2024年领导力前瞻:安全风险管理领导者的3大战略重点
2024年领导力前瞻 安全风险管理领导者的3大战略重点 导语 当前,CISO面临着一系列快速变化的优先事项、漏洞威胁、安全需求、监管压力和技术变革要求。因此 ,为应对这一安全形势,安全风险管理领导者需要采取下面这种结构化方法。 步骤1:统一网络安全项目的战略重点。例如: •适应因CISO角色演变和分散式风险决策所带 来的运营模式的变化 •挖掘AI技术固有的风险与机遇 •持续关注与人类行为相关的安全挑战 步骤2:在您的网络安全项目愿景中体现这些战略重点。 步骤3:确定为实现这些战略重点而需采取 的行为举措。 步骤4:更新您的网络安全战略,将这些行为举措包含在您的网络安全项目中。 到2027年,75%的员工将在IT部 门之外获取、修改或开发技术,而 2022年这一比例仅为41%。 来源:Gartner 2 安全风险管理领导者可使用本指南,面向2024年及未来制定战略计划。 2024年领导力前瞻:安全风险管理领导者的3大战略重点 影响安全风险管理领导者的3大趋势 网络安全决策权变更 技术的获取、开发和交付持续从IT部门转向业务部门。 在这种情况下,安全风险管理领导者的控制权和监管权逐渐削弱,安全风险管理领导者确保网络安全的难度进一步提升。 除此之外,近一半的CIO表示,网络安全风险增加不利于数字化项目的执行。 AI带来安全挑战 基于大型语言模型的ChatGPT和Bard等工具在早期就 给出了生成式AI将如何塑造大多数业务流程的信号。 但新兴的安全工具(例如其模型和提示)在确保生成式AI应用的安全性方面还不够成熟,无法应对生成式AI应用程序架构的动态变化。 在这种背景下,企业很难制定最佳实践并提供相关的 建议。 安全重点错误 根据Gartner调研,93%的受访者表示,他们的行为会增加企业的网络安全风险,但他们还是这么做了。 事实上,《Verizon数据泄露调查报告》显示, 74%的安全漏洞与人为因素有关。 不仅如此,在关注终端用户的安全项目中,大多数导致数据泄露的错误反而与开发人员和系统管理员直接相关。 2024年领导力前瞻:安全风险管理领导者的3大战略重点 安全风险管理领导者的三大战略重点及相应的行动措施 1 适应变化的数字化运营模式 2挖掘AI风险与机遇3开展以人为本的网络安全工作 近四分之三的网络安全领导者都发现了过去12 个月在风险决策权和职责方面的变化。 2025年,生成式AI将导致用于保障网络安全的资源大幅度激增,应用和数据安全方面的支出将增加15%以上。 超过90%的网络安全部门都制定了网络安全意识提高项目,但69%的员工表示他们会故意避开企业的网络安全指导。 行动措施 将安全部门从阻碍创新的部门转变为推动安全的数字化创新的部门。 确保企业以安全的方式构建和使用生成式AI,控制生成式AI对网络安全的影响。 组建“老虎队”,评估当前和未来的网络安全战略。责成该团队发现、调查和报告新的网络安全机遇,在不带来不必要风险的同时提高企业的安全能力。 来源:Gartner 行动措施建议1 2024年领导力前瞻:安全风险管理领导者的3大战略重点 了解当前的网络安全运营模式 绩效表现 决策权 组织架构 财务 采购与联盟 工作方式 人才 工具 场所 该战略重点对网络安全运营模式的每个组成要素都有深远影响,例如: 财务。技术和安全投资的预算权转移到业务和产品线负责人的手中。 决策权。在协作式风险决策流程的支持下,决策权转移到业务负责人的手中。如此一来,安全策略的限制性、原则性就有所减少,业务部门在选择安全控制措施时就会拥有更多自主权。 绩效管理。从使用业务安全指标转变为使用业务成果和业务价值驱动的指标。 人才管理。生成式AI等新技术需要员工获得了解这些新技术风险的技能。为此,企业需要新的关系管理技能(如安全服务经理)和行为科学技能,来改变安全行为和文化 。 行动措施建议2 了解生成式AI的影响 2024年领导力前瞻:安全风险管理领导者的3大战略重点 防御 攻击 构建 使用 •技术不成熟•供应商大量涌入的风险•隐私和效能挑战 •技能增强•攻击自动化•内容生成 •增量式推出•在其他项目中重复使用 •多个选择•影子AI•数据隐私和版权 获得授权,利用生成式AI机遇,改善安全风险管理,优化资源,抵御新兴的攻击技术,甚至降低成本。 使用不断发展的生成式AI工具和技术,应对恶意行为者不断演变的技术及新的攻击载体。 AI应用程序的攻击面扩大,带来了新的潜在风险,CISO需要更新现有的应用程序安全实践。 首先是使用ChatGPT,然后是在现有的应用中嵌入生成式AI助手。这些应用都有独特的安全要求,但这些安全要求是遗留的安全控制措施所无法满足的。 来源:Gartner 行动措施建议3 “安全左移”,改变安全行为 改变安全行为必须关注整个数字“供应链”。这也就是说,行为改变举措的目标受众需要涵盖参与开发数字解决方案的所有角色,而不仅仅是终端用户。其中,CEO和董事会发挥明显的带头作用对推动行为和文化变革至关重要。 CEO/业务变革C级高管/CIO 业务流程负责人 业务分析师 解决方案架构师 项目经理 开发人员 测试人员 系统管理员 服务台分析师 行为改变举措的目标受众 2024年领导力前瞻:安全风险管理领导者的3大战略重点 终端用户 构想数字化举措 来源:Gartner 设计数字化举措开发数字化举措实施数字化举措 7 参加Gartner会议,优化您的网络安全和风险管理战略! 与您的同行沟通交流,共享不断提高网络安全和风险管理技术灵活性和敏 捷性的方法,实现您的关键优先事项。 机会不容错过。 查看今日的会议日历,找到适合您的Gartner会议。 查看安全和风险会议 ©2024Gartner,Inc.及/或其关联公司版权所有。保留所有权利。CM_GTS_2714461 可行的客观洞察 探寻为安全领导者提供的其他免费资源和工具: 路线图 网络安全IT路线图 制定富有韧性、可扩展、敏捷的网络安全战略。 即刻下载 路线图 使用信息安全项目成熟路线图保护企业商业资产 升级信息安全项目,应对新一代威胁。 即刻下载 网络研讨会 2024年及未来中国网络安全重要趋势 了解安全领域最新趋势及其对安全策略和整个市场的影响。 注册参会 电子书 响应网络安全事件的3个必备工具 提高企业机构对网络安全事件的应对能力。 即刻下载 已经是Gartner客户? 您可在客户门户网站上获得更多的资源。点击登录 联系我们 获得可行、客观的洞察,做出明智的决策,履行您的关键优先事项,获得出众的绩效表现。联系我们,成为我们的客户: 成为客户 点击了解更多关于Gartner网络安全领导者的相关信息 https://www.gartner.com/cn 您也可扫描以下二维码申请成为Gartner客户: ©2024Gartner,Inc.及/或其关联公司版权所有。保留所有权利。CM_2714461
