致的发现问题,从而减轻漏洞评估 (VA) 解决方案等暴露评估工具的输出所带来的负担。
做好前期工作,让业务部门参与响应。SRM 领导者必须扩大自己与部门负责人、资产所有者和第三方之间的沟通渠道,以便有明确的途径来动员应对和补救措施。通过明确阐明和讨论与推迟补救工作相关的残余风险,获得业务部门和资产所有者的支持。提供短期和长期选择,以减少或消除风险。
描述:
身份优先的安全方法将重点从网络安全和其他传统控制转移到 IAM。它使 IAM 成为组织网络安全成果乃至业务成果的关键贡献者。采用这种方法的组织必须更加关注基本的 IAM 卫生和 IAM 系统的强化,以提高弹性。这包括缩小预防能力方面长期存在的差距,例如扩大对云权利和机器身份的控制,以及引入新的身份威胁检测和响应(ITDR)高级功能。IAM 架构正在向身份结构发展,并采用新功能以可组合的方式实现实时身份控制。
为什么热门:
IAM 在网络安全中的作用一直在稳步增强。截至 2023 年,IAM 是使用 Gartner 客户查询服务的 SRM 领导者讨论的第二热门话题。
针对身份基础设施的攻击很常见,防御者正在使用 ITDR 等策略来应对这些攻击。
IAM 和数据安全是从 IaaS 到 SaaS 等各类服务的云共享责任模型中的客户责任。
Gartner 调查中近三分之二的受访者希望他们的组织在未来 12 个月内增加对 IAM 功能的投资,包括欺诈检测、身份验证、客户身份、员工身份治理和管理以及权限访问管理。
身份优先安全正在成为安全的关键控制面。
与 Gartner 客户的对话表明,他们越来越多地使用 IAM 的结果驱动指标 (ODM)来鼓励更好的安全性。这些指标侧重于通过影响特定于身份的变量(例如身份数据的准确性)来增强弹性和安全性,并使组织更接近最小特权原则。
基于这些观点,Gartner 认为 IAM 在组织安全计划中的作用越来越大。因此,组织的 IAM 实践需要不断发展。
影响:
组织必须加倍努力实施更好的身份卫生。这一点至关重要,因为不良的身份卫生会破坏 ITDR 的许多潜在收益。Misset 权限为不良行为者提供了切入点,为横向移动创造了机会,并可能加剧简单错误造成的附带损害。鉴于存在大量的权利、帐户甚至本地帐户存储库,全面实施卫生是一项重大任务。ODM 可以帮助定义实施更好卫生的方向性指导,但也需要自动化。
ITDR需要额外的努力和技能。只有注重卫生,它才能有效发挥作用。使用其他安全检测和响应流程的组织,甚至可能拥有自己的安全运营中心 (SOC),可以从 ITDR 中受益,但这需要对 SOC 团队进行 IAM 培训。
IAM 基础设施必须进行变革,以加深对安全功能的支持。目前使用的许多传统 IAM 基础设施都过于复杂并且存在巨大差距。IAM 技术债务是次优或低效 IAM 技术决策的技术积累,是一个普遍存在的问题。
IAM 基础设施必须发展成为一个身份基础设施,旨在实现身份优先的安全性。它必须使用并代理上下文,以一致的方式为任何适用的人员或机器提供和支持自适应、连续、风险意识和弹性访问控制。
行动:
加倍努力实施适当的身份卫生。将此定义为安全计划的优先事项,并使用ODM提供方向指导并设定改进标准。
通过对 IAM 中的安全操作人员进行培训,将 ITDR扩展为一种实践。为关键企业身份系统(例如 Microsoft Active Directory 和云交付的访问管理服务)实施安全态势评估以及威胁检测和响应功能。
通过向身份结构演进,重构身份基础设施以支持身份优先的安全原则。首先通过使用可组合工具策略来改进 IAM 工具之间的集成。
描述:
第三方不可避免地会遭遇网络安全事件,这迫使 SRM 领导者更多地关注以弹性为导向的投资,并放弃前期的尽职调查活动。积极进取的SRM 领导者正在优先考虑弹性驱动的活动,例如实施补偿控制和加强事件响应计划。与此同时,他们还为业务合作伙伴提供有针对性的支持,以告知第三方签约并影响控制决策。
