如何确保我们的消费者不会受到流氓代理造成的人身伤害?'这是安全和风险负责人在未来需要预测和规划的问题。
信息物理系统(如自动驾驶汽车、数字孪生)的激增引发了组织的另一个安全风险。而我们对未来几年首先要预测的内容之一,就是威胁行为者将如何针对这些系统发起攻击。
我们正在养成吃老本的坏习惯,妄图一招鲜吃遍天,'Gartner主任分析师Sam Olyaei在Gartner IT Symposium/XPO™ 2021的演讲中说。'这其实难以为继,我们需要不断地让思维、理念、方案和架构都保持进步。'
安全与风险管理已经上升为企业董事会层面的议题。随着安全漏洞的数量和复杂程度不断攀升,为保护消费者权益,新的立法相继出台,企业也将安全置于商业决策的首要位置。
Gartner分析师预测,未来几年将出现更多的权利下放、监管措施和安全问题。您应当将这些战略规划设想纳入未来一年的路线规划。
1.到2023年底,现代隐私法案将涵盖全球75%人口的个人信息
GDPR是第一部针对消费者隐私的重要立法,但其他法律很快效仿,包括巴西的《通用个人数据保护法》(LGPD)和《加州消费者隐私法》(CCPA)。这些法律所辖的范围之广,表明您将在不同的司法管辖区内同时应对多项数据保护法律,客户会想知道你收集了什么样的数据以及将如何使用这些数据。这也意味着你需要专注于自动化你的隐私管理系统。您应当以GDPR为基础,实现安全运营的标准化,然后针对其他各个司法管辖区进行调整。
2.到2024年,采用网络安全网格(cybersecurity mesh)架构的组织,将把安全事件对财务造成的影响平均降低90%
时至今日,组织需要在不同的地方支持各种技术,因为他们需要灵活的安全解决方案。网络安全网格扩展并覆盖了传统安全边界之外的身份,并构建了组织的整体视图。它还有助于提高远程工作的安全性。这些需求将在未来两年内推动更多组织采用网格架构。
3.到2024年,30%的企业将采用来自同一供应商的云交付安全Web网关(SWG)、云访问安全代理(CASB)、零信任网络访问(ZTNA)和防火墙即服务(FWaaS)功能
企业正在倾向于优化和整合。安全负责人通常管理着数十种工具,但他们计划将其整合至十种以下。SaaS将成为首选的交付方式,而其与硬件的整合将影响选用时限。
4.到2025年,60%的组织将把网络安全风险作为进行第三方交易和业务往来的主要决定因素。
投资者,特别是风险投资人,正在将网络安全风险作为评估投资机会的关键因素。越来越多的组织在商业交易中关注网络安全风险,包括并购以及供应商合同。其结果是通过问卷调查或安全评级来获取合作伙伴更多的网络安全计划数据。
5.到2025年底,通过立法来规范勒索软件的赎金支付、罚款和谈判的民族国家比例将上升至30%,而2021年这一比例还不到1%。
虽然目前可能存在更广泛的法规适用于勒索软件赎金支付,但安全专家应当预测到未来将会针对赎金支付进行更严厉地打击。鉴于加密货币市场大多不受监管,支付赎金存在伦理、法律和道德方面的问题,因此必须将由此带来的影响考虑在内。支付(或不支付)的决定应该由一个能够解决所有这些问题的跨职能团队来承担。
6.到2025年,40%的董事会将会设立专门的网络安全委员会,并由一名具备资质的董事会成员监督
随着网络安全成为(并持续作为)董事会最关注的问题,我们有望看到一个董事会级别的网络安全委员会,以及更严格的监督和审查。这增加了组织对网络安全风险的可见性,并需要一个新的董事会报告方式,其细节可能取决于特定董事会成员的背景和经验。您应当将信息传递的重点放在在价值、风险和成本上。
7.到2025年,70%的首席执行官将要求建立组织弹性文化,以应对同时来自网络犯罪、恶劣天气事件、国内动乱和政治动荡的威胁
考虑到更广泛的安全环境,我们需要越过网络安全,走向组织弹性。数字化转型增加了威胁环境的复杂性,这将影响您生产产品和提供服务的方式。您应当开始制定组织弹性和目标,并建立一个影响它们的网络风险清单。
8.到2025年,威胁行为者会成功地将运营技术环境武器化,足以造成人员伤亡
随着恶意软件从IT(信息技术)领域扩散到OT(运营技术)领域,它将安全话题从业务中断转移到物理伤害,其责任最终可能由CEO来承担。您应当关注以资产为中·心的信息物理系统,并确保有团队来解决相应的管理问题。
文章来源:互联网安全内参
作者:Kasey Panetta