天极按
安全与风险管理 (SRM)领导者可以通过与业务利益相关者积极合作,使用生成式人工智能(GenAI) 来提高安全职能部门的声誉和绩效。这将有助于为合乎道德、安全可靠地使用这一颠覆性技术奠定基础。
投资于第三方服务和软件的有效风险管理、增强身份结构的安全性以及对混合数字环境的持续监控,可以强化组织的攻击面并增强其弹性。
将安全治理工作与使用与业务相一致的网络安全报告相结合,可以提高安全职能部门的绩效和声誉,使其成为受信任的合作伙伴和组织战略目标的关键推动者。
加强对安全计划中人的因素的关注,在最大限度地减少员工不安全行为的影响方面继续显示出重要的前景。在民主化数字环境中尝试新兴技术时,它也能提供更大的保障。
作为一名寻求优化组织网络安全计划和投资的SRM 领导者,应该:
通过在组织的数字和第三方生态系统中实施持续、务实、与业务相匹配的风险管理工作,提高组织的应变能力。扩展身份和访问管理(IAM)在降低网络安全风险方面的作用。
通过协调网络安全决策,支持分散的技术项目。使用与保护级别协议(PLAs)相一致的业务调整、结果驱动型指标(ODMs)来衡量安全功能的性能。
通过采用包含数据解耦策略的可组合应用架构,在面对本地化规则时实现弹性运营。
采取以人为本的战略方法,通过对现有安全人才进行再培训、使用GenAI来增强(而不是取代)人力,以及实施与上下文相适应的安全行为和文化计划,来提高安全功能的性能。
到 2026年,根据持续威胁暴露管理计划确定安全投资优先级的企业将实现漏洞减少三分之二。
到 2025年,10%的全球企业将运营一个以上受特定主权数据战略约束的离散业务部门,在业务价值相同的情况下,业务成本将增加一倍或更多。
到 2025年,生成式人工智能将导致保护其安全所需的网络安全资源激增,导致应用和数据安全支出增加15%以上。
到 2025年,40%的网络安全项目将采用社会行为原则(如推理技术)来影响整个组织的安全文化,而2021 年这一比例还不到5%。
到 2027年,50%的大型企业首席信息安全官(CISO)将采用以人为本的安全设计实践,以最大限度地减少网络安全引起的摩擦,并最大限度地采用控制措施。
到 2026年,50%的大型企业将把敏捷学习作为提高技能/再培训的主要方法。
2022年末,生成式人工智能(GenAI)作为一种主流能力出现,引发了数十年来数字和商业领域最大的变革之一。它是SRM 领导者不可忽视的强大力量。然而,虽然GenAI 已成为不可忽视的力量,但还有其他SRM领导者无法控制的外部力量,必须继续与之抗衡,同时还面临着:
寻求弥合安全人才供需之间的鸿沟。
云应用的持续增长,扩大并改变了数字生态系统的构成。
公共和私营部门对网络安全、隐私和数据本地化的监管义务和政府监督不断增加。
企业数字化能力持续分散。
在不断变化的威胁环境中管理安全风险的永恒挑战。
SRM领导者正通过在其安全项目中采用一系列实践、技术能力和结构改革来应对这些力量的综合影响,以期提高组织的复原力和网络安全职能的绩效。
出于几个相互关联的原因,提高组织复原力已成为安全投资的主要驱动力:
由于越来越多地采用云技术,数字生态系统不断扩展。
组织正在强化混合工作安排。
威胁环境不断演变,新兴能力也让攻击者更加激进。
SRM领导者越来越认识到,试图修复企业不断扩大的数字环境中数量激增的漏洞是愚蠢的。因此,支持持续威胁暴露管理(CTEM)和提供更强大、更安全的身份和访问管理(IAM)功能的项目(这两项都是2023 年的持续趋势)的发展势头仍在继续。
此外,采用以恢复力为重点的第三方网络安全风险管理方法的SRM领导者在降低风险和加快启动新的数字化计划方面也收获颇丰。
使用云服务的跨国组织正在采用模块化应用和数据架构,以帮助他们遵守全球范围内的隐私和数据主权要求。这被视为应对数据本地化要求增加和降低业务中断风险的关键。
GenAI 作为另一项需要管理的挑战,占据了SRM 领导者的大量头脑空间。但是,积极主动的SRM 领导者也看到了利用GenAI 的能力在操作层面增强安全功能的机会。
安全使用GenAI 的需求进一步影响了安全技能的规划和发展。