为什么热门:
SRM 领导者越来越多地将资源投入到合同前的尽职调查活动中。与 2021 年相比,近三分之二 (65%) 参与 2023 年 Gartner 重新构想第三方网络安全风险调查的受访者表示增加了预算,76% 的人在第三方网络安全风险管理计划上花费了更多时间。
尽管本意是好的,但这种不断增长的投资并没有产生预期的结果。在同一项调查中,4-5 % 的受访者表示,与两年前相比,第三方网络安全相关事件造成的业务中断数量有所增加。SRM 领导者对传统 TPCRM 实践在保护企业免受第三方网络风险方面的低效感到失望,因此正在寻找替代方案来提供更好的投资回报。
影响:
采用弹性驱动、资源高效的 TPCRM 方法的组织已经取得了切实的成功。他们超出执行领导者对最大限度地减少第三方事件影响的预期的可能性是其两倍多。他们还取得了更好的业务成果:在采用这种 TPCRM 方法的受访者组织中,近 80% 在推出新数字化计划的速度方面领先于同行。
想要采用这种方法的 SRM 领导者必须认识到:
业务优先级会影响 TPCRM 的工作,反之亦然。企业领导者对于 TPCRM 的成功至关重要。通过与他们接触以了解他们的优先事项,SRM 领导者能够阐明所涉及的价值并调整计划。同时,这种参与使企业能够做出更好的基于风险的决策,并促进实施可提供弹性的安全控制。
TPCRM 需要通力协作。着眼于安全团队的资源效率,有效的 SRM 领导者认识到 TPCRM 需要与在第三方风险管理(即采购、法律和企业风险管理)中发挥作用的所有风险职能部门建立合作伙伴关系。必须共同制定政策、程序和实践,以确保跨职能的一致性并最大限度地减少工作流程中的摩擦。例如,初始网络安全风险分类需要纳入采购流程。这种方法有助于确保网络安全团队的专业知识应用于对网络安全风险结果影响最大的计划。
关键的第三方是你的盟友。SRM 领导者必须将其参与策略从监管转向与第三方合作。这将有助于确保关键第三方接触的所有企业最有价值的资产(例如材料数据、网络和业务流程)得到持续保护。建立互利关系可以提高透明度,促进第三方实施控制,并在发生网络安全事件时改善协作。
行动:
加强针对构成最高网络安全风险的第三方活动的应急计划。创建特定于第三方的事件手册,进行桌面练习并定义明确的退出策略,例如及时撤销访问和销毁数据。
通过提高尽职调查的效率,将资源重新分配给弹性驱动的活动。不要广泛定制风险调查问卷,而应使用行业标准风险调查问卷。投资自动化技术,帮助网络安全团队大规模分析问卷答复。
与重要的第三方建立互惠互利的关系。在高度互联的环境中,供应商的风险也是您的风险。帮助 SRM 领导者成熟符合 SRM 领导者的利益,这样他们就可以更好地维护企业。首先,制定安全要求基线,以评估供应商在风险管理实践方面的成熟度。其次,与能够访问您的关键资产(例如系统、数据集、网络和业务流程)的不太成熟的供应商合作,与他们分享事件管理的最佳实践,并建议管理风险的控制措施。
战略规划假设:到 2025 年,10% 的全球企业将运营多个受特定主权数据战略约束的离散业务部门,从而在相同业务价值的情况下使其业务成本增加一倍或更多。
描述:
几十年来一直依赖单租户应用程序的跨国公司 (MNC) 面临着不断增长的合规性要求和业务中断风险。这是由于民族主义隐私和数据保护以及本地化要求的不断提高,导致企业应用程序架构和数据本地化实践强制分散。具有前瞻性思维的组织正在通过规划和实施各种级别的应用程序和数据解耦策略来做出响应。其中包括减少 IT 资源依赖性、采用模块化和可组合架构(包括行业云平台),以及为高度监管的市场隔离应用程序、数据存储库和基础设施。这有助于降低合规风险并创造竞争优势。
