最近,新闻报导中频繁出现重要数据泄露事件。一次数据泄露便可能对企业资产与名誉带来严重损失:造成股价下跌、客户恼怒以及企业业务目标受损等后果。
“安全与风险管理领导者已在幕后工作太久,现在是时候大放光彩了。”
安全——曾经仅占企业信息技术很小的一部分——如今已经成为决定公司能否取得成功的一个关键因素。这也提高了对安全与风险管理领导者角色的关注度;这些安全与风险管理领导者目前正面临着如何保护其企业免于危害性网络攻击的艰巨任务,同时还要应对严格监管者不断提高的要求。
Gartner 研究副总裁 Peter Firstbrook表示:“安全与风险管理领导者已在幕后工作太久,现在是时候大放光彩了。如果他们可以利用新兴趋势,制定一个强有力的安全计划,那么他们就能保障自身所在企业的安全,并显著提升其地位。”
Firstbrook 指出了即将到来的六大安全与风险管理趋势,以及这些趋势的一些关键影响。
趋势1:关注点已经明确
正如Equifax与 Maersk. 所证实的那样,安全漏洞不仅威胁到企业高管层,还可能给企业带来高达数百万美元的损失。鉴于此,商业领袖与高层利益相关者逐渐加大对安全部门情况的关注程度。安全与风险管理领导者应充分利用这种关注趋势,与业务利益相关者紧密合作,将安全策略与业务计划联系起来。这也是一个解决技能短缺问题并促进内部安全人员职业发展的绝佳机会。
Firstbrook 谈道:“当与高管进行交流时,一个很关键但是却经常被忽略的问题就是语言障碍。当与高管沟通时,要使用业务语言但不要仅被技术术语束缚。”
趋势2:监管推进变革
数据泄露事件数量的增加迫使企业要去适应日益复杂的法律和监管环境,包括要遵守欧洲《通用数据管理条例》(GDPR)。
数据既是一种资产也是一种潜在负债。数字业务计划必须权衡数据的这两种性质,并寻求能够降低成本与潜在负债的创新解决方案。Firstbrook 解释道:“领先企业都在关注合规计划如何才能促进其业务发展。安全与风险管理领导者应让安全与风险管理领导者明确的是:数据保护需要付出成本,也或许会面临风险。但是,数据保护也可以带来业务差异。”
趋势3:安全移向“云端”
目前,传统安全解决方案的维护给企业安全部门带来了很大的负担。云服务提供的安全产品更具有灵敏性,而且能够比现场解决方案更快速地提供新型检测方法与服务。
但是并非所有的云安全服务都一成不变。采用云服务也并非简单地将传统管理服务器转移到云端。安全与风险管理领导者应该寻找能够充分利用云服务的解决方案,增加数据遥测技术、增加人员、机器学习、基于API 的访问,以及其他有望改变现状的服务与产品。
趋势4:机器学习变为安全监督者
到2025年,机器学习将成为安全实践的一部分常规内容,并弥补一些技能与人员不足的问题。就目前而言,机器学习比较擅长处理狭义、定义明确的问题集,例如,对可执行文件进行分类。我们无法逃避的一个事实是,人类和机器可以实现互补,合作之后得到的效果要比两者各自单独工作更好。
当前,如今很难区分市场营销噱头与良好的机器学习。安全与风险管理领导者应该重点关注人工智能如何让其产品在效力与管理要求方面优于其他产品。必须要记住的是,机器学习需要人工协助,但关键问题在于这种“协助”来自哪里。
趋势5:地理位置因素先于价格因素考虑
所有的安全与产品购买决策都是基于对供应商诚信的信任。安全与风险管理领导人应该着手将地缘政治风险因素融入业务关键软件、硬件以及服务购买决策之中,且在必要的条件下,考虑本地供应商替代方案。
趋势6:数字权利集中化
逐渐加剧的集中化将数字权利集中在少数人手中。
这就意味着,数字信任已经得到巩固,且仅存在于少数巨头(证书、域名和电子邮件的服务提供商)之间,这引起了对安全问题的担忧。由于集中化带来了垄断与单一企业形式,造成破坏和不良后果的风险增加。
因此,我们看到越来越多的努力,致力于制定去集中化替代方案(例如,区块链与边缘计算),将计算资源从集中式服务器中迁移出来。这些去集中化方法的最终目的就是为用户增加可用性、安全性与隐私性。但是,这种技术依然仅是一个新兴领域而已。
意识到资源集中化会对数字化业务规划带来限制的安全与风险管理者应该:
评估集中化在可用性、保密性和对数字业务计划的弹性方面的安全影响。
在集中化增加了业务目标风险的数字业务规划计划中,寻求一种去集中化替代架构。
声明:本文来自GartnerInc,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