发展。这也是旨在最大限度地减少员工不安全行为影响的安全行为和文化计划日益受到重视的一个重要原因。
监管框架的加强使得改进网络安全董事会报告变得势在必行,而不仅仅是可取的。因此,以结果为导向的衡量标准正被越来越多地采用,以促进更有效的网络安全风险和投资决策。
随着组织不断分散和民主化数字决策,改革安全运营模式的趋势依然存在。图1 总结了2024 年的主要网络安全趋势。
到2026年,根据持续威胁暴露管理计划确定安全投资优先级的组织将实现漏洞减少三分之二的目标。
近年来,组织攻击面大幅扩大。推动这一增长的主要因素包括SaaS的加速应用、数字供应链的扩展、企业在社交媒体上的影响力增加、定制应用程序的开发、远程办公以及基于互联网的客户互动。攻击面的扩大给企业带来了潜在的盲点和大量需要解决的潜在风险。
为应对这种情况,SRM领导者引入了试点流程,通过持续威胁暴露管理(CTEM)计划来管理威胁暴露的数量和重要性以及处理这些威胁暴露的影响。现在,他们正在将这些试点扩展到网络安全验证活动之外。更成熟的组织开始提供一系列安全优化措施,以更好地调动业务领导者的积极性,而不仅仅是短期补救措施。
大多数组织管理威胁暴露的工作过于专注于查找和纠正基于技术的漏洞。这种关注点受到了安全运营合规计划的鼓励,但往往没有考虑到现代组织运营实践中的重大转变,例如向云驱动应用程序和容器的转变。在当前模式下,打补丁和保护基于软件的物理系统和自我管理系统是主要目标,安全团队必须改进并超越这一模式。SRM领导者已经意识到,现有的做法不够广泛,同时,人员编制限制了可完成的工作量。
越来越多地采用CTEM 计划的具体原因包括:
缺乏对大量潜在问题的可视性。组织可能面临威胁的 例如,在 2023 年,84%的代码库中至少发现了一个开源漏洞。我们需要新的方法来确定潜在问题的范围并对其进行分类,以提供指导,并为补救可能对业务产生重大影响的问题提供机会。
各业务部门各自为政地获取技术。随着技术 技术比以往任何时候都多,但多个部门对技术的获取却难以跟踪,其所有权也难以确定。SRM领导者需要现代化的方法来应对和动员已发现的使组织面临风险的风险。
更加依赖第三方。企业可以从各种业务合作伙伴和软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务(PaaS)供应商那里获得其他运营能力,但网络风险的所有权却不能与这些能力一起外包。在过去十年中,典型组织使用的SaaS 应用程序数量迅速增长,根据最近的报告,SaaS应用程序的数量已达到约130 种。
与暴露相关问题的关注重点已经从简单地管理商业产品中的软件漏洞转移到了暴露相关问题上。对于安全运营团队来说,意识到如此大规模的技术风险增加是难以承受的。如果不能与业务目标保持一致,就会在首先解决哪些问题上做出错误决策,这将导致无法量化的风险敞口,并有可能浪费安全预算来补救那些无关紧要的问题。SRM领导者必须使用更广泛的流程进行威胁暴露管理,同时平衡已经捉襟见肘的运营团队,并创建有效和预先商定的补救动员渠道,以应对发现的问题。
将 CTEM的范围与业务目标相结合,重点关注相关问题。SRM领导者必须通过强调对组织关键业务具有最大潜在影响的问题,提高风险暴露的可见度,并吸引其他高层领导的兴趣。他们应缩小CTEM的范围,与业务目标保持一致,使用熟悉的语言解释对业务而非技术的影响。
通过验证减少优先级问题的数量。引入验证步骤和支持技术,如漏洞和攻击模拟(BAS)和自动渗透测试工具。此类工具通过突出显示已发现的问题,减轻了漏洞评估(VA)解决方案等暴露评估工具的输出所带来的负担,这些问题可能是使用真实世界的技术进行真正的入侵所导致的。
开展前期工作,让响应的业务部门参与进来。SRM领导者必须拓宽自己与各部门负责人、资产所有者和第三方之间的沟通渠道,以便有明确的路径来调动响应和补救措施。通过明确阐述和讨论与推迟补救工作相关的残余风险,吸引业务部门和资产所有者的注意。提供短期和长期方案,以减少或消除风险。