为什么热门:
由于日益复杂的地缘政治风险和合规义务阻碍了全球一致的企业架构,跨国运营变得更具挑战性。与个人数据相关的“主权”考虑已演变为个人和关键业务信息的本地化要求。需求数量和范围的扩大促使跨国公司调整其云采用策略。跨国公司已转向模块化应用程序架构设计或在其全球总部对其集中式应用程序(例如 ERP、CRM 以及数据和分析平台)进行解耦,以应对其拥有大量业务运营的高风险市场。2022年Gartner 首席信息官和技术高管调查发现,7% 的受访者已经投资创建可组合企业,另有 61% 的受访者预计到2024年将这样做。
影响:
脱钩工作对网络安全和数据安全的影响涉及:
监管合规性。由于目标地区的新法规提出了新的且常常相互冲突的要求,合规工作和审计的复杂性大大增加。
数据迁移和集成实践。应用程序和数据存储的解耦可能会导致隔离和互操作性挑战,从而降低信息保真度并阻碍业务连续性和创新。跨国公司可以整合边缘操作和可组合架构来缓解其中一些挑战。
数据架构和存储。数据本地化要求正在导致应用程序和数据托管的快速发展,这进一步扩大了攻击面。与此同时,需要重新构想数据访问和威胁管理编排,因为对数据本地化的相同要求使得从一个中心位置执行此类活动变得困难。
安全的开发实践。随着应用程序的改进,出现了将安全要求“融入”开发实践的机会,而不是后来“附加”。如果应用需要解耦,不同辖区之间的安全标准可能会有所不同。因此,如果存在此类差异,则需要在开发应用程序时对它们进行协调。
行动:
与业务、IT 和法律团队持续合作,为组织已运营的国家和计划扩展的国家制定数据本地化要求。法律部门必须识别任何不合规和法律冲突的情况,并制定联合制定的缓解策略,其中包括成本效益分析。
维护数据清单和地图,以识别符合本地化要求的信息资产。优先投资能够持续发现云中敏感数据和个人数据的工具。这将为数据安全策略提供信息,并作为数据或信息治理设置的输入,以最大限度地提高业务利益相关者的知识和支持。
将安全开发实践(例如安全软件开发框架 (SSDF) 和 LINDDUN 注重隐私的威胁建模框架中的实践)纳入软件开发生命周期。通过采用模块化方法来应用安全架构控制,以配合向可组合应用程序、微服务架构、云/容器部署等的整体转变。
战略规划假设:到 2025 年,生成式 AI 将导致保护其安全所需的网络安全资源激增,导致应用程序和数据安全方面的支出增加超过 15%。
描述:
ChatGPT 等大型语言模型 (LLM) 应用程序已将生成式人工智能 (GenAI) 提上议程,纳入许多业务、IT 和网络安全路线图。GenAI 一词描述了从数据和模型工件的表示中学习以生成新工件的技术。
GenAI 引入了需要保护的新攻击面。这需要改变应用程序和数据安全实践以及用户监控。GenAI 还将改变网络安全市场的动态。
GenAI 已经以多种方式影响 SRM 领导者:
直接且紧急:首先,需要解决 ChatGPT 不受管理和不受控制的使用,以最大程度地降低风险。最值得注意的问题是在第三方 GenAI 应用程序中使用机密数据,以及使用未经审查的生成内容可能导致的版权侵权和品牌损害。很快,业务计划推动了对保护 GenAI 应用程序的需求,为传统应用程序安全保护的攻击面增加了新的攻击面。
直接且大肆宣传为紧迫:网络安全提供商发布了一波双曲线人工智能公告,旨在激发人们对 GenAI 可能做的事情的兴趣。这些早期的公告大多涉及交互式提示。这些提高了人们对安全团队生产力的好处的期望(主要来自安全领域之外的领导者),尽管这些公告大多数只是早期预览,有时接近“人工智能清洗”。我们已经看到 GenAI 功能用于安全操作和应用程序安全,但尚未观察到网络安全产品直接使用 GenAI 技术来检测或预防威胁。
