Gartner：2022 年及以后的 8 項網絡安全預測

安全和風險領導者同時被拉向多個方向，面臨著從對網絡物理系統的強大攻擊到新的和不斷增加的隱私法規，再到保護分布式全球勞動力的需求等挑戰。 網絡安全現在是董事會級別的最高關注點，將安全置于業務決策的最前沿，并將 CISO 置于聚光燈下。 

在這個新的網絡威脅和商業環境中，安全和風險領導者不要陷入試圖像過去一樣對待一切的舊習慣，這一點至關重要。這是一個全新的世界，企業需要相應地發展他們的思維、理念、程序和安全架構。盡早采取行動將使安全和風險領導者能夠為未來幾年將影響威脅和隱私格局的持續變化做好準備。

以下是來自 Gartner 分析師的八項戰略網絡安全預測，安全和風險管理領導者可以使用這些預測來預測即將發生的變化。安全領導者應將這些戰略規劃假設納入未來一年的路線圖。

1、到2023年底，現代隱私法將覆蓋全球75%人口的個人信息。 

GDPR 是第一個針對消費者隱私的主要立法，但很快就被其他人效仿；包括巴西的一般個人數據保護法 (LGPD) 和加州消費者隱私法 (CCPA)。這些法律的絕對范圍表明企業將在各個司法管轄區管理數據保護立法，客戶將想知道正在收集哪些類型的數據以及如何使用這些數據。這也意味著企業將需要專注于自動化隱私管理系統。在未來一年，重點關注以 GDPR 為基礎的安全運營標準化，隨著新立法的出臺，這將更容易針對各個司法管轄區進行調整。

2. 到 2024 年，采用網絡安全網狀架構的組織將把安全事件的財務影響平均降低 90%。

組織現在在不同的地方支持各種技術，因此他們需要靈活的安全解決方案。網絡安全網格擴展到涵蓋傳統安全邊界之外的身份，并創建組織的整體視圖。它還有助于提高遠程工作的安全性。這些需求將推動未來兩年的采用。

3. 到 2024 年，30% 的企業將采用云交付的安全 Web 網關 (SWG)、云訪問安全代理 (CASB)、零信任網絡訪問 (ZTNA) 和防火墻即服務 (FWaaS) 功能。小販。 

組織傾向于優化和整合。安全領導者通常管理數十種工具，但他們計劃整合到少于 10 種。SaaS 將成為首選的交付方式，整合將影響硬件的采用時間表。

4. 到 2025 年，60% 的組織將使用網絡安全風險作為進行第三方交易和業務往來的主要決定因素。 

投資者，尤其是風險資本家，正在將網絡安全風險作為評估機會的關鍵因素。越來越多的組織在商業交易中關注網絡安全風險，包括并購和供應商合同。結果是通過問卷或安全評級更多地請求有關合作伙伴網絡安全計劃的數據。

5. 到 2025 年底，通過立法來規范勒索軟件支付、罰款和談判的民族國家的百分比將上升至 30%，而 2021 年將低于 1%。

雖然目前更廣泛的法規可能適用于 勒索軟件支付，但安全專家應該期待對支付進行更積極的打擊。鑒于大多數不受監管的加密貨幣市場，支付贖金具有倫理、法律和道德影響，考慮這樣做的影響至關重要。支付（或不支付）的決定應該由能夠解決所有這些問題的跨職能團隊來決定。

6. 到 2025 年，40% 的董事會將擁有一個由合格董事會成員監督的專門網絡安全委員會。 

隨著網絡安全成為（并且仍然）董事會的首要考慮，期望看到董事會級別的網絡安全委員會和更嚴格的監督和審查。這增加了整個組織網絡安全風險的可見性，并需要一種新的董事會報告方法，其細節可能取決于特定董事會成員的背景和經驗。將消息傳遞的重點放在價值、風險和成本上。

7. 到 2025 年，70% 的 CEO 將要求建立組織彈性文化，以應對來自網絡犯罪、惡劣天氣事件、內亂和政治動蕩的同時威脅。 

現在是安全和風險領導者超越網絡安全并進入組織彈性以應對更廣泛的安全環境的時候了。數字化轉型增加了威脅形勢的復雜性，這將影響企業生產產品和服務的方式。努力定義組織彈性和目標，并創建影響它們的網絡風險清單。

8. 到 2025 年，威脅行為者將成功地將作戰技術環境武器化，足以造成人員傷亡。 

隨著惡意軟件從 IT 傳播到運營技術 (OT)，它將話題從業務中斷轉變為人身傷害，責任很可能以 CEO 告終。專注于以資產為中心的 網絡物理系統，并確保有團隊來解決適當的管理問題。