身份优先的安全方法将重点从网络安全和其他传统控制转移到了IAM。它使IAM成为企业网络安全成果的关键贡献者,从而也是业务成果的关键贡献者。采用这种方法的组织必须更加关注基本的IAM 卫生和IAM系统的加固,以提高复原力。这包括通过扩大对云权限和机器身份的控制,以及引入新的身份威胁检测和响应(ITDR)高级功能等方式,弥补在预防能力方面长期存在的差距。IAM架构正朝着身份结构的方向发展,并承担新的功能,以可组合的方式实现实时身份控制。
IAM 在网络安全中的作用一直在稳步提升。截至2023 年,IAM是使用Gartner 客户问询服务的SRM 领导者最常讨论的第二大话题。
针对身份基础设施的攻击很常见,防御者正在使用ITDR等策略来应对。
从 IaaS到SaaS,在云共享责任模式中,IAM和数据安全都是客户的责任。
在Gartner的一项调查中,近三分之二的受访者预计他们的企业将在未来12 个月内增加对IAM功能的投资,包括欺诈检测、身份验证、客户身份、劳动力身份治理和管理以及权限访问管理。
身份优先安全正在成为安全的一个关键控制面。
与Gartner 客户的交谈表明,他们越来越多地在IAM中使用成果驱动指标(ODM),以鼓励提高安全性。这些指标侧重于通过影响身份特定变量(如身份数据的准确性)来增强复原力和安全性,并使企业更接近最小特权原则。
基于以上几点,Gartner认为IAM 在企业安全计划中的作用越来越大。因此,企业的IAM 实践需要不断发展。
企业必须加倍努力,实施更好的身份卫生措施。糟糕的身份卫生会破坏ITDR的潜在收益。遗漏的权限为攻击者提供了切入点,为横向移动创造了机会,并可能加剧简单错误造成的附带损害。鉴于权限、账户甚至本地账户库的数量庞大,全面实施卫生管理是一项艰巨的任务。ODM可以帮助确定实施更好的卫生性的方向性指导,但也需要自动化。
ITDR需要额外的努力和技能。它只有在注重安全卫生的情况下才能有效发挥作用。使用其他安全检测和响应流程的组织,甚至可能拥有自己的安全运营中心(SOC),可以从ITDR 中获益,但这需要对SOC 团队进行IAM 培训。
IAM 基础设施必须改变,以深化对安全功能的支持。目前使用的许多传统IAM 基础架构都过于复杂,存在很大差距。IAM技术债务,即次优或低效IAM 技术决策的技术积累,是一个普遍存在的问题。
IAM基础设施必须发展成为身份结构,以实现身份优先的安全性。它必须使用并代理上下文,以一致的方式为任何适用的人类或机器提供并支持自适应、持续、风险感知和弹性访问控制。
加倍努力实施适当的身份卫生。将其定义为安全计划的优先事项,并使用ODM 提供方向性指导,设定改进标准。
通过对安全运营人员进行IAM 培训,扩大ITDR的实践范围。为关键企业身份系统实施安全态势评估以及威胁检测和响应功能。
重构身份基础架构,通过向身份结构演进来支持身份优先的安全原则。从使用可组合工具策略开始,改进IAM 工具之间的集成。
第三方不可避免地会遭遇网络安全事件,这迫使SRM领导者更加关注以复原力为导向的投资,并放弃前期的尽职调查活动。不断进步的SRM领导者正在优先考虑弹性驱动型活动,如实施补偿控制和加强事件响应规划。与此同时,他们还为业务合作伙伴提供有针对性的支持,以为第三方合同提供信息并影响控制决策。
SRM领导者越来越多地将资源投入到合同前的尽职调查活动中。与2021 年相比,在2023 年Gartner Reimagine第三方网络安全风险调查中,近三分之二(65%)的受访者表示增加了预算,76%的受访者在第三方网络安全风险管理计划上花费了更多时间。
尽管初衷是好的,但这种不断增长的投资并没有产生预期的效果。在同一项调查中,45%的受访者表示,与两年前相比,因第三方网络安全相关事件而造成的业务中断数量有所增加。
对TPCRM采用弹性驱动、资源节约型方法的企业已经取得了切实的成功。在最大限度地减少第三方事件的影响方面,它们超出行政领导预期的可能性要高出一倍多: 近 80% 的受访企业采用了这种TPCRM 方法,在启动新数字化计划的速度方面领先于同行。
希望采用这种方法的SRM 领导者必须认识到以下几点:
业务优先事项影响TPCRM 工作,反之亦然。业务领导是成功开展TPCRM的核心。与他们接触,了解他们的优先事项,能让供应商关系管理领导者阐明利害攸关的价值,并调整计划。
与此同时,这种参与还能让企业做出更好的基于风险的决策,并促进实施安全控制,从而提高复原力。
