Gartner發(fā)布2024年網(wǎng)絡(luò)安全9大趨勢

組織的安全和風(fēng)險管理(SRM)領(lǐng)導(dǎo)者面臨著來自技術(shù)、組織和人力等多方面的顛覆性挑戰(zhàn)。未雨綢繆做好準備，并務(wù)實地推進，對于應(yīng)對挑戰(zhàn)和實施有效的網(wǎng)絡(luò)安全計劃至關(guān)重要。

2022年年底，生成式人工智能 (GenAI) 作為主流技術(shù)出現(xiàn)，引發(fā)了數(shù)十年來數(shù)字和商業(yè)領(lǐng)域的重大顛覆性變化。

作為SRM領(lǐng)導(dǎo)人不能忽視的強大力量，GenAI顯然是一個需要管理的挑戰(zhàn)。到 2025 年，為保護生成式 AI 所需的網(wǎng)絡(luò)安全資源將會激增，導(dǎo)致應(yīng)用和數(shù)據(jù)安全方面的支出增加超過15%。

但SRM領(lǐng)導(dǎo)人還必須需應(yīng)對無法控制的其他外部挑戰(zhàn)，這包括：

●彌合安全人才供需之間的鴻溝。

●云采用的不斷增長正在擴大并改變數(shù)字生態(tài)系統(tǒng)的組成。

●加強公共和私營部門對網(wǎng)絡(luò)安全、隱私和數(shù)據(jù)本地化的監(jiān)管義務(wù)和政府監(jiān)督。

●企業(yè)數(shù)字能力的持續(xù)分散。

●在不斷變化的威脅環(huán)境中管理風(fēng)險則是永恒的挑戰(zhàn)。

為應(yīng)對這些挑戰(zhàn)的影響，SRM領(lǐng)導(dǎo)者正在其安全計劃中采用一系列安全實踐、技術(shù)能力和結(jié)構(gòu)改革，以提高組織彈性和安全職能部門的效率。

這包括優(yōu)化組織彈性和安全部門的效率。

現(xiàn)在提高組織彈性已成為安全投資的主要驅(qū)動力，這主要是因為：云的采用率不斷提高，數(shù)字生態(tài)系統(tǒng)繼續(xù)蔓延；組織的混合工作環(huán)境日趨普遍；威脅環(huán)境不斷演變，新技能讓攻擊者更加膽大妄為。

SRM領(lǐng)導(dǎo)者越來越認識到，試圖修復(fù)組織不斷擴張的數(shù)字環(huán)境中數(shù)量激增的漏洞是愚蠢的。支持持續(xù)威脅暴露管理 (CTEM) 并提供更強大、支持安全的身份和訪問管理 (IAM) 功能的計劃的勢頭持續(xù)增強。

此外，采用注重彈性的第三方網(wǎng)絡(luò)安全風(fēng)險管理方法的 SRM 領(lǐng)導(dǎo)者，正在降低風(fēng)險和加快推出新數(shù)字化計劃的速度方面獲得回報。

在優(yōu)化組織效率的方面，積極主動的 SRM 領(lǐng)導(dǎo)者看到利用 GenAI 功能，提升運營效率的機會。此外，安全使用 GenAI 的需求影響安全技能規(guī)劃和培養(yǎng)。這也是安全行為和文化計劃受到關(guān)注的一個關(guān)鍵原因，其目的在于最大限度地減少不安全員工行為的影響。此外，越來越多地采用結(jié)果驅(qū)動的指標來促進更有效的網(wǎng)絡(luò)安全風(fēng)險和投資決策。隨著組織繼續(xù)分散和數(shù)字決策變化，安全運營模式改革的趨勢持續(xù)存在。

圖 1：2024 年主要網(wǎng)絡(luò)安全趨勢

趨勢1、持續(xù)威脅暴露管理計劃勢頭強勁

戰(zhàn)略規(guī)劃假設(shè)：

到 2026 年，基于持續(xù)威脅暴露管理計劃優(yōu)先考慮安全投資的組織將實現(xiàn)漏洞數(shù)量減少三分之二。

描述：

近年來，組織攻擊面顯著擴大。這一增長的主要推動因素是 SaaS 的加速部署、數(shù)字供應(yīng)鏈的擴展、企業(yè)在社交媒體上的影響力的增加、定制應(yīng)用開發(fā)、遠程辦公和基于互聯(lián)網(wǎng)的客戶交互。

攻擊面的增加給組織留下了潛在的盲點，以及大量需要解決的潛在風(fēng)險。

為了應(yīng)對這種情況，SRM 領(lǐng)導(dǎo)者引入了試點流程，用于管理威脅暴露的數(shù)量和重要性以及通過持續(xù)威脅暴露管理 (CTEM) 計劃處理威脅的影響。更成熟的組織開始實施一系列安全優(yōu)化，以更好地動員業(yè)務(wù)領(lǐng)導(dǎo)者，而不僅僅是短期補救措施。

受關(guān)注原因：

大多數(shù)組織管理威脅暴露的工作過于專注于發(fā)現(xiàn)和糾正基于技術(shù)的漏洞。這種關(guān)注受到 SecOps合規(guī)性計劃的鼓勵，但通常不會考慮現(xiàn)代組織運營實踐的重大轉(zhuǎn)變，例如轉(zhuǎn)向云驅(qū)動的應(yīng)用程序和容器。安全團隊必須增強其當前模型，并超越這一目標，其中修補和保護基于物理和自我管理軟件的系統(tǒng)是主要目標。SRM 領(lǐng)導(dǎo)者已經(jīng)意識到，現(xiàn)有的實踐不夠廣泛，同時，人員配備的限制限制了可以完成的工作量。

趨勢影響：

對暴露面相關(guān)的問題的關(guān)注焦點，已經(jīng)從簡單地管理商業(yè)產(chǎn)品中的軟件漏洞轉(zhuǎn)移。如此大規(guī)模地增加技術(shù)風(fēng)險對于安全運營團隊來說是難以承受的。與業(yè)務(wù)目標缺乏一致性將導(dǎo)致對首先解決哪些問題做出錯誤的決定，這將導(dǎo)致無法量化的暴露空白點，并可能浪費安全預(yù)算來解決無關(guān)緊要的問題。SRM 領(lǐng)導(dǎo)者必須使用更廣泛的威脅暴露管理流程，同時平衡已經(jīng)捉襟見肘的運營團隊，并創(chuàng)建有效且預(yù)先商定的補救動員渠道來響應(yīng)發(fā)現(xiàn)的問題。