间接且可怕:随着 SRM 领导者对 2024 年的计划,由于隐私问题和威胁行为者获得了 LLM 技术,他们正在提出有关新风险和威胁的合理问题。他们需要忽略“恐惧、不确定性和怀疑”,并通过监控现有安全控制中的检测性能偏差,并加倍加强弹性和暴露管理举措,应对GenAI 可能导致的威胁环境中不可预测的变化。
间接和潜在:随着组织内越来越多的团队(可能几乎每个团队)抓住机会将 GenAI 功能集成到其系统中,网络安全团队将必须不断适应流程的变化。例如,人力资源团队可能会将 GenAI 纳入招聘流程,采购团队可能在选择或续签产品合同时使用 GenAI。即将出台的法规和合规要求也将影响安全团队。
为什么热门:
GenAI的使用增加是不可避免的。在2024 年Gartner CIO 和技术高管调查中,只有 3% 的受访者表示他们对 GenAI 不感兴趣。SRM 领导者如果推迟采用 GenAI 应用程序的新安全实践,或者忽略 GenAI 的安全用例(即使基于当今的基本实现和示例),则可能会在其他公司效仿时失去其组织的竞争优势。同一项调查发现,三分之一 (34%) 的组织计划在未来 12 个月内部署 Gen AI 。
SRM领导者还需要为快速发展做好准备,因为 ChatGPT 等 LLM 应用程序只是 GenAI 颠覆的开始。多模式 GenAI(涉及不同类型数据的训练模型)已经将 GenAI 用例的范围扩展到文本之外。“大型动作模型”——可以自动执行动作的基础模型——也即将出现。
影响:
安全团队定期证明他们适应范式变化的能力。然而,旨在保护 GenAI 应用程序安全的新兴安全工具(例如,它们的模型和提示)的不成熟,加上 GenAI 应用程序架构的动态变化,使得开发最佳实践和提出建议变得困难。
根据 2024 年 Gartner大型企业技术采用路线图调查,与使用 GenAI 相关的三大风险问题是:
1. 第三方访问敏感数据(近一半的网络安全领导者对此表示担忧)。
2. GenAI 应用程序和数据泄露(响应的网络安全领导者中有五分之二)。
3. 错误的决策(超过三分之一的受访网络安全领导者)。
GenAI 的炒作缩短了安全领导者的时间范围。他们陷入了不得不对整个组织中发生的许多 GenAI 计划做出紧急反应的境地——这与企业开始迁移到云时的情况类似。SRM 领导者不能等到一切稳定下来才准备和计划,因为:
尽管拥有现有人工智能项目的组织可以调整其现有的治理政策,但那些转向 GenAI 的组织将需要从头开始制定政策。除此之外,确定GenAI应用程序的数据机密性、输出偏差和漂移、版权侵权、可信度和可解释性的责任需要新的或更新的治理原则。
应用程序安全实践必须迅速发展为:
o 集成新的开发工具,例如 GenAI 代码助手。
o 在运行时(例如提示)和整个开发周期(例如管理训练数据)保护新的攻击面。
o 满足隐私和数据安全要求,特别是通过评估和实施隐私增强技术。
o 在应用程序安全工具中评估和使用新的 GenAI 技术,例如降低误报率、提供开发人员友好的可解释性并实现半自动修复。
技能要求将会不断变化,因为新工具将增强现有工作流程并缩短安全团队内的学习曲线。随着执行某些关键工作所需的技能不断发展,风险水平也会发生变化。
技术市场将看到以 GenAI 为中心的新工具的出现,并且其竞争动态可能会发生变化。这将改变供应商格局,但首先需要新的评估要求来评估新 GenAI功能的价值及其带来的风险。
在网络安全实践中,安全运营和应用程序安全是提供商通过使用 GenAI 添加功能的两个主要领域。早期的实现采用助手的形式,本质上是一个旨在回答问题的交互式提示。太多的此类实施可能很快就会产生“即时疲劳”,因此与 GenAI 的交互需要取得进展。我们还预计使用经过专门训练的模型的新用例很快就会出现。
行动:
AI 消费:对第三方 GenAI 应用程序和现有应用程序中嵌入的 GenAI 功能的新用例进行工业化盘点、监控和管理。将 IT 和软件供应链依赖性纳入风险评估。