TPCRM 是一项协作努力。着眼于安全团队的资源效率,TPCRM需要与所有在第三方风险管理中发挥作用的风险职能部门建立伙伴关系。必须共同制定政策、程序和做法,以确保各职能部门的一致性,并尽量减少工作流程方面的摩擦。
关键第三方是盟友。SRM领导者必须将其参与战略从维持治安转变为与第三方合作。这将有助于确保关键第三方接触到的企业所有最有价值的资产(如重要数据、网络和业务流程)得到持续保护。建立互惠互利的关系可提高透明度,促进第三方实施控制措施,并在发生网络安全事件时加强合作。
针对网络安全风险最高的第三方业务,加强应急计划。创建针对第三方的事件处理手册,开展桌面演练,并制定明确的离职策略,例如及时撤销访问权限和销毁数据。
通过提高尽职调查的效率,将资源重新分配给弹性驱动型活动。使用行业标准风险问卷,而不是广泛定制风险问卷。投资自动化技术,帮助网络安全团队大规模分析问卷回复。
与关键第三方建立互利关系。在超级互联的环境中,供应商的风险也是您的风险。首先,制定安全要求基线,评估供应商在风险管理实践方面的成熟度。其次,与能够接触到关键资产的非成熟的供应商合作并分享经验,同时推荐风险管理的控制措施。
到 2025年,10%的全球企业将运营一个以上受特定主权数据战略约束的离散业务单元,在业务价值相同的情况下,业务成本将增加一倍或更多。
几十年来一直依赖单租户应用程序的跨国公司(MNCs)面临着越来越高的合规性要求和业务中断风险。这是由于越来越多的国家隐私和数据保护以及本地化要求导致了企业应用架构和数据本地化实践的强制碎片化。有远见的企业正在通过规划和实施不同层次的应用和数据解耦战略来应对这种情况。这些策略包括减少IT资源依赖性,采用模块化和可组合架构(包括行业云平台),以及隔离高度受监管市场的应用程序、数据存储库和基础设施。这有助于降低合规风险,创造竞争优势。
由于日益复杂的地缘政治风险和合规义务,跨国运营变得更具挑战性。 地缘政治风险和合规义务阻碍了全球一致的企业 架构。与个人数据相关的 "主权"考虑已演变为 个人和关键业务信息的本地化要求。随着 要求数量和范围的扩大促使跨国公司调整其云应用战略。跨国公司已转向模块化应用架构设计,或将其全球总部的集中式应用与在其中有大量业务运营的高风险市场脱钩。
脱钩工作对网络安全和数据安全的影响与以下方面有关:
合规。合规工作和审计的复杂性大大增加,这是因为目标地区的新法规提出了新的要求,而且这些要求往往相互冲突。
数据迁移和集成实践。应用程序和数据存储的脱钩会导致隔离和互操作性挑战,从而降低信息的保真度,阻碍业务连续性和创新。跨国公司可以结合边缘运营和可组合架构来缓解其中的一些挑战。
数据架构和存储。数据本地化的要求正在促使应用程序和数据的托管方式发生快速变化,这加剧了攻击面的扩大。同时,数据访问和威胁管理协调也需要重新设计,因为数据本地化的相同要求使得从一个中央位置开展此类活动变得困难,甚至不可能。
安全开发实践。随着应用程序的改版,安全要求有机会"融入"开发实践中,而不是"事后加装"。如果应用程序需要解耦,不同辖区的安全标准可能会有所不同。
坚持不懈地与业务、IT和法律团队合作,为企业已开展业务的国家和计划拓展的国家制定数据本地化要求。法律部门必须确定任何不合规和法律冲突的情况,并共同制定包括成本效益分析在内的缓解策略。
维护数据清单和地图,以确定符合本地化要求的信息资产。优先投资可持续发现云中敏感数据和个人数据的工具。这将为数据安全战略提供信息,并作为数据或信息管理设置的输入,以最大限度地增加业务利益相关者的知识和支持。
将安全开发实践纳入软件开发生命周期。采用模块化方法,配合向可组合应用、微服务架构、云/容器部署等的全面转变,应用安全架构控制。
到2025年,为确保生成式人工智能的安全,所需的网络安全资源将激增,导致应用和数据安全支出增加15%以上。
大型语言模型(LLM)应用(如ChatGPT)已将生成式人工智能(GenAI)提上日程,并纳入许多业务、IT和网络安全路线图。GenAI引入了新的攻击面,需要加以保护。这需要改变应用程序和数据安全实践以及用户监控。GenAI还将改变网络安全市场的动态。