行動建議：

通過使 CTEM 范圍與業(yè)務(wù)目標保持一致來關(guān)注相關(guān)問題。SRM 領(lǐng)導(dǎo)者必須致力于通過突出對組織關(guān)鍵運營最具潛在影響的問題來提高風(fēng)險暴露的可見性并吸引其他高級領(lǐng)導(dǎo)者的興趣。他們應(yīng)該為 CTEM定義一個更窄的范圍，與業(yè)務(wù)目標保持一致，使用熟悉的語言并解釋對業(yè)務(wù)而不是技術(shù)的影響。

通過驗證減少優(yōu)先問題的數(shù)量。介紹驗證步驟和支持技術(shù)，例如入侵和攻擊模擬 (BAS) 和自動滲透測試工具。此類工具通過突出顯示可能因使用現(xiàn)實世界技術(shù)的真正妥協(xié)而導(dǎo)致的發(fā)現(xiàn)問題，從而減輕漏洞評估 (VA) 解決方案等暴露評估工具的輸出所帶來的負擔(dān)。

做好前期工作，讓業(yè)務(wù)部門參與響應(yīng)。SRM 領(lǐng)導(dǎo)者必須擴大自己與部門負責(zé)人、資產(chǎn)所有者和第三方之間的溝通渠道，以便有明確的途徑來動員應(yīng)對和補救措施。通過明確闡明和討論與推遲補救工作相關(guān)的殘余風(fēng)險，獲得業(yè)務(wù)部門和資產(chǎn)所有者的支持。提供短期和長期選擇，以減少或消除風(fēng)險。

趨勢2、IAM持續(xù)演進，在改善網(wǎng)絡(luò)安全成效方面發(fā)揮日益重要作用

描述：

身份優(yōu)先的安全方法將重點從網(wǎng)絡(luò)安全和其他傳統(tǒng)控制轉(zhuǎn)移到 IAM。它使 IAM 成為組織網(wǎng)絡(luò)安全成果乃至業(yè)務(wù)成果的關(guān)鍵貢獻者。采用這種方法的組織必須更加關(guān)注基本的 IAM 衛(wèi)生和 IAM 系統(tǒng)的強化，以提高彈性。這包括縮小攻擊預(yù)防方面長期存在的能力差距，例如擴大對云權(quán)利和機器身份的控制，以及引入新的身份威脅檢測和響應(yīng)（ITDR）高級功能。IAM 架構(gòu)正在向身份結(jié)構(gòu)發(fā)展，并采用新功能以可組合的方式實現(xiàn)實時身份控制。

受關(guān)注原因：

IAM 在網(wǎng)絡(luò)安全中的作用一直在穩(wěn)步增強。截至 2023 年，IAM 是使用 Gartner 客戶查詢服務(wù)的 SRM 領(lǐng)導(dǎo)者討論的第二熱門話題。

針對身份基礎(chǔ)設(shè)施的攻擊很常見，防御者正在使用 ITDR 等策略來應(yīng)對這些攻擊。

IAM 和數(shù)據(jù)安全是從 IaaS 到 SaaS 等各類服務(wù)的云共享責(zé)任模型中的客戶責(zé)任。

Gartner 調(diào)查中近三分之二的受訪者希望他們的組織在未來 12 個月內(nèi)增加對 IAM 功能的投資，包括欺詐檢測、身份驗證、客戶身份、員工身份治理和管理以及權(quán)限訪問管理。

身份優(yōu)先安全正在成為安全的關(guān)鍵控制面。

與 Gartner 客戶的對話表明，他們越來越多地使用 IAM 的結(jié)果驅(qū)動指標 (ODM)來鼓勵更好的安全性。這些指標側(cè)重于通過影響特定于身份的變量（例如身份數(shù)據(jù)的準確性）來增強彈性和安全性，并使組織更接近最小特權(quán)原則。

基于這些觀點，Gartner 認為 IAM 在組織安全計劃中的作用越來越大。因此，組織的 IAM 實踐需要不斷發(fā)展。

趨勢影響：

組織必須加倍努力實施更好的身份衛(wèi)生。這一點至關(guān)重要，因為不良的身份衛(wèi)生會破壞 ITDR 的許多潛在收益。Misset 權(quán)限為不良行為者提供了切入點，為橫向移動創(chuàng)造了機會，并可能加劇簡單錯誤造成的附帶損害。鑒于存在大量的權(quán)利、帳戶甚至本地帳戶存儲庫，全面實施衛(wèi)生是一項重大任務(wù)。ODM 可以幫助定義實施更好衛(wèi)生的方向性指導(dǎo)，但也需要自動化。

ITDR需要額外的努力和技能。只有注重衛(wèi)生，它才能有效發(fā)揮作用。使用其他安全檢測和響應(yīng)流程的組織，甚至可能擁有自己的安全運營中心 (SOC)，可以從 ITDR 中受益，但這需要對 SOC 團隊進行 IAM 培訓(xùn)。

IAM 基礎(chǔ)設(shè)施必須進行變革，以加深對安全功能的支持。目前在用的許多傳統(tǒng) IAM 基礎(chǔ)設(shè)施都過于復(fù)雜，且存在巨大技術(shù)差距。IAM 技術(shù)債務(wù)是次優(yōu)或低效 IAM 技術(shù)決策的技術(shù)積累，也是普遍存在的問題。

IAM 基礎(chǔ)設(shè)施必須發(fā)展成為一個身份基礎(chǔ)設(shè)施，旨在實現(xiàn)身份優(yōu)先的安全性。它必須使用并代理上下文，以一致的方式為任何適用的人員或機器提供和支持自適應(yīng)、連續(xù)、風(fēng)險意識和彈性訪問控制。

行動建議：

加倍努力實施適當?shù)纳矸菪l(wèi)生。將此定義為安全計劃的優(yōu)先事項，并使用ODM提供方向指導(dǎo)并設(shè)定改進標準。

通過對 IAM 中的安全操作人員進行培訓(xùn)，將 ITDR擴展為一種實踐。為關(guān)鍵企業(yè)身份系統(tǒng)（例如 Microsoft Active Directory 和云交付的訪問管理服務(wù)）實施安全態(tài)勢評估以及威脅檢測和響應(yīng)功能。

通過向身份結(jié)構(gòu)演進，重構(gòu)身份基礎(chǔ)設(shè)施以支持身份優(yōu)先的安全原則。首先通過使用可組合工具策略來改進 IAM 工具之間的集成。

趨勢3、彈性驅(qū)動、資源高效的第三方網(wǎng)絡(luò)安全風(fēng)險管理

描述：

第三方不可避免地會遭遇網(wǎng)絡(luò)安全事件，這迫使 SRM 領(lǐng)導(dǎo)者更多地關(guān)注以彈性為導(dǎo)向的投資，并放棄前期的盡職調(diào)查活動。積極進取的SRM 領(lǐng)導(dǎo)者正在優(yōu)先考慮彈性驅(qū)動的活動，例如實施補償控制和加強事件響應(yīng)計劃。與此同時，他們還為業(yè)務(wù)合作伙伴提供有針對性的支持，以告知第三方簽約并影響控制決策。

