2023年领导力前瞻 安全与风险管理领导者的3大战略重点 ©2023Gartner公司及/或其关联公司版权所有。保留所有权利。CM_GTS_2107928 来自杰出副总裁分析师TomScholtz的一封信 受持续通胀、人才稀缺且昂贵,以及全球供应限制(由俄乌冲突、新冠疫情和能源短缺导致)的影响,您的客户正在面临诸多不确定性。这三重压力影响着全球各地的企业机构,并直接影响了2023年的网络安全格局。 作为网络安全领导者,您在动荡时期做出的决策将决定贵公司是否要承担不必要的网络安全风险,还是利用技术革新实现繁荣发展。而您的团队必须具备灵活变通的能力。 进入2023年,尽管经济存在不确定性和诸多不利因素,首席信息安全官(CISO)表示他们目前仍计划继续开展网络安全投资。这是因为随着技术决策越来越民主化,网络安全风险也有所增加。 而优秀的CISO勇于尝试新的想法。他们专注于提高个人效率,推动企业文化的变革,并倡导进行网络判断。 随着企业机构继续开展技术投资,以期通过创新和差异化在竞争中脱颖而出,安全和风险管理(SRM)领导者必须能够切实量化和管理相关的风险,同时采用新方法来教育和指导其企业机构按照安全最佳实践进行操作。 为此,《Gartner领导力前瞻》系列基于海量数据进行研究,将为领导者及其团队提供专业指导并明确战略重点。虽然有关角色的详细洞察仅面向Gartner客户,但我们现在将向更广泛的受众、整个商业界分享相关内容的摘录,希望以下内容能够有助于您与您的团队、同事和其他领导者开展讨论,从而在更短的时间内、以更有效的方式明确您的优先事项和行动措施,进而帮助您进一步升级2023年的战略计划。 TomScholtz 杰出副总裁分析师 2023年领导力前瞻:安全与风险管理领导者的3大战略重点 独特的商业环境需要整个团队的共同努力 首席信息官 战略组合管理 软件工程 地缘政治两极化 供应商遴选、采购和管理 应用 通胀高企 C级高管和商业领导者 供应链中断 劳动力与技能短缺 安全与风险经理在团队中的作用: 数据和分析 安全和风险 •实现安全数字化转型 •推动进行网络判断 •提高网络风险意识 运维 企业架构和技术创新 在一个日益复杂、危险的世界中,SRM领导者一直致力于实现安全数字 化转型。 随着经营环境愈发不可预测,且企业希望通过创新技术获得差异化竞争优势,各企业机构都愿意提高风险偏好,并在可预见的未来时期内对安全领域进行大量的投资。 为了了解和应对内外部挑战,SRM领导者要与整个企业机构的利益相关者开展更加密切的合作,确保商业领导者具备一定的知识和能力,从而使他们做出明智、高质量的安全风险决策。 来源:Gartner 影响SRM领导者的三大趋势 越来越多的技术人员就职于非IT部门 位加速数字化进程,67%的CEO希望在业务部门内完成更多的技术工作。也就是说,越来越多的“业务技术人员”(即IT部门之外的员工,他们不仅使用技术,而且能生产技术)将不再受到SRM领导者的直接控制。 第三方安全风险的关注度逐渐增加 近期的网络安全事件突显了供应链的弱点。到2025年,60%的企业机构将把网络安全风险作为进行第三方交易的重要因素,以防止其信息、系统和基础设施遭到破坏。 网络安全网格的演变 如果端点、数字公民和IT资产可位于任何位置,那么网络安全控制也应该如此。网络安全网格是一个高度灵活、可协作的生态系统,由可组合的分布式工具和控件组成,可保护整个企业机构甚至全世界的资产。 SRM领导者需要面临的挑战及相应的应对措施 处理好人的因素 提高SRM的效率 推动网络判断 大部分数据泄露事件仍然与人有关。Gartner最近的一项调查发现,员工仍在从事(有时甚至明知故犯)公认的危险安全行为,如在多个账户中使用同样密码或在工作设备上打开来源不明的电子邮件。 目前,只有12%的SRM领导者超过了利益相关者的期望。为此,SRM领导者必须全面提高其效率,以证明他们有能力达成网络安全优先事项。 SRM领导者必须拥有能够支持整个企业机构的决策者做出独立且明智的风险决策的能力——即网络判断能力——而不是依赖SRM团队或自动化。 SRM领导者行动措施 采用GartnerPIPE框架,专注实践、影响因素、平台和促成因素,从而指导整个企业机构采取安全行为和实施相关的文化计划。 