根据Gartner, Inc.的数据,到2025年,40%的董事会将有一个专门的网络安全委员会,由合格的董事会成员监督,而目前这一比例不到10%。
这是Gartner希望在董事会、管理层和安全团队层面看到的几项组织变革之一,以应对组织在2020年扩大数字足迹所带来的更大风险流感大流行.
根据Gartner 2020年董事会调查*,网络安全相关风险被评为企业的第二大风险来源,仅次于监管合规风险。然而,相对较少的董事相信,他们的公司能够妥善防范网络攻击。
“为了确保网络风险得到应有的关注,许多董事会正在组建专门的委员会,允许在保密的环境中讨论网络安全问题,由被认为有适当资格的人领导,”他说山姆Olyaei他是Gartner研究主管。“这种治理和监督方面的变化可能会影响董事会和首席信息安全官(CISO)之间的关系。”
Gartner称,虽然ciso因此应该受到更多的审查,但他们也可能获得更多的支持和资源。ciso必须期望高管对话从绩效和健康相关的讨论转向风险导向和价值驱动的练习。
Gartner还预测,到2024年,60%的ciso将与销售、财务和营销领域的关键高管建立关键合作关系,而目前这一比例还不到20%。
“有效的ciso意识到,随着技术的使用,销售、营销和业务部门领导现在是关键的合作伙伴,随后,风险发生在IT之外,”Olyaei先生说。
根据Gartner的数据CISO效能指数表现最好的ciso定期会见的非IT利益相关者是他们会见IT利益相关者的三倍;而且他们与员工见面的次数比最差的员工要多。
网络、实体和供应链安全趋于一致
对于资产密集型企业,如公用事业、制造商和交通网络,安全威胁瞄准cyber-physical系统给组织带来越来越大的风险。
不良行为者越来越多地瞄准他们的弱点,这一点在ransomware影响组织的操作系统和近期供应链攻击.
当今安全规程的筒仓性质本身就会成为组织的风险和负担,大多数安全团队以it为中心的重点需要扩展,以包括物理世界中的威胁。
Gartner预测,到2025年,50%的资产密集型企业将把网络、实体和供应链安全团队整合到一个首席安全官的角色下,直接向CEO报告。
远程工作可以更好地接触到IT安全人才
高德纳公司在2019冠状病毒病爆发前进行的一项研究发现,61%的受访企业难以找到和雇佣安全专业人员。
“随着组织转向远程工作以应对大流行,事实证明,部分(如果不是全部)安全能力可以远程交付,”他说理查德Addiscott他是Gartner的高级研究主管。“这包括通过分散的团队进行安全监控/操作、政策制定、安全治理和报告、安全意识和事件响应。网络安全团队可以远程工作,仍然提供有效的能力。”
因此,Gartner预测,到2022年,30%的安全团队将增加人数远程工作的员工在永久的基础上。
Gartner建议安全和风险领导者考虑调整他们的运营模式,扩大他们的招聘广告,以获得他们组织传统招聘区域之外的候选人。
*面向编辑:2021年Gartner董事会调查是在2020年5月至6月期间通过在线调查进行的,共有265名来自美国、欧洲、中东和非洲以及亚太地区的董事会成员或公司董事会成员参与了调查。
Gartner的客户可以在报告中阅读更多内容。”预测2021年:网络安全项目管理和IT风险管理.”
高德纳安全与风险管理峰会
在2021年2月22日至23日于纽约举行的Gartner安全与风险管理峰会上,Gartner分析师将为安全和风险管理领导者提供最新的研究和建议中东3月17-18日印度3月23日至24日亚太地区9月13-15日伦敦9月20-22日奥兰多,佛罗里达.10月6日至8日东京.在Twitter上关注会议的新闻和更新# GartnerSEC.