GenAI 已经以多种方式对SRM 领导者产生影响,其中包括:
直接且紧迫:首先,需要解决ChatGPT不受管理和控制的使用问题,以最大限度地降低风险。最显著的问题是在第三方GenAI应用程序中使用机密数据,以及使用未经审核的生成内容可能造成的版权侵犯和品牌损害。业务计划推动了对GenAI应用程序安全的要求,在传统应用程序安全防御的基础上增加了新的攻击面。
直接非紧迫: 网络安全提供商发布了一波夸张的人工智能公告,旨在激发人们对GenAI可能做什么的兴趣。这些早期公告大多涉及交互式提示
间接且多变: 在 SRM 领导者为2024 年制定计划时,由于隐私问题和威胁行为体获得LLM 技术,对新的风险和威胁提出了合理的质疑。
间接且潜在: 随着组织内越来越多的团队,可能是几乎所有团队都在努力将GenAI功能集成到自身系统中,网络安全团队需要不断适应流程的变化。
增加GenAI 的使用是不可避免的。在2024 年Gartner 首席信息官和技术主管调查中,只有3% 的受访者表示对GenAI 不感兴趣。SRM领导者暂不采用针对GenAI 应用程序的新安全实践,或忽视GenAI 的安全用例,都有可能在其他公司采用GenAI时失去组织的竞争优势。同一调查发现,三分之一(34%)的企业计划在未来一年内部署GenAI。
SRM 领导者还需要为快速发展做好准备,因为像ChatGPT 这样的LLM 应用程序只是GenAI 破坏的开始。多模态GenAI已经将GenAI 用例的范围扩展到了文本之外。
安全团队经常证明有能力适应模式的变化。然而,旨在保护GenAI 应用程序安全的新兴安全工具尚不成熟,GenAI应用程序架构的动态变化,使得制定最佳实践和提出建议变得困难。根据《2024年Gartner 大型企业技术采用路线图调查》,使用GenAI 的三大风险相关问题是:
1.第三方对敏感数据的访问。
2.GenAI 应用程序和数据泄露。
3. 决策错误。
GenAI的炒作缩小了安全领导者的时间视野。他们不得不对组织内出现的许多GenAI计划做出紧急反应,这种情况与企业开始向云迁移时的情况类似。SRM领导者不能尘埃落定后再做准备和计划,因为:
尽管拥有现有人工智能项目的组织可以调整其现有的治理政策,但那些转向GenAI 的组织则需要从头开始制定政策。除其他外,确定GenAI应用程序的数据保密性、输出偏差和漂移、版权侵犯、可信度和可解释性的责任需要新的或更新的治理原则。
应用程序安全实践必须快速发展,以便:
集成新的开发工具,如GenAI代码助手。在运行时和整个开发周期确保新攻击面的安全。
满足隐私和数据安全要求,特别是通过评估和实施隐私增强技术。
评估并在应用安全工具中使用新的GenAI 技术。
由于新工具将增强现有工作流程并降低安全团队的学习曲线,因此对技能的要求也将不断变化。随着从事某些关键工作所需技能的发展,风险水平也将发生变化。
技术市场将出现以GenAI为中心的新工具,其竞争态势也可能发生变化。这将改变供应商的格局,但首先需要新的评估要求,以评估新GenAI 功能的价值和带来的风险。
技能要求将不断变化,因为新工具将增强现有的工作流程,降低安全团队的学习曲线。随着从事某些关键工作所需技能的发展,风险水平也将发生变化。
技术市场将出现以GenAI为中心的新工具,其竞争态势也可能发生变化。这将改变供应商的格局,但首先需要新的评估要求,以评估新GenAI 功能的价值和带来的风险。
在网络安全实践中,安全操作和应用安全是供应商通过使用GenAI增加能力的两个主要领域。早期的实施采用助手的形式,基本上是一种旨在回答问题的交互式提示。
人工智能消费: 将第三方 GenAI应用程序和嵌入现有应用程序中的GenAI 功能的新用例的清点、监控和管理工作产业化。将IT 和软件供应链依赖性纳入风险评估。
供应商和技术选择要求: 更新要求,以应对隐私、版权、可追溯性和可解释性方面的挑战。为进入组织的基于GenAI的产品制定政策并进行监督,以便希望使用该技术的内部团队能够理解一套商定的统一政策。
人工智能应用的安全性: 更新应用程序和数据安全实践,以整合新的攻击面,例如用于检测人工智能模型的提示或协调层。评估支持人工智能信任、风险和安全管理(TRiSM)框架的技术。
