安全和风险管理(SRM)领导者在创建和实施网络安全计划时，必须重新考虑在技术和以人为本的要素之间的投资平衡，以符合9大行业趋势。

“以人为本的网络安全方法对于减少安全故障至关重要，”他说理查德Addiscott他是Gartner的高级主管分析师。“重点关注控制设计和实施人员，以及通过业务沟通和网络安全人才管理，将有助于改善业务风险决策和网络安全人员的保留率。”

为了应对网络安全风险并维持有效的网络安全计划，SRM领导者必须关注三个关键领域:(i)人员在安全计划成功和可持续性方面的重要作用;(ii)在整个组织的数字生态系统中提供更高可见性和响应能力的技术安全能力;(iii)重组安全功能的运作方式，以在不损害安全性的情况下实现敏捷性。

以下九个趋势将对这三个领域的SRM领导者产生广泛的影响:

趋势1:以人为本的安全设计
以人为中心的安全设计优先考虑员工体验在整个控制管理生命周期中的作用。到2027年，50%的大型企业首席信息安全官(ciso)将采用以人为中心的安全设计实践，以最大限度地减少风险cybersecurity-induced摩