提供商和技术选择要求:更新这些要求以解决隐私、版权、可追溯性和可解释性挑战。为进入组织的基于 GenAI 的产品制定政策并进行监督,以便想要使用该技术的内部团队能够理解一套商定的协调政策。
AI 应用程序的安全性:更新应用程序和数据安全实践以集成新的攻击面,例如用于检测 AI 模型的提示或编排层。评估支持人工智能信任、风险和安全管理 (TRiSM) 框架的技术。
生成网络安全人工智能:在将 GenAI 集成到网络安全计划之前运行概念验证,从应用程序安全和安全操作开始。旨在增强人类的工作,而不是取代他们,并确保新工具在自身改进的同时,还能增加团队的知识。
威胁形势的变化:监控现有安全控制的检测准确性和总体性能的下降。确保能够获得有关不断变化的威胁形势的正确情报。承认并传达,未来 GenAI 攻击的场景规划很棘手,而且可能不是最有利可图的资源利用方式。
战略规划假设:
到 2025 年,40% 的网络安全项目将部署社会行为原则(例如助推技术)来影响整个组织的安全文化,而 2021 年这一比例还不到 5%。
到 2027 年,50% 的大型企业 CISO 将采用以人为本的安全设计实践,以最大限度地减少网络安全引起的摩擦并最大限度地提高控制采用率。
描述:
安全行为和文化计划 (SBCP) 封装了一种企业范围内的方法,可最大程度地减少与员工行为(无论是无意的还是故意的)相关的网络安全事件。
SBCP 的主要目标是改变行为。它涵盖传统实践,例如意识培训和网络钓鱼模拟,以及一系列影响行为的学科,包括:
组织变革管理。
以人为本的用户体验(UX)设计。
开发安全运营。
SBCP 还考虑一系列影响程序设计的因素,并鼓励基于平台的架构,以帮助:
降低员工对社会工程的敏感度并提高他们在受到攻击时的反应。
改进安全控制的采用。
最大限度地减少系统采购过程中引入的漏洞。
在不增加安全风险的情况下制定敏捷的、业务主导的数字决策。
为什么热门:
客户和供应商已经认识到,普遍只注重提高员工的网络安全意识,这在很大程度上无法有效减少因员工行为而导致的安全事件的数量。2022年Gartner 安全行为驱动因素调查发现:
69% 的受访员工承认在过去 12 个月内故意绕过安全控制。
93% 的员工知道他们的行为会增加组织的风险,但还是采取了这些行动。
GenAI 的民主化加剧了这一挑战,因为它使员工可以不受限制地访问强大的技术功能,如果不小心使用,可能会导致数据泄露。
自 Gartner 于 2022 年推出 SBCP 概念和相关的 PIPE(实践、影响、平台、推动者)框架以来,针对该主题向 Gartner 客户咨询服务的请求增加了四倍多。SRM 领导者认识到,将重点从提高意识转向促进行为改变将有助于降低网络安全风险。此外,这种转变使 SRM 领导者能够应对“安全疲劳”、控制摩擦以及无论风险如何优先考虑速度和利润的组织文化等挑战。领先的供应商正在做出响应并快速转变解决方案,以支持行为改变并增强客户企业文化的安全意识。
影响:
桑坦德银行和“SevenHills”等已采用 SBCP 相关实践的组织已经看到:
提高员工对安全控制的采用。
减少不安全行为。
速度和敏捷性提高。
当员工有能力做出独立的网络风险决策时,可以更有效地利用网络安全资源。
然而,当前的投资往往不足以实现上述成果。2022 年Gartner网络安全意识调查发现,虽然 84% 的受访组织表示其意识计划的主要目标是改变行为,但 80% 的组织拥有的全职员工 (FTE) 不足,50%与他们的意识计划相关的FTE 低于 0.6 。