注重提高已确定职责的效率,更好地对齐业务优先事项,并保护企业机构的安全。 通过自我认证和团体信任评分等策略实现自主自治,推动整个企业进行网络判断。 减少安全风险中人的因素 为了减少人类行为对网络安全的负面影响,SRM领导者必须开展截然不同的安全培训。为此,SRM领导者可以采用GartnerPIPE框架。 此外,SRM领导者还必须通过开发与第三方互动有关的最佳实践来减少数字 供应链风险。 建议采取的后续措施 1在设计控制措施时考虑用户体验。 2设计基于角色的网络安全学习体验。 3使用以结果为导向的指标,精准确定企业机构的受保护程度。 4当与供应链厂家接触时: •识别共享的数据和基础设施的潜在安全风险。 •确保满足最新的监管规定。 •在各利益相关者之间建立密切的伙伴关系,实现联合治理。 •评估和实施新兴的最佳实践。 高层支持 安全行为和 文化计划 平台 来源:Gartner 提高领导效率 随着SRM领导者的职责不断增加,不断评估和提高领导效率至关重要。另外,SRM领导者还必须将其优先事项对齐业务优先事项,才能更好地推动商业价值的实现并保护企业机构免受攻击。 1未来风险管理 积极主动地参与到新兴技术的安全保护中 将伙伴关系视为提高效率的核心 制定全局性的控制自动化战略 基于风险偏好开展合作 让高级决策者了解未来的风险 让高级决策者了解新的安全规范 3 高层影响 帮助高级决策者进行信息风险的权衡 保护常规的职 业发展时间 在项目范围之外与 高级决策者建立合作关系 制定人才战略,满足 企业不断增长的技能需求 高效能CISO 主动识别与信息 安全有关的非管理领域的风险 制定正式可 行的接班人计划 3 人才架构 相信工作压力由 CISO直接控制 严格区分工作和 生活 3压力控制 来源:Gartner 建议采取的后续措施 1与IT部门以外的高级领导层建立合作关系。 2帮助决策者了解最新的安全规范,避免未来可能出现的风险。 3主动确保业务部门使用人工智能。 4追踪员工表现,创造性地弥合技能差距。 5明确区分工作和生活,更好地管理压力。 提高整个企业的安全能力 支持SRM领导者直接控制之外的小组独立开展网络安全活动,从而在整个企业机构内培养能力,使SRM团队能够专注于更高价值的活动。实施网络安全网格战略,加强综合系统的安全性,并保护访问、配置和数据,无论资产位于何处。 CEO 首席信息官 销售主管 业务部门领导 应用主管 CDO CISO 董事会 基础设施主管 传播主管 CHRO 项目管理主管首席营销官 外部审计 CFO 来源:Gartner 入场筹码 价值 价值 建议采取的后续措施 1授权交付团队通过QPExpress计划对需要发布的应用程序进行自我认证。 2通过团体信任评分来确定有能力执行网络安全活动的团队。 3启动网络安全网格战略: •评估现有工具的成熟度。 •调查团队的整合能力。 •合理确定投资规模。 •混合使用专有集成和开放标准,决定如何建立综合平台、分层的可组合产品或综合方法。 2023年领导力前瞻:安全与风险管理领导者的3大战略重点 可信赖的洞察 探寻为安全领导者提供的其他免费资源和工具: 网络研讨会 中国数据安全治理解析 如何打破沟通障碍、明确数据安全计划的责任和目标。 立即观看 路线图 《网络安全IT路线图》 创建一个韧性、可扩展、灵活的网络安全战略。 下载路线图 电子书 《响应网络安全事件的3个必备工具》 未雨绸缪,提高企业机构对网络安全事件的响应能力。 即刻下载 电子书 《高效能CISO领导力的四大使命》 了解优秀的网络安全领导者如何应对职责范 围扩大的情况。 即刻下载 已经是Gartner客户? 您可在客户门户网站上获得更多的资源。登录 联系我们 获得可行的客观洞察,以实现您最关键的优先事项。Gartner专家指南和工具使您能够做出更快、更明智的决策并获得更优的业绩表现。联系我们成为客户: 成为客户 点击了解更多关于Gartner网络安全领导者的相关信息 gartner.com/cn 持续获得最新洞察 ©2023Gartner,Inc.保留所有权利。CM_GTS_2107928