受關(guān)注原因：

SRM 領(lǐng)導(dǎo)者越來越多地將資源投入到合同前的盡職調(diào)查活動中。與 2021 年相比，近三分之二 (65%) 參與 2023 年 Gartner 重新構(gòu)想第三方網(wǎng)絡(luò)安全風(fēng)險調(diào)查的受訪者表示增加了預(yù)算，76% 的人在第三方網(wǎng)絡(luò)安全風(fēng)險管理計劃上花費了更多時間。

盡管本意是好的，但這種不斷增長的投資并沒有產(chǎn)生預(yù)期的結(jié)果。在同一項調(diào)查中，4-5 % 的受訪者表示，與兩年前相比，第三方網(wǎng)絡(luò)安全相關(guān)事件造成的業(yè)務(wù)中斷數(shù)量有所增加。SRM 領(lǐng)導(dǎo)者對傳統(tǒng) TPCRM 實踐在保護企業(yè)免受第三方網(wǎng)絡(luò)風(fēng)險方面的低效感到失望，因此正在尋找替代方案來提供更好的投資回報。

趨勢影響：

采用彈性驅(qū)動、資源高效的 TPCRM 方法的組織已經(jīng)取得了切實的成功。他們超出執(zhí)行領(lǐng)導(dǎo)者對最大限度地減少第三方事件影響的預(yù)期的可能性是其兩倍多。他們還取得了更好的業(yè)務(wù)成果：在采用這種 TPCRM 方法的受訪者組織中，近 80% 在推出新數(shù)字化計劃的速度方面領(lǐng)先于同行。

想要采用這種方法的 SRM 領(lǐng)導(dǎo)者必須認識到：

業(yè)務(wù)優(yōu)先級會影響 TPCRM 的工作，反之亦然。企業(yè)領(lǐng)導(dǎo)者對于 TPCRM 的成功至關(guān)重要。通過與他們接觸以了解他們的優(yōu)先事項，SRM 領(lǐng)導(dǎo)者能夠闡明所涉及的價值并調(diào)整計劃。同時，這種參與使企業(yè)能夠做出更好的基于風(fēng)險的決策，并促進實施可提供彈性的安全控制。

TPCRM 需要通力協(xié)作。著眼于安全團隊的資源效率，有效的 SRM 領(lǐng)導(dǎo)者認識到 TPCRM 需要與在第三方風(fēng)險管理（即采購、法律和企業(yè)風(fēng)險管理）中發(fā)揮作用的所有風(fēng)險職能部門建立合作伙伴關(guān)系。必須共同制定政策、程序和實踐，以確�？缏毮艿囊恢滦圆⒆畲笙薅鹊販p少工作流程中的摩擦。例如，初始網(wǎng)絡(luò)安全風(fēng)險分類需要納入采購流程。這種方法有助于確保網(wǎng)絡(luò)安全團隊的專業(yè)知識應(yīng)用于對網(wǎng)絡(luò)安全風(fēng)險結(jié)果影響最大的計劃。

關(guān)鍵的第三方是你的盟友。SRM 領(lǐng)導(dǎo)者必須將其參與策略從監(jiān)管轉(zhuǎn)向與第三方合作。這將有助于確保關(guān)鍵第三方接觸的所有企業(yè)最有價值的資產(chǎn)（例如材料數(shù)據(jù)、網(wǎng)絡(luò)和業(yè)務(wù)流程）得到持續(xù)保護。建立互利關(guān)系可以提高透明度，促進第三方實施控制，并在發(fā)生網(wǎng)絡(luò)安全事件時改善協(xié)作。

行動建議：

加強針對構(gòu)成最高網(wǎng)絡(luò)安全風(fēng)險的第三方活動的應(yīng)急計劃。創(chuàng)建特定于第三方的事件手冊，進行桌面練習(xí)并定義明確的退出策略，例如及時撤銷訪問和銷毀數(shù)據(jù)。

通過提高盡職調(diào)查的效率，將資源重新分配給彈性驅(qū)動的活動。不要廣泛定制風(fēng)險調(diào)查問卷，而應(yīng)使用行業(yè)標準風(fēng)險調(diào)查問卷。投資自動化技術(shù)，幫助網(wǎng)絡(luò)安全團隊大規(guī)模分析問卷答復(fù)。

與重要的第三方建立互惠互利的關(guān)系。在高度互聯(lián)的環(huán)境中，供應(yīng)商的風(fēng)險也是您的風(fēng)險。幫助 SRM 領(lǐng)導(dǎo)者成熟符合 SRM 領(lǐng)導(dǎo)者的利益，這樣他們就可以更好地維護企業(yè)。首先，制定安全要求基線，以評估供應(yīng)商在風(fēng)險管理實踐方面的成熟度。其次，與能夠訪問您的關(guān)鍵資產(chǎn)（例如系統(tǒng)、數(shù)據(jù)集、網(wǎng)絡(luò)和業(yè)務(wù)流程）的不太成熟的供應(yīng)商合作，與他們分享事件管理的最佳實踐，并建議管理風(fēng)險的控制措施。

趨勢4、隱私驅(qū)動的應(yīng)用和數(shù)據(jù)解耦，以增強碎片化世界中的運營

戰(zhàn)略規(guī)劃假設(shè)：

到 2025 年，10% 的全球企業(yè)將運營多個受特定主權(quán)數(shù)據(jù)戰(zhàn)略約束的離散業(yè)務(wù)部門，從而在相同業(yè)務(wù)價值的情況下使其業(yè)務(wù)成本增加一倍或更多。

描述：

幾十年來一直依賴單租戶應(yīng)用程序的跨國公司 (MNC) 面臨著不斷增長的合規(guī)性要求和業(yè)務(wù)中斷風(fēng)險。這是由于民族主義隱私和數(shù)據(jù)保護以及本地化要求的不斷提高，導(dǎo)致企業(yè)應(yīng)用程序架構(gòu)和數(shù)據(jù)本地化實踐強制分散。具有前瞻性思維的組織正在通過規(guī)劃和實施各種級別的應(yīng)用程序和數(shù)據(jù)解耦策略來做出響應(yīng)。其中包括減少 IT 資源依賴性、采用模塊化和可組合架構(gòu)（包括行業(yè)云平臺），以及為高度監(jiān)管的市場隔離應(yīng)用程序、數(shù)據(jù)存儲庫和基礎(chǔ)設(shè)施。這有助于降低合規(guī)風(fēng)險并創(chuàng)造競爭優(yōu)勢。