生成式网络安全人工智能:在将GenAI集成到网络安全计划中之前,先进行概念验证,从应用程序安全和安全操作开始。目标是增强人类的工作,而不是取代人类,并确保新工具在改进自身的同时,也能增加团队的知识。
威胁环境的变化: 监控检测准确性和现有安全控制总体性能的下降。确保您能够获得有关不断变化的威胁环境的正确情报。承认并宣传针对未来GenAI攻击的情景规划非常棘手,而且可能不是最有利的资源利用方式。
到 2025年,40%的网络安全计划将采用社会行为原则(如推力技术)来影响整个组织的安全文化,而2021 年这一比例还不到5%。
到 2027年,50%的大型企业CISO将采用以人为本的安全设计实践,以最大限度地减少网络安全引起的摩擦,并最大限度地采用控制措施。
安全行为和文化计划(SBCP)是一种企业范围内的方法,旨在最大限度地减少与员工行为相关的网络安全事件。
SBCP的主要目标是改变行为。它包括意识培训和网络钓鱼模拟等传统做法,以及一系列影响行为的学科,包括:
组织变革管理。
以人为本的用户体验(UX) 设计。
DevSecOps
SBCP还考虑了一系列影响程序设计的因素,并鼓励采用基于平台的架构,以帮助:
降低员工对社交工程的易感性,提高他们在受到攻击时的反应能力。
改进安全控制的采用。
最大限度地减少通过系统采购流程引入的漏洞。
在不增加安全风险的前提下,实现以业务为主导的灵活数字决策。
客户和供应商已经认识到,目前只注重提高员工网络安全意识的做法 网络安全意识在很大程度上无法有效减少因员工行为而导致的安全事件数量。员工行为导致的安全事件数量。2022年Gartner 安全行为驱动因素调查发现:
69%的受访员工承认在过去12 个月中故意绕过安全控制。
93%的员工明知自己的行为会增加组织的风险,但仍然采取了这些行为。
GenAI的民主化扩大了挑战,因为它使员工有可能不受限制地获得强大的技术能力,如果不小心使用,可能会导致数据泄露。SRM领导者认识到,将重点从提高意识转移到促进行为改变将有助于降低网络安全风险。此外,这种转变还能让SRM 领导者应对"安全疲劳"、控制摩擦以及不顾风险而优先考虑速度和利润的组织文化等挑战。
根据调查69%的受访员工承认在过去12 个月中故意绕过安全控制。
93% 的员工明知他们的行为会增加组织的风险,但还是采取了这些行为。
改进员工对安全控制的采用。
减少不安全行为。
提高速度和灵活性。员工能够独立做出网络风险决策,从而更有效地使用网络安全资源。
然而,目前的投资往往不足以实现上述成果。为了有效执行SBCP,SRM领导者需要更多的全职等效人员和能力,更以平台为中心的技术架构,以及更复杂的计划设计。与传统的宣传活动相比,SBCP需要整个企业的支持和更多的时间投入。
通过定期审查过去网络安全事件的可靠样本,确定与员工不安全行为相关的网络安全事件的数量和类型,从而将SBCP 的工作重点放在风险最大的员工行为上。
采用Gartner PIPE框架,使用与可用资金和资源相适应的可扩展方法,指导切实有效地实施SBCP。
通过使用以结果为导向、以行为为中心的衡量标准,帮助向高管利益相关者和董事会展示SBCP的业务价值,从而促进更高水平的持续、可见的高管支持。
网络安全成果驱动指标(ODM)是一种具有特殊属性的运营指标,使网络安全的利益相关者能够在网络安全投资和投资所产生的保护水平之间划出一条直线。ODM是制定可辩护的网络安全投资战略的核心。以简洁的语言反映了具有强大属性的商定保护级别,以便:
为支持直接投资的风险偏好提供可信且可辩护的表述。
可以向没有技术背景的非IT 高管解释。
作为价值杠杆,支持直接投资以改变保护级别。
ODM 协助完成了许多几十年来一直存在问题的任务。有助于:
解决接受第三方风险而不承担责任的业务决策问题。支持拥有多个半自主运营单位的SRM 领导者管理安全保护级别,同时保持自主性。
支持并购中"买"方的网络安全尽职调查。向高管解释重大网络事件,并指导具体投资以修复这些事件。
提高透明度,让高管、业务部门和公司职能部门了解不恰当或轻率的风险接受方式。
