根据Gartner由于网络风险责任已转移到最新调查中IT此外,日益分散的生态系统导致网络安全领导者失去了对决策的直接控制,企业需要重新定义网络安全领导者的作用。
如今,安全和风险管理(SRM)领导者投入了大量精力来评估和改变外部各方的网络健康状况。然而,企业员工正在做出更多涉及网络风险的决定,执行委员会也在网络安全领导人的权力之外成立。
Gartner分析师表示,这些因素削弱了网络安全领导者对许多决策的直接控制,应该属于他们的职责。
Gartner研究总监Sam Olyaei网络安全领导者现在正处于疲惫、过度工作但随时待命的状态。这反映出,在过去的十年里,企业和机构内部利益相关者的期望差异日益加剧,这一角色的责任范围严重扩大。
网络风险责任将扩展到IT之外
根据Gartner在最近的一项调查中,88%的董事会认为网络安全不仅仅是一项调查IT技术问题仍然是一种商业风险。13%的董事会选择成立由专门董事监督的网络安全董事会。
Gartner预计到2026年,与网络安全风险相关的绩效要求将出现在半数以上企业高管的劳动合同中。
这影响了信息风险决策的及时性和质量IT或安全业务线以外的利益相关者。Gartner预计这一责任将不可避免地转移到业务领导者,他们将负责CEO交付战略目标,如收入和客户满意度。
随着网络风险责任的正式转移,Gartner分析师认为,企业必须重新定义网络安全领导者的角色才能取得成功。
网络安全领导者的角色需要重构
Olyaei首席信息安全官的角色必须从负责处理网络风险的实际责任人转变为确保业务领导者有足够的能力和知识做出明智、高质量的信息风险决策的指导人。
纳入网络安全ESG披露报告
投资者的关注、公众的压力、员工的要求和政府的规定正在进一步鼓励企业和机构在其环境、社会和治理(ESG)跟踪和报告网络安全目标和指标,并将其作为业务要求。
因此,Gartner预测到2026年,30%的大型企业机构将公布以网络安全为重点的ESG目标,2021年的比例不到2%。
Gartner研究总监Claude Mandy公众希望更清楚地了解企业和机构的安全风险,因此需要它ESG这一点在报告中更加透明。网络安全不仅仅是企事业单位的风险,更是全社会的风险。
安全和风险管理领导者将越来越需要证明,企业机构正在努力减少网络安全事件造成的社会问题,如客户个人信息泄露、使用网络物理系统潜在安全问题、产品误用和滥用的可能性以及关键基础设施恶意网络活动。