受關(guān)注原因：

由于日益復(fù)雜的地緣政治風(fēng)險和合規(guī)義務(wù)阻礙了全球一致的企業(yè)架構(gòu)，跨國運營變得更具挑戰(zhàn)性。與個人數(shù)據(jù)相關(guān)的“主權(quán)”考慮已演變?yōu)閭�人和關(guān)鍵業(yè)務(wù)信息的本地化要求。需求數(shù)量和范圍的擴大促使跨國公司調(diào)整其云采用策略�？鐕�公司已轉(zhuǎn)向模塊化應(yīng)用程序架構(gòu)設(shè)計或在其全球總部對其集中式應(yīng)用（例如 ERP、CRM 以及數(shù)據(jù)和分析平臺）進行解耦，以應(yīng)對其擁有大量業(yè)務(wù)運營的高風(fēng)險市場。2022年Gartner 首席信息官和技術(shù)高管調(diào)查發(fā)現(xiàn)，7% 的受訪者已經(jīng)投資創(chuàng)建可組合企業(yè)，另有 61% 的受訪者預(yù)計到2024年將這樣做。

趨勢影響：

脫鉤工作對網(wǎng)絡(luò)安全和數(shù)據(jù)安全的影響涉及：

監(jiān)管合規(guī)性。由于目標地區(qū)的新法規(guī)提出了新的且常常相互沖突的要求，合規(guī)工作和審計的復(fù)雜性大大增加。

數(shù)據(jù)遷移和集成實踐。應(yīng)用程序和數(shù)據(jù)存儲的解耦可能會導(dǎo)致隔離和互操作性挑戰(zhàn)，從而降低信息保真度并阻礙業(yè)務(wù)連續(xù)性和創(chuàng)新�？鐕�公司可以整合邊緣操作和可組合架構(gòu)來緩解其中一些挑戰(zhàn)。

數(shù)據(jù)架構(gòu)和存儲。數(shù)據(jù)本地化要求正在導(dǎo)致應(yīng)用程序和數(shù)據(jù)托管的快速發(fā)展，這進一步擴大了攻擊面。與此同時，需要重新構(gòu)想數(shù)據(jù)訪問和威脅管理編排，因為對數(shù)據(jù)本地化的相同要求使得從一個中心位置執(zhí)行此類活動變得困難。

安全的開發(fā)實踐。隨著應(yīng)用程序的改進，出現(xiàn)了將安全要求“融入”開發(fā)實踐的機會，而不是后來“附加”。如果應(yīng)用需要解耦，不同轄區(qū)之間的安全標準可能會有所不同。因此，如果存在此類差異，則需要在開發(fā)應(yīng)用程序時對它們進行協(xié)調(diào)。

行動建議：

與業(yè)務(wù)、IT 和法律團隊持續(xù)合作，為組織已運營的國家和計劃擴展的國家制定數(shù)據(jù)本地化要求。法律部門必須識別任何不合規(guī)和法律沖突的情況，并制定聯(lián)合制定的緩解策略，其中包括成本效益分析。

維護數(shù)據(jù)清單和地圖，以識別符合本地化要求的信息資產(chǎn)。優(yōu)先投資能夠持續(xù)發(fā)現(xiàn)云中敏感數(shù)據(jù)和個人數(shù)據(jù)的工具。這將為數(shù)據(jù)安全策略提供信息，并作為數(shù)據(jù)或信息治理設(shè)置的輸入，以最大限度地提高業(yè)務(wù)利益相關(guān)者的知識和支持。

將安全開發(fā)實踐（例如安全軟件開發(fā)框架 (SSDF) 和 LINDDUN 注重隱私的威脅建模框架中的實踐）納入軟件開發(fā)生命周期。通過采用模塊化方法來應(yīng)用安全架構(gòu)控制，以配合向可組合應(yīng)用程序、微服務(wù)架構(gòu)、云/容器部署等的整體轉(zhuǎn)變。

趨勢5、生成式人工智能引發(fā)短期質(zhì)疑，但激發(fā)長期希望

戰(zhàn)略規(guī)劃假設(shè)：

到 2025 年，生成式 AI 將導(dǎo)致保護其安全所需的網(wǎng)絡(luò)安全資源激增，導(dǎo)致應(yīng)用程序和數(shù)據(jù)安全方面的支出增加超過 15%。

描述：

ChatGPT 等大型語言模型 (LLM) 應(yīng)用程序已將生成式人工智能 (GenAI) 提上議程，納入許多業(yè)務(wù)、IT 和網(wǎng)絡(luò)安全路線圖。GenAI 一詞描述了從數(shù)據(jù)和模型工件的表示中學(xué)習(xí)以生成新工件的技術(shù)。

GenAI引入了需要保護的新攻擊面。這需要改變應(yīng)用程序和數(shù)據(jù)安全實踐以及用戶監(jiān)控。GenAI 還將改變網(wǎng)絡(luò)安全市場的動態(tài)。

GenAI正在以多種方式影響 SRM 領(lǐng)導(dǎo)者：

直接且緊急：首先，需要解決 ChatGPT 不受管理和不受控制的使用，以最大程度地降低風(fēng)險。最值得注意的問題是在第三方 GenAI 應(yīng)用程序中使用機密數(shù)據(jù)，以及使用未經(jīng)審查的生成內(nèi)容可能導(dǎo)致的版權(quán)侵權(quán)和品牌損害。很快，業(yè)務(wù)計劃推動對保護 GenAI 應(yīng)用的需求，為傳統(tǒng)應(yīng)用安全保護增加了新的攻擊面。

直接且大肆宣傳為緊迫：網(wǎng)絡(luò)安全提供商發(fā)布了一波雙曲線人工智能公告，旨在激發(fā)人們對 GenAI 可能做的事情的興趣。我們已經(jīng)看到 GenAI 功能用于安全運營和應(yīng)用安全，但尚未觀察到網(wǎng)絡(luò)安全產(chǎn)品直接使用 GenAI 技術(shù)來檢測或預(yù)防威脅。

間接且可怕：隨著 SRM 領(lǐng)導(dǎo)者對 2024 年的計劃，由于隱私問題和威脅行為者獲得了 LLM 技術(shù)，他們正在提出有關(guān)新風(fēng)險和威脅的合理問題。他們需要忽略“恐懼、不確定性和懷疑”，并通過監(jiān)控現(xiàn)有安全控制中的檢測性能偏差，并加倍加強彈性和暴露管理舉措，應(yīng)對GenAI 可能導(dǎo)致的威脅環(huán)境中不可預(yù)測的變化。