为了执行有效的 SBCP,SRM 领导者需要更多的FTE容量和能力、更加以平台为中心的技术架构以及提高项目设计的复杂性。鉴于对整体企业方法的要求,与传统的意识活动相比,SBCP 还需要整个组织内更多的高级管理人员支持和更多的时间投入。因此,毫不奇怪的是,在接受 Gartner 另一项调查的网络安全领导者中,有 68% 的人表示,他们发现为 SBCP 获得高管支持比之前的安全意识活动更具挑战性。16尽管如此,组织高级管理人员的明显和持续的倡导对于优化该计划提供显着改进的安全行为的机会以及根深蒂固更具安全意识的企业文化至关重要。
行动:
通过定期审查过去网络安全事件的可靠样本,确定与不安全员工行为相关的网络安全事件的数量和类型,将 SBCP 的工作重点放在最危险的员工行为上。
通过采用 Gartner PIPE 框架,使用适合可用资金和资源的可扩展方法,指导有效且高效地实施 SBCP。
通过使用结果驱动、以行为为中心的指标来帮助向执行利益相关者和董事会展示 SBCP 的业务价值,从而培养更高水平的持续和可见的执行支持。
描述:
网络安全结果驱动指标(ODM )是具有特殊属性的运营指标——它们使网络安全的利益相关者能够在网络安全投资和投资产生的提供的保护级别之间划清界限。ODM对于制定可防御的网络安全投资策略至关重要。它们以简单的语言反映了具有强大属性的商定保护级别,以便:
提供可信且合理的风险偏好表达,支持直接投资。
能够向没有技术背景的非 IT 管理人员进行解释。
充当支持直接投资以改变保护水平的价值杠杆。
ODM 协助解决许多几十年来一直存在问题的任务。例如,它们可以帮助:
制定业务决策以接受第三方风险而不承担责任。
支持 SRM 领导者使用多个半自主操作单元来管理安全保护级别,同时保持自主性。
支持并购中“买方”的网络安全尽职调查。
向高管解释重大网络事件,并指导具体投资来修复这些事件。
支持透明度,以教育高管、业务线和公司职能部门了解不适当或漫不经心的风险接受情况。
暴露矩阵管理问题,例如IT 团队在修补问题中所扮演的角色,而安全组织通常负责解决这些问题。
为什么热门:
2023 年 Gartner 网络安全领导者演变调查向首席信息安全官 (CISO) 提出了以下问题:“不断变化的业务目标对您的网络安全战略有何影响?”对此,60% 的人表示有一些影响或重大影响。当业务发生转变时,我们需要能够以可衡量且可防御的方式阐明剩余风险的变化。尽管对网络安全人员、流程和技术进行了大量投资,但网络安全事件对跨部门组织的频率和负面影响仍在持续上升。这削弱了董事会成员和 C 级领导者对其网络安全组织战略的信心。美国证券交易委员会 (SEC)的新监管、欧盟第二版网络和信息系统指令 (NIS2) 以及澳大利亚证券和投资委员会 (ASIC) 的最新信号凸显了政府对高管持续施加的压力,要求他们满足这一要求需要。
SRM 领导者继续努力传达网络安全投资的价值,超越监管合规性和“缩小功能和技术成熟度方面的差距”的重要性,而这两者与保护都没有有意义的相关性。将网络安全投资与商业价值联系起来的传统方法同样有限。支出不等于保护。网络风险量化仍处于起步阶段,成本高昂,并且仅支持广泛的战略决策。热图是非常主观的。
组织正在寻求一种衡量网络安全价值的方法,该方法能够与高管产生共鸣,并支持符合业务需求的实际投资决策。ODM 越来越多地被视为最有前途的候选者之一。
影响:
ODM 改变网络安全治理,以支持通过保护级别协议 (PLA)与非 IT 高管直接谈判资金和所需的保护级别。
管理结果取代了与高管讨论工具和技术的任何需要,同时在交付方法方面保持完全的灵活性。
ODM 提供了“风险偏好”的另一种定义,该定义较少涉及接受损失的意愿,而更多涉及实现商定的保护水平以及证明是否正在实现的愿望。
ODM 使 SRM 领导者能够重新设定他们的责任,这样就不再是为了防止违规,而是为了“让风险所有者保持在他们的风险偏好范围内”。