暴露矩阵式管理问题,如IT团队在修补问题中扮演的角色,而这些问题通常由安全组织负责
除了监管合规的重要性和"缩小功能和技术成熟度方面的差距"之外,SRM领导者仍然很难传达网络安全投资的价值,而这两者都与保护没有实际关联。将网络安全投资与业务价值联系起来的传统方法也同样有限。支出不等于保护。网络风险量化仍处于起步阶段,成本高昂,只能支持广泛的战略决策。各组织都在寻求一种能与高管产生共鸣、支持符合业务需求的实际投资决策的网络安全价值衡量方法。作为最有前途的候选方案之一,ODM正被越来越多地采用。
ODM 改变网络安全治理,支持与非IT高管直接谈判,通过保护级别协议(PLA)获得资金和所需的保护级别。
管理结果取代了与管理人员讨论工具和技术的需要,同时在交付方法方面保持了完全的灵活性。
ODM 为"风险偏好"提供了另一种定义,它与接受损失的意愿关系不大,而更多的是希望实现商定的保护水平,并证明是否实现了这些保护水平。
ODM 使SRM领导者能够重新设定他们的责任,从而减少对防止违规行为的关注,而更多地关注"将风险所有者控制在其风险承受范围内"。SRM领导者必须鼓励非IT领导者减少对威胁情景和基于可能性的投资理由的兴趣,而更多地关注持续暴露的保护水平。
需要投资准备系统和流程,以便为ODM 不断收集新数据。
使用Gartner 工具: 使用 Gartner的工具:"风险与安全的业务对齐成果驱动指标目录",选择能够全面反映企业最大风险当前表现的ODM。
与业务线和企业职能部门领导协商每个ODM 的保护级。不同运营集团和部门的PLAs 可能会有所不同。
使用Gartner 的网络安全业务价值基准,为利益相关者提供ODM 性能的外部视角。
开始在董事会层面报告ODM业绩,以支持董事会在监督风险偏好管理和决策方面的作用。
技术的获取、创建和交付不断从中央IT职能转移到业务线。这种转变打破了传统的网络安全运营模式。SRM领导者正在调整网络安全运营模式,以满足企业对自主性、创新性和灵活性的需求。决策权正在变得分散,政策细节现在由边缘部门拥有,一些治理工作正在集中化和正规化,以更好地支持边缘部门的风险所有者,SRM领导者的角色正在演变为价值促进者的角色。
企业使用技术的方式正在发生转变: 在 Gartner的一项调查中,三分之二(67%)的首席执行官和高级业务主管表示,希望在业务职能部门内直接完成更多的技术工作。此外,许多企业正在进行数字化转型和云迁移,将工作分散到远程或混合模式中,并面临将隐私、合规性和网络安全纳入业务运营的监管压力。因此,获取、创建和交付技术的责任正在从中央IT 职能转移到业务线、企业职能、融合团队甚至员工个人。
传统的网络安全运营模式无法适应这一新的现实。网络安全需要与业务部门建立更紧密的联系,以保持数据资产的可见性并支持控制措施的实施。SRM领导者需要提高业务决策者的网络素养和网络判断能力,这样员工才能将网络安全因素纳入日常工作,并实施协作式风险管理流程。
Gartner的研究表明,SRM领导者正在采取各种战略来发展其网络安全运营模式:
"从集中到分散"。这意味着集中和简化网络安全监督和协作决策,同时推动分散资源所有者的地方自治和问责制。先进的SRM领导者认识到,边缘的本地化网络判断可降低风险并支持创造业务价值。
集中管理政策,同时使政策实施更加灵活,并进行本地管理,以适应边缘的控制所有权。事实上,在接受Gartner 调查的CISO 中,45%正在整合或减少政策,而不是扩大政策。为了使政策更便于用户使用,SRM领导者及其团队现在正与最终用户共同制定政策,并让风险和数据所有者对具体标准和实施拥有更多控制权。
创建新的流程,增加新的功能,以支持新的运营模式。例如,在Gartner 的一项调查中,64%的CISO 在过去24 个月内创建了新的网络安全流程,60%的CISO 创建了新的团队或职能。
SRM 领导者在发展自身角色和转变网络安全运营模式方面发挥着主导作用。在Gartner 的调查中,至少有85%的首席信息安全官领导或主导了运营模式的变革,而不是接受首席信息官、首席技术官或首席风险官等其他领导的变革。