間接和潛在：隨著組織內(nèi)越來越多的團隊抓住機會將 GenAI 功能集成到其系統(tǒng)中，網(wǎng)絡(luò)安全團隊將必須不斷適應(yīng)流程的變化。例如，人力資源團隊可能會將 GenAI 納入招聘流程，采購團隊可能在選擇或續(xù)簽產(chǎn)品合同時使用 GenAI。即將出臺的法規(guī)和合規(guī)要求也將影響安全團隊。

受關(guān)注原因：

GenAI的使用增加是不可避免的。在2024 年Gartner CIO 和技術(shù)高管調(diào)查中，只有 3% 的受訪者表示他們對 GenAI 不感興趣。SRM 領(lǐng)導(dǎo)者如果推遲采用 GenAI 應(yīng)用程序的新安全實踐，或者忽略 GenAI 的安全用例（即使基于當今的基本實現(xiàn)和示例），則可能會在其他公司效仿時失去其組織的競爭優(yōu)勢。同一項調(diào)查發(fā)現(xiàn)，三分之一 (34%) 的組織計劃在未來 12 個月內(nèi)部署 Gen AI 。

SRM領(lǐng)導(dǎo)者還需要為快速發(fā)展做好準備，因為 ChatGPT 等 LLM 應(yīng)用程序只是 GenAI 顛覆的開始。多模式 GenAI（涉及不同類型數(shù)據(jù)的訓(xùn)練模型）已經(jīng)將 GenAI 用例的范圍擴展到文本之外�！按笮蛣幼髂Ｐ汀薄�—可以自動執(zhí)行動作的基礎(chǔ)模型——也即將出現(xiàn)。

趨勢影響：

安全團隊定期證明其適應(yīng)范式變化的能力。然而，旨在保護 GenAI 應(yīng)用安全的新興安全工具（例如，它們的模型和提示）的不成熟，加上 GenAI 應(yīng)用架構(gòu)的動態(tài)變化，使得開發(fā)最佳實踐和提出建議變得困難。

GenAI的炒作縮短了安全領(lǐng)導(dǎo)者的時間范圍。他們陷入了不得不對整個組織中發(fā)生的許多 GenAI 計劃做出緊急反應(yīng)的境地——這與企業(yè)開始遷移到云時的情況類似。SRM 領(lǐng)導(dǎo)者不能等到一切穩(wěn)定下來才準備和計劃。

在網(wǎng)絡(luò)安全實踐中，安全運營和應(yīng)用程序安全是提供商通過使用 GenAI 添加功能的兩個主要領(lǐng)域。早期的實現(xiàn)采用助手的形式，本質(zhì)上是一個旨在回答問題的交互式提示。太多的此類實施可能很快就會產(chǎn)生“即時疲勞”，因此與 GenAI 的交互需要取得進展。我們還預(yù)計使用經(jīng)過專門訓(xùn)練的模型的新用例很快就會出現(xiàn)。

行動建議：

AI消費：對第三方 GenAI 應(yīng)用程序和現(xiàn)有應(yīng)用程序中嵌入的 GenAI 功能的新用例進行工業(yè)化盤點、監(jiān)控和管理。將 IT 和軟件供應(yīng)鏈依賴性納入風(fēng)險評估。

提供商和技術(shù)選擇要求：更新這些要求以解決隱私、版權(quán)、可追溯性和可解釋性挑戰(zhàn)。為進入組織的基于 GenAI 的產(chǎn)品制定政策并進行監(jiān)督，以便想要使用該技術(shù)的內(nèi)部團隊能夠理解一套商定的協(xié)調(diào)政策。

AI 應(yīng)用程序的安全性：更新應(yīng)用程序和數(shù)據(jù)安全實踐以集成新的攻擊面，例如用于檢測 AI 模型的提示或編排層。評估支持人工智能信任、風(fēng)險和安全管理 (TRiSM) 框架的技術(shù)。

生成式網(wǎng)絡(luò)安全人工智能：在將 GenAI 集成到網(wǎng)絡(luò)安全計劃之前運行概念驗證，從應(yīng)用程序安全和安全操作開始。旨在增強人類的工作，而不是取代他們，并確保新工具在自身改進的同時，還能增加團隊的知識。

威脅形勢的變化：監(jiān)控現(xiàn)有安全控制的檢測準確性和總體性能的下降。確保能夠獲得有關(guān)不斷變化的威脅形勢的正確情報。承認并傳達，未來 GenAI 攻擊的場景規(guī)劃很棘手，而且可能不是最有利可圖的資源利用方式。

趨勢6、安全行為和安全文化計劃日益受到關(guān)注，以減少人為安全風(fēng)險

戰(zhàn)略規(guī)劃假設(shè)：

到 2025 年，40% 的網(wǎng)絡(luò)安全項目將部署社會行為原則（例如助推技術(shù)）來影響整個組織的安全文化，而 2021 年這一比例還不到 5%。

到 2027 年，50% 的大型企業(yè) CISO 將采用以人為本的安全設(shè)計實踐，以最大限度地減少網(wǎng)絡(luò)安全引起的摩擦并最大限度地提高控制采用率。

描述：

安全行為和文化計劃 (SBCP) 封裝了一種企業(yè)范圍內(nèi)的方法，可最大程度地減少與員工行為（無論是無意的還是故意的）相關(guān)的網(wǎng)絡(luò)安全事件。

SBCP 的主要目標是改變行為。它涵蓋傳統(tǒng)實踐，例如意識培訓(xùn)和網(wǎng)絡(luò)釣魚模擬，以及一系列影響行為的學(xué)科，包括：

組織變革管理。

以人為本的用戶體驗（UX）設(shè)計。

開發(fā)安全運營。

SBCP 還考慮一系列影響程序設(shè)計的因素，并鼓勵基于平臺的架構(gòu)，以幫助：

降低員工對社會工程的敏感度并提高他們在受到攻擊時的反應(yīng)。

改進安全控制的采用。

最大限度地減少系統(tǒng)采購過程中引入的漏洞。

在不增加安全風(fēng)險的情況下制定敏捷的、業(yè)務(wù)主導(dǎo)的數(shù)字決策。

受關(guān)注原因：

客戶和供應(yīng)商已經(jīng)認識到，普遍只注重提高員工的網(wǎng)絡(luò)安全意識，這在很大程度上無法有效減少因員工行為而導(dǎo)致的安全事件的數(shù)量。2022年Gartner 安全行為驅(qū)動因素調(diào)查發(fā)現(xiàn)：

69% 的受訪員工承認在過去 12 個月內(nèi)故意繞過安全控制。

93% 的員工知道他們的行為會增加組織的風(fēng)險，但還是采取了這些行動。

GenAI的民主化加劇了這一挑戰(zhàn)，因為它使員工可以不受限制地訪問強大的技術(shù)功能，如果不小心使用，可能會導(dǎo)致數(shù)據(jù)泄露。