SRM 领导者必须鼓励非 IT 领导者减少对威胁场景和基于可能性的投资理由的兴趣,而更多地关注持续暴露的保护级别。
需要投资来准备系统和流程,以便为 ODM 持续收集新数据。
行动:
使用 Gartner 的工具:风险和安全性业务协调结果驱动指标目录来选择能够全面了解当前绩效与企业最大风险的 ODM。
与业务线和公司职能领导者协商每个 ODM 的保护级别(所需性能)。PLA 可能因运营组和部门而异。
使用 Gartner 的网络安全商业价值基准为利益相关者提供有关 ODM 绩效的外部视角。
开始在董事会层面报告 ODM 绩效,以支持董事会在监督风险偏好管理和决策方面的作用。
描述:
技术的获取、创建和交付继续从中央 IT 职能转移到业务线。这种转变打破了传统的网络安全运营模式。SRM 领导者正在调整网络安全运营模式,以满足自主、创新和敏捷性的业务需求。决策权正在变得分散,策略细节现在由边缘拥有,一些治理正在集中和正式化,以更好地支持边缘的风险所有者,SRM 领导者角色正在演变为价值推动者角色。
为什么热门:
企业使用技术的方式正在发生转变:在 Gartner 调查中,三分之二 ( 67%) 的首席执行官和高级业务主管表示希望直接在业务职能范围内完成更多技术工作。此外,许多企业正在经历数字化转型和云迁移,将工作分散在远程或混合模式中,并面临着将隐私、合规性和网络安全纳入业务运营的监管压力。因此,技术的获取、创建和交付的责任正在从中央 IT 职能转移到业务线、公司职能、融合团队甚至员工个人。
传统的网络安全运营模式无法适应这一新现实。网络安全需要与业务建立更紧密的联系,以保持数据资产的可见性并支持控制实施。自上而下的治理或控制将无法扩展,因为工作流程的异构性和技术所有权的分散意味着安全职能部门无法监督每一个涉及网络安全风险的决策。SRM领导者需要提高业务决策者的网络素养和网络判断力,以便员工能够将网络安全考虑融入到日常工作中,并实施协作风险管理流程。
影响:
Gartner 的研究表明,SRM 领导者正在采用各种策略来发展其网络安全运营模式:
他们正在“从中心化到去中心化”。这意味着集中和简化网络安全监督和协作决策,同时推动分散资源所有者的地方自治和问责制。先进的 SRM 领导者认识到,边缘的本地化网络判断可以降低风险并支持创造业务价值。
他们正在集中策略治理,同时使策略实施(例如标准和指南)更加灵活和本地管理,以适应边缘的控制所有权。事实上,Gartner 调查的 45% 的 CISO 正在整合或减少策略,而不是扩大策略政策。为了使策略更加用户友好,SRM 领导者及其团队现在正在与最终用户共同制定策略,并为风险和数据所有者提供对特定标准和实施的更多控制。
他们正在创建新流程并添加新功能来支持新的运营模式。例如,在 Gartner 调查中,64% 的 CISO 创建了新的网络安全流程,60% 在过去 24 个月内创建了新的团队或职能。
SRM 领导者在转变其角色和转变网络安全运营模式方面发挥着主导作用。在接受 Gartner 调查的 CISO 中,至少有 85% 的人领导或共同领导了其运营模式的变革,而不是从 CIO、CTO 或首席风险官等其他领导者那里接受变革。
行动:
通过与风险和业务职能部门的利益相关者建立代表指导委员会,促进协作、集中决策和网络判断(即员工自主做出风险知情决策的能力),并确保协作风险决策流程。
实施简化和标准化的网络安全流程,包括风险评估、风险接受、异常管理和冲突解决,以提高协作和风险决策效率。
制定灵活的政策框架,允许资源所有者根据其特定需求定制网络安全程序和控制措施。这可以增强风险管理的主人翁意识和责任感,同时保持政策合规性。
通过与业务利益相关者合作、促进网络判断并使安全措施与组织的动态需求保持一致,接受 SRM 领导者作为网络安全风险决策推动者不断变化的角色。
