如今,企業網絡安全領導者(安全和風險管理,SRM)需要投入更多的精力,以評估組織內外部各方的網絡狀況。工程師正在做出更多涉及網絡風險的決策,而組織也開始設立在網絡安全領導者職責范圍之外的執行委員會。Gartner分析師表示,這些因素將導致產生這樣的情況——網絡安全領導者對于職責范圍內的許多決策減少了直接控制權。
據Gartner最近的一項調查顯示,88%的董事會將網絡安全視為業務風險,而不僅僅是技術IT問題。為此,13%的董事會設立了專門針對網絡安全的董事會委員會,由專職董事負責監督。Gartner預測,到2026年,至少50%的企業高管將在雇傭合同中列入與網絡安全風險相關的績效要求。
網絡安全的正式責任將不可避免地轉向業務領導人,這些領導人向CEO交付戰略性目標,比如創收和客戶滿意度。隨著網絡安全的正式責任轉移到業務領導人,有必要重新定義網絡安全領導者的角色(見圖 1)。
Gartner研究總監Sam Olyaei表示,CISO(首席信息安全官)這個角色必須從應對網絡風險“事實上”的責任人變成賦能業務領導人,并協助其做出明智而高質量的信息風險決策。
Gartner研究總監Claude Mandy表示,很多組織在其ESG(環境、社會和治理)工作中積極跟蹤和報告網絡安全目標和指標,并將其作為一項業務需求。據Gartner預測,到2026年,30%的大型組織會公開披露側重于網絡安全的ESG目標,遠高于2021年的不到2%。
這表明,網絡安全不再只是組織面臨的一種風險,而是一種社會風險。未來,網絡安全領導者將更加致力于減少網絡安全事件引發的社會問題,比如客戶個人信息的數據泄露、使用網絡/物理系統帶來的潛在安全隱患、產品被誤用和濫用的可能性以及針對關鍵基礎設施的惡意網絡活動。