自 Gartner 于 2022 年推出 SBCP 概念和相關(guān)的 PIPE（實踐、影響、平臺、推動者）框架以來，針對該主題向 Gartner 客戶咨詢服務(wù)的請求增加了四倍多。SRM 領(lǐng)導(dǎo)者認識到，將重點從提高意識轉(zhuǎn)向促進行為改變將有助于降低網(wǎng)絡(luò)安全風(fēng)險。此外，這種轉(zhuǎn)變使 SRM 領(lǐng)導(dǎo)者能夠應(yīng)對“安全疲勞”、控制摩擦以及無論風(fēng)險如何優(yōu)先考慮速度和利潤的組織文化等挑戰(zhàn)。領(lǐng)先的供應(yīng)商正在做出響應(yīng)并快速轉(zhuǎn)變解決方案，以支持行為改變并增強客戶企業(yè)文化的安全意識。

趨勢影響：

桑坦德銀行和“SevenHills”等已采用 SBCP 相關(guān)實踐的組織已經(jīng)看到：

提高員工對安全控制的采用。

減少不安全行為。

速度和敏捷性提高。

當員工有能力做出獨立的網(wǎng)絡(luò)風(fēng)險決策時，可以更有效地利用網(wǎng)絡(luò)安全資源。

當前的投資往往不足以實現(xiàn)上述成果。2022 年Gartner網(wǎng)絡(luò)安全意識調(diào)查發(fā)現(xiàn)，雖然 84% 的受訪組織表示其意識計劃的主要目標是改變行為，但 80% 的組織擁有的全職員工 (FTE) 不足，50%與他們的意識計劃相關(guān)的FTE 低于 0.6。

為了執(zhí)行有效的 SBCP，SRM 領(lǐng)導(dǎo)者需要更多的FTE容量和能力、更加以平臺為中心的技術(shù)架構(gòu)以及提高項目設(shè)計的復(fù)雜性。鑒于對整體企業(yè)方法的要求，與傳統(tǒng)的意識活動相比，SBCP 還需要整個組織內(nèi)更多的高級管理人員支持和更多的時間投入。因此，毫不奇怪的是，在接受 Gartner 另一項調(diào)查的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者中，有 68% 的人表示，他們發(fā)現(xiàn)為 SBCP 獲得高管支持比之前的安全意識活動更具挑戰(zhàn)性。16盡管如此，組織高級管理人員的明顯和持續(xù)的倡導(dǎo)對于優(yōu)化該計劃提供顯著改進的安全行為的機會以及根深蒂固更具安全意識的企業(yè)文化至關(guān)重要。

行動建議：

通過定期審查過去網(wǎng)絡(luò)安全事件的可靠樣本，確定與不安全員工行為相關(guān)的網(wǎng)絡(luò)安全事件的數(shù)量和類型，將 SBCP 的工作重點放在最危險的員工行為上。

通過采用 Gartner PIPE 框架，使用適合可用資金和資源的可擴展方法，指導(dǎo)有效且高效地實施 SBCP。

通過使用結(jié)果驅(qū)動、以行為為中心的指標來幫助向執(zhí)行利益相關(guān)者和董事會展示 SBCP 的業(yè)務(wù)價值，從而培養(yǎng)更高水平的持續(xù)和可見的執(zhí)行支持。

趨勢7、網(wǎng)絡(luò)安全效果驅(qū)動的指標彌合董事會溝通偏差

描述：

網(wǎng)絡(luò)安全結(jié)果驅(qū)動指標（ODM ）是具有特殊屬性的運營指標——它們使網(wǎng)絡(luò)安全的利益相關(guān)者能在網(wǎng)絡(luò)安全投資和安全保護級別之間劃清界限。ODM對于制定可防御的網(wǎng)絡(luò)安全投資策略至關(guān)重要。它們以簡單的語言反映了具有強大屬性的商定保護級別，以便：

提供可信且合理的風(fēng)險偏好表達，支持直接投資。

能夠向沒有技術(shù)背景的非 IT 管理人員進行解釋。

充當支持直接投資以改變保護水平的價值杠桿。

ODM 協(xié)助解決許多幾十年來一直存在問題的任務(wù)。例如，它們可以幫助：

制定業(yè)務(wù)決策以接受第三方風(fēng)險而不承擔(dān)責(zé)任。

支持 SRM 領(lǐng)導(dǎo)者使用多個半自主操作單元來管理安全保護級別，同時保持自主性。

支持并購中“買方”的網(wǎng)絡(luò)安全盡職調(diào)查。

向高管解釋重大網(wǎng)絡(luò)事件，并指導(dǎo)具體投資來修復(fù)這些事件。

支持透明度，以教育高管、業(yè)務(wù)線和公司職能部門了解不適當或漫不經(jīng)心的風(fēng)險接受情況。

暴露矩陣管理問題，例如IT 團隊在修補問題中所扮演的角色，而安全組織通常負責(zé)解決這些問題。

受關(guān)注原因：

2023年 Gartner 網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者演變調(diào)查向首席信息安全官 (CISO) 提出了以下問題：“不斷變化的業(yè)務(wù)目標對您的網(wǎng)絡(luò)安全戰(zhàn)略有何影響？”對此，60% 的人表示有一些影響或重大影響。當業(yè)務(wù)發(fā)生轉(zhuǎn)變時，我們需要能夠以可衡量且可防御的方式闡明剩余風(fēng)險的變化。盡管對網(wǎng)絡(luò)安全人員、流程和技術(shù)進行了大量投資，但網(wǎng)絡(luò)安全事件對跨部門組織的頻率和負面影響仍在持續(xù)上升。這削弱了董事會成員和 C 級領(lǐng)導(dǎo)者對其網(wǎng)絡(luò)安全組織戰(zhàn)略的信心。美國證券交易委員會 (SEC)的新監(jiān)管、歐盟第二版網(wǎng)絡(luò)和信息系統(tǒng)指令 (NIS2) 以及澳大利亞證券和投資委員會 (ASIC) 的最新信號凸顯了政府對高管持續(xù)施加的壓力，要求他們滿足這一要求需要。

SRM 領(lǐng)導(dǎo)者繼續(xù)努力傳達網(wǎng)絡(luò)安全投資的價值，超越監(jiān)管合規(guī)性和“縮小功能和技術(shù)成熟度方面的偏差”的重要性，而這兩者與保護都沒有有意義的相關(guān)性。將網(wǎng)絡(luò)安全投資與商業(yè)價值聯(lián)系起來的傳統(tǒng)方法同樣有限。支出不等于保護。網(wǎng)絡(luò)風(fēng)險量化仍處于起步階段，成本高昂，并且僅支持廣泛的戰(zhàn)略決策。熱圖是非常主觀的。