通过建立一个由来自风险和业务职能部门的利益相关者组成的具有代表性的指导委员会,促进协作式、集中式决策制定和网络判断(即员工自主做出风险知情决策的能力),并确保协作式风险决策制定流程。
实施简化和标准化的网络安全流程,包括风险评估、风险接受、异常管理和冲突解决等,以加强协作和提高风险决策效率。
制定灵活的政策框架,允许资源所有者根据自身的具体需求定制网络安全程序和控制措施。这样既能增强风险管理的主人翁意识和责任感,又能保持政策合规性。
与业务利益相关者合作,促进网络判断力,并使安全措施与组织的动态需求保持一致,从而接受SRM领导者作为网络安全风险决策促进者的不断演变的角色。
到2026 年,50%的大型企业将把敏捷学习作为主要的技能提升/再培训方法。
全球网络安全人才短缺是一个长期存在的问题。仅在美国,合格的网络安全专业人员仅能满足当前需求的70%,这是十年来的历史新低。网络安全团队所需的技能正在发生巨大变化,但网络安全领导者仍在为传统角色和技能招聘人才。SRM领导者必须对现有人才进行再培训,并聘用具备新技能的新人才,从而重新掌握团队的技能。
SRM领导者面临着各种大趋势,所有这些趋势都会影响网络安全团队发展所需的技能。这些趋势包括:
采用云技术。大多数组织现在都是云优先(或云首选)实体。他们向云的迁移进一步推动了从确保底层基础设施安全的抽象化。
GenAI。GenAI工具的迅速崛起和普遍可用性改变了必须确保安全的技术和网络安全团队将使用的工具。
运营模式转型。网络安全专业人员越来越需要与业务合作伙伴合作并通过他们开展工作,而不是单独管理网络安全的实施。
供应商整合。这意味着网络安全团队必须管理更少的安全解决方案套件和供应商关系。
威胁范围扩大。现在的威胁环境包括网络物理系统、远程工作、GenAI技术和员工使用低代码/代码解决方案。
增强型互联员工队伍。为使企业内部的GenAI先锋能够发挥作用,目前正在制定和实施相关战略,以优化人类员工的价值。
总之,这些趋势正在改变网络安全团队所需的技能。对新技能需求的增长速度将超过新角色、新认证、新职位描述、新头衔等的广泛创建速度。因此,学习与发展解决方案、招聘平台和人力资源实践将落后于网络安全的需求。
网络安全团队需要新技能,其中许多技能尚未定义或标准化。SRM领导者应考虑以下影响:
"邻近技能"将解决某些技能缺口。在人力资源实践、职位描述模板以及认证和培训服务跟上之前,对新兴技能的需求就会增长。SRM领导者将需要从内部和外部招聘"邻近技能",以满足新兴技能需求,从而驾驭上述大趋势。
软"技能将超越技术能力。风险决策和政策细节越来越多地由边缘部门掌控,超出了网络安全部门的直接权限。
新挑战需要新技能。网络安全团队将需要新的技能,其中许多技能在过去几年并不存在。这些技能可能是全新网络安全角色的一部分,也可能是增强现有角色的新技能。
制定网络安全劳动力计划。记录新出现的技能需求,并将这些需求与当前或新出现的网络安全角色相匹配。与网络安全员工共同制定路线图,让其了解自身角色演变路线,以及领导层对持续发展和职业晋升的支持方式。
为未来而不是过去招聘。更新职位描述和外包招标书,以反映预期的未来而非过去的技能需求。
培养敏捷的学习文化。围绕敏捷学习改造网络安全的学习与发展计划。与基于瀑布式的培训和认证计划相比,敏捷学习优先考虑通过迭代、短期的方式开发实践技能。
持续威胁暴露管理(CTEM)。随着攻击面的扩大,SRM领导者意识到需要新的流程来做出有效决策。起初,漏洞评估和基于风险的漏洞管理实践并不能很好地实现这一目的,而且在已经发现的大量漏洞中又增加了无法修补的漏洞。但是,为使评估范围与修复问题的能力更加一致而做出的初步努力取得了可喜的成果。除其他外,这些努力极大地规范了管理威胁暴露的做法,并将CTEM 等新流程管理的安全态势联系起来。
天极智库聚焦网络安全相关领域,聚集网络安全职能部门、行业主管部门、科研院所、相关企业和专家学者的力量,组织开展政策研判、事件分析、技术研究、学术交流,为国家网络安全工作提供支撑,增强国家网络空间安全防御能力,提升国家关键信息基础设施安全保障能力和水平。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...