如今,企业网络安全领导者(安全和风险管理,SRM)评估组织内外各方的网络状况需要投入更多的精力。工程师正在做出更多涉及网络风险的决定,组织开始在网络安全领导职责范围之外设立执行委员会。Gartner分析师表示,这些因素将导致网络安全领导者对责任范围内的许多决策减少直接控制。
据Gartner最近的一项调查显示,88%的董事会将网络安全视为业务风险,而不仅仅是技术IT问题。为此,13%的董事会成立了由专职董事监督的专门针对网络安全的董事会委员会。Gartner预计到2026年,至少50%的企业高管将在雇佣合同中包含与网络安全风险相关的绩效要求。
网络安全的正式责任将不可避免地转向业务领导人,这些领导人将转向业务领导人CEO交付战略目标,如收入创造和客户满意度。随着网络安全的正式责任转移到业务领导人,有必要重新定义网络安全领导人的角色(见图 1)。
Gartner研究总监Sam Olyaei表示,CISO(首席信息安全官)这个角色必须从应对网络风险的实际负责人转变为赋能业务领导人,并协助他们做出明智优质的信息风险决策。
1:网络安全领导人的角色需要重新定义
图片来源:Gartner(2022年2月)
Gartner研究总监Claude Mandy表示,很多组织在其ESG积极跟踪和报告网络安全目标和指标,并将其作为业务需求。Gartner预计到2026年,30%的大型组织将公开披露重点关注网络安全的信息ESG目标远高于2021年的不到2%。
这表明,网络安全不再仅仅是组织所面临的风险,而是社会风险。未来,网络安全领导者将更加致力于减少网络安全事件引起的社会问题,如客户个人信息泄露、网络/物理系统使用带来的潜在安全隐患、产品误用和滥用的可能性以及关键基础设施恶意网络活动。
参考链接:https://www.gartner.com/en/newsroom/press-releases/2022-02-24-gartner-says-the-cybersecurity-leader-s-role-needs-to