組織正在尋求一種衡量網(wǎng)絡(luò)安全價值的方法，該方法能夠與高管產(chǎn)生共鳴，并支持符合業(yè)務(wù)需求的實際投資決策。ODM 越來越多地被視為最有前途的候選者之一。

趨勢影響：

ODM改變網(wǎng)絡(luò)安全治理，以支持通過保護級別協(xié)議 (PLA)與非 IT 高管直接談判資金和所需的保護級別。

管理結(jié)果取代了與高管討論工具和技術(shù)的任何需要，同時在交付方法方面保持完全的靈活性。

ODM 提供了“風(fēng)險偏好”的另一種定義，該定義較少涉及接受損失的意愿，而更多涉及實現(xiàn)商定的保護水平以及證明是否正在實現(xiàn)的愿望。

ODM 使 SRM 領(lǐng)導(dǎo)者能夠重新設(shè)定他們的責(zé)任，這樣就不再是為了防止違規(guī)，而是為了“讓風(fēng)險所有者保持在他們的風(fēng)險偏好范圍內(nèi)”。

SRM 領(lǐng)導(dǎo)者必須鼓勵非 IT 領(lǐng)導(dǎo)者減少對威脅場景和基于可能性的投資理由的興趣，而更多地關(guān)注持續(xù)暴露的保護級別。

需要投資來準備系統(tǒng)和流程，以便為 ODM 持續(xù)收集新數(shù)據(jù)。

行動建議：

使用 Gartner 的工具：風(fēng)險和安全性業(yè)務(wù)協(xié)調(diào)結(jié)果驅(qū)動指標目錄來選擇能夠全面了解當前績效與企業(yè)最大風(fēng)險的 ODM。

與業(yè)務(wù)線和公司職能領(lǐng)導(dǎo)者協(xié)商每個 ODM 的保護級別（所需性能）。PLA 可能因運營組和部門而異。

使用 Gartner 的網(wǎng)絡(luò)安全商業(yè)價值基準為利益相關(guān)者提供有關(guān) ODM 績效的外部視角。

開始在董事會層面報告 ODM 績效，以支持董事會在監(jiān)督風(fēng)險偏好管理和決策方面的作用。

趨勢8、去中心化：不斷發(fā)展的網(wǎng)絡(luò)安全運營模式

描述：

技術(shù)的獲取、創(chuàng)建和交付繼續(xù)從中央 IT 職能轉(zhuǎn)移到業(yè)務(wù)線。這種轉(zhuǎn)變打破了傳統(tǒng)的網(wǎng)絡(luò)安全運營模式。SRM 領(lǐng)導(dǎo)者正在調(diào)整網(wǎng)絡(luò)安全運營模式，以滿足自主、創(chuàng)新和敏捷性的業(yè)務(wù)需求。決策權(quán)正在變得分散，策略細節(jié)現(xiàn)在由邊緣擁有，一些治理正在集中化和正式化，以更好地支持邊緣的風(fēng)險所有者，SRM 領(lǐng)導(dǎo)者角色正在演變?yōu)閮r值推動者角色。

受關(guān)注原因：

企業(yè)使用技術(shù)的方式正在發(fā)生轉(zhuǎn)變：在 Gartner 調(diào)查中，三分之二 ( 67%) 的首席執(zhí)行官和高級業(yè)務(wù)主管表示希望直接在業(yè)務(wù)職能范圍內(nèi)完成更多技術(shù)工作。此外，許多企業(yè)正在經(jīng)歷數(shù)字化轉(zhuǎn)型和云遷移，將工作分散在遠程或混合模式中，并面臨著將隱私、合規(guī)性和網(wǎng)絡(luò)安全納入業(yè)務(wù)運營的監(jiān)管壓力。因此，技術(shù)的獲取、創(chuàng)建和交付的責(zé)任正在從中央 IT 職能轉(zhuǎn)移到業(yè)務(wù)線、公司職能、融合團隊甚至員工個人。

傳統(tǒng)的網(wǎng)絡(luò)安全運營模式無法適應(yīng)這一新現(xiàn)實。網(wǎng)絡(luò)安全需要與業(yè)務(wù)建立更緊密的聯(lián)系，以保持數(shù)據(jù)資產(chǎn)的可見性并支持控制實施。自上而下的治理或控制將無法擴展，因為工作流程的異構(gòu)性和技術(shù)所有權(quán)的分散意味著安全職能部門無法監(jiān)督每一個涉及網(wǎng)絡(luò)安全風(fēng)險的決策。SRM領(lǐng)導(dǎo)者需要提高業(yè)務(wù)決策者的網(wǎng)絡(luò)素養(yǎng)和網(wǎng)絡(luò)判斷力，以便員工能夠?qū)⒕W(wǎng)絡(luò)安全考慮融入到日常工作中，并實施協(xié)作風(fēng)險管理流程。

趨勢影響：

Gartner的研究表明，SRM 領(lǐng)導(dǎo)者正在采用各種策略來推動安全運營模式的演進：

從“中心化轉(zhuǎn)向去中心化”。這意味著集中和簡化網(wǎng)絡(luò)安全監(jiān)督和協(xié)同決策，同時推動分散資源所有者的自治和問責(zé)制。先進的 SRM 領(lǐng)導(dǎo)者認識到，邊緣的本地化網(wǎng)絡(luò)判斷可以降低風(fēng)險并支持創(chuàng)造業(yè)務(wù)價值。

策略治理集中化，同時推動策略實施（例如標準和指南）更加靈活和本地化管理，以適應(yīng)邊緣的控制所有權(quán)。事實上，Gartner 調(diào)查的 45% 的 CISO 正在整合或減少策略，而不是增加策略。為了使策略對用戶更加友好，SRM 領(lǐng)導(dǎo)者及其團隊現(xiàn)在正在與最終用戶共同制定策略，并為風(fēng)險和數(shù)據(jù)所有者提供對特定標準和實施的更多控制。

創(chuàng)建新流程、添加新功能以支持新的運營模式。例如，在 Gartner 調(diào)查中，64% 的 CISO 創(chuàng)建了新的網(wǎng)絡(luò)安全流程，60% 在過去 24 個月內(nèi)創(chuàng)建了新的團隊或職能。

SRM 領(lǐng)導(dǎo)者在轉(zhuǎn)變其角色和網(wǎng)絡(luò)安全運營模式方面發(fā)揮著主導(dǎo)作用。在接受 Gartner 調(diào)查的 CISO 中，至少有 85% 受訪者領(lǐng)導(dǎo)或共同領(lǐng)導(dǎo)了運營模式的變革，而不是接受變革。