战略规划假设:到 2026 年, 50% 的大型企业将使用敏捷学习作为主要的技能提升/再培训方法。
描述:
全球网络安全人才短缺是一个长期存在的问题。仅在美国,合格的网络安全专业人员只能满足当前需求的 70%,这是过去十年来的历史最低水平。不幸的是,劳动力市场供需问题无法由个别 SRM 领导人解决。
可以解决的是新出现的技能差距。网络安全团队所需的技能正在发生巨大变化,但网络安全领导者仍在继续招聘传统角色和技能。SRM 领导者必须通过重新培训现有人才和雇用具有新能力的新人才来重新培训他们的团队。
为什么热门:
SRM领导者面临着大趋势的融合,所有这些都会影响网络安全团队蓬勃发展所需的技能。这些趋势包括:
云采用。大多数组织现在都是云优先(或云首选)实体。他们向云的迁移进一步推动了对底层基础设施安全的抽象。
GenAI。GenAI 工具的快速崛起和普遍可用性改变了必须保护的技术和网络安全团队将使用的工具。
运营模式转型。网络安全专业人员越来越需要与业务合作伙伴合作并通过业务合作伙伴合作,而不是单独管理网络安全实施。
供应商整合。这意味着网络安全团队必须管理更少的安全解决方案套件和供应商关系。
威胁范围的扩大。现在的威胁包括网络物理系统、远程工作、GenAI 技术以及员工对低代码/无代码解决方案的使用。
增强的互联劳动力。为了使组织内部的 GenAI 先驱成为可能,我们正在制定和实施战略,以优化人类员工的价值。
总的来说,这些趋势正在改变网络安全团队所需的技能。对新技能的需求增长速度将快于新角色、新认证、新职位描述、新头衔等的广泛创建。因此,学习和发展解决方案、招聘平台和人力资源实践将落后于网络安全的需求。
影响:
网络安全团队需要新技能,其中许多技能尚未定义或标准化。SRM 领导者应考虑以下影响:
“相邻技能”将解决一些技能差距。在人力资源实践、职位描述模板以及认证和培训服务赶上之前,对新兴技能的需求将会增长。SRM 领导者将需要招聘“相关技能”(内部和外部),以大致满足新兴技能需求,以便驾驭上述大趋势。
“软”技能将胜过技术实力。风险决策和政策细节越来越多地掌握在网络安全直接权限之外的边缘。网络安全团队需要更多的软技能,例如商业头脑、口头沟通能力和同理心,以便与他人合作。这些技能可帮助网络安全专业人员了解网络风险如何影响业务成果、控制措施如何给业务带来摩擦,以及如何通过谈判获得平衡网络风险与其他考虑因素的结果。
新的挑战需要新的技能。网络安全团队将需要新技能,其中许多技能在过去几年中并不存在。这些技能可能是全新网络安全角色或增强现有角色的新技能的一部分。例如,数据科学家可能需要人工智能伦理方面的技能,安全意识管理者可能需要人类心理学方面的技能。
行动:
制定网络安全劳动力计划。记录新兴技能需求,并将其映射到当前或新型网络安全角色。与网络安全员工交流您的路线图,以便他们了解自己的角色将如何演变,以及领导层将如何支持他们的持续发展和职业发展。
雇用未来,而不是过去。更新职位描述和外包 RFP,以反映预期的未来而不是过去的技能需求。小心删除遗留技能,以免制定描述“独角兽”的职位描述——不存在或几乎不可能找到、雇用和留住的理想申请人。
培养敏捷的学习文化。围绕敏捷学习改进网络安全的学习和发展计划。敏捷学习优先考虑通过迭代、短时间爆发的实践技能开发,而不是基于瀑布的培训和认证计划。
自去年以来的变化
持续威胁暴露管理 (CTEM)。随着攻击面的扩大,SRM 领导者意识到他们需要新的流程来做出有效的决策。最初,漏洞评估和基于风险的漏洞管理实践并没有达到此目的所需的效果,并且给已经发现的大量漏洞增加了无法修补的风险。但为更好地将评估范围与解决问题的能力结合起来所做的初步努力显示出有希望的结果。除此之外,这些努力显着标准化了管理威胁暴露的实践,并将由CTEM 等新流程管理的安全态势管理联系起来。