行動建議：

通過與風(fēng)險和業(yè)務(wù)職能部門的利益相關(guān)者建立代表指導(dǎo)委員會，促進協(xié)作、集中決策和網(wǎng)絡(luò)判斷（即員工自主做出風(fēng)險知情決策的能力），并確保協(xié)作風(fēng)險決策流程。

實施簡化和標準化的網(wǎng)絡(luò)安全流程，包括風(fēng)險評估、風(fēng)險接受、異常管理和沖突解決，以提高協(xié)作和風(fēng)險決策效率。

制定靈活的政策框架，允許資源所有者根據(jù)其特定需求定制網(wǎng)絡(luò)安全程序和控制措施。這可以增強風(fēng)險管理的主人翁意識和責(zé)任感，同時保持政策合規(guī)性。

通過與業(yè)務(wù)利益相關(guān)者合作、促進網(wǎng)絡(luò)判斷并使安全措施與組織的動態(tài)需求保持一致，接受 SRM 領(lǐng)導(dǎo)者作為網(wǎng)絡(luò)安全風(fēng)險決策推動者不斷變化的角色。

趨勢9、網(wǎng)絡(luò)安全再培訓(xùn)，讓組織面向未來

戰(zhàn)略規(guī)劃假設(shè)：

到 2026 年，50%的大型企業(yè)將使用敏捷學(xué)習(xí)作為主要的技能提升/再培訓(xùn)方法。

描述：

網(wǎng)絡(luò)安全人才短缺是長期存在的全球問題。僅在美國，合格的網(wǎng)絡(luò)安全專業(yè)人員只能滿足當前需求的 70%，這是過去十年來的歷史最低水平。

勞動力市場供需問題無法由個別 SRM 領(lǐng)導(dǎo)人解決�？梢越鉀Q的是新出現(xiàn)的技能缺口。網(wǎng)絡(luò)安全團隊所需的技能正在發(fā)生巨大變化，但網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者仍在繼續(xù)招聘傳統(tǒng)角色和技能。SRM 領(lǐng)導(dǎo)者必須通過重新培訓(xùn)現(xiàn)有人才和雇用具有新能力的新人才來重新培訓(xùn)他們的團隊。

受關(guān)注原因：

SRM領(lǐng)導(dǎo)者面臨著大趨勢的融合，所有這些都會影響網(wǎng)絡(luò)安全團隊蓬勃發(fā)展所需的技能。這些趨勢包括：

云采用。大多數(shù)組織現(xiàn)在都是云優(yōu)先（或云首選）實體。他們向云的遷移進一步推動了對底層基礎(chǔ)設(shè)施安全的抽象。

GenAI。GenAI 工具的快速崛起和普遍可用性改變了必須保護的技術(shù)和網(wǎng)絡(luò)安全團隊將使用的工具。

運營模式轉(zhuǎn)型。網(wǎng)絡(luò)安全專業(yè)人員越來越需要與業(yè)務(wù)合作伙伴合作并通過業(yè)務(wù)合作伙伴合作，而不是單獨管理網(wǎng)絡(luò)安全實施。

供應(yīng)商整合。這意味著網(wǎng)絡(luò)安全團隊必須管理更少的安全解決方案套件和供應(yīng)商關(guān)系。

威脅范圍的擴大�，F(xiàn)在的威脅包括網(wǎng)絡(luò)物理系統(tǒng)、遠程工作、GenAI 技術(shù)以及員工對低代碼/無代碼解決方案的使用。

增強的互聯(lián)勞動力。為了使組織內(nèi)部的 GenAI 先驅(qū)成為可能，我們正在制定和實施戰(zhàn)略，以優(yōu)化人類員工的價值。

總的來說，這些趨勢正在改變網(wǎng)絡(luò)安全團隊所需的技能。對新技能的需求增長速度將快于新角色、新認證、新職位描述、新頭銜等的廣泛創(chuàng)建。因此，學(xué)習(xí)和發(fā)展解決方案、招聘平臺和人力資源實踐將落后于網(wǎng)絡(luò)安全的需求。

趨勢影響：

網(wǎng)絡(luò)安全團隊需要新技能，其中許多技能尚未定義或標準化。SRM 領(lǐng)導(dǎo)者應(yīng)考慮以下影響：

“相鄰技能”將解決一些技能缺口。在人力資源實踐、職位描述模板以及認證和培訓(xùn)服務(wù)趕上之前，對新興技能的需求將會增長。SRM 領(lǐng)導(dǎo)者將需要招聘“相關(guān)技能”（內(nèi)部和外部），以大致滿足新興技能需求，以便駕馭上述大趨勢。

“軟”技能將勝過技術(shù)實力。風(fēng)險決策和政策細節(jié)越來越多地掌握在網(wǎng)絡(luò)安全直接權(quán)限之外的邊緣。網(wǎng)絡(luò)安全團隊需要更多的軟技能，例如商業(yè)頭腦、口頭溝通能力和同理心，以便與他人合作。這些技能可幫助網(wǎng)絡(luò)安全專業(yè)人員了解網(wǎng)絡(luò)風(fēng)險如何影響業(yè)務(wù)成果、控制措施如何給業(yè)務(wù)帶來摩擦，以及如何通過談判獲得平衡網(wǎng)絡(luò)風(fēng)險與其他考慮因素的結(jié)果。

新的挑戰(zhàn)需要新的技能。網(wǎng)絡(luò)安全團隊將需要新技能，其中許多技能在過去幾年中并不存在。這些技能可能是全新網(wǎng)絡(luò)安全角色或增強現(xiàn)有角色的新技能的一部分。例如，數(shù)據(jù)科學(xué)家可能需要人工智能倫理方面的技能，安全意識管理者可能需要人類心理學(xué)方面的技能。

行動建議：

制定網(wǎng)絡(luò)安全勞動力計劃。記錄新興技能的需求，并將其映射到當前或新型的網(wǎng)絡(luò)安全角色。與網(wǎng)絡(luò)安全員工交流您的路線圖，以便他們了解自己的角色將如何演變，以及領(lǐng)導(dǎo)層將如何支持他們的持續(xù)發(fā)展和職業(yè)發(fā)展。

雇用未來，而不是過去。更新職位描述和外包 RFP，以反映預(yù)期的未來而不是過去的技能需求。

培養(yǎng)敏捷的學(xué)習(xí)文化。圍繞敏捷學(xué)習(xí)改進網(wǎng)絡(luò)安全的學(xué)習(xí)和發(fā)展計劃。敏捷學(xué)習(xí)優(yōu)先考慮通過迭代、短時間爆發(fā)的實踐技能開發(fā)，而不是基于瀑布的培訓(xùn)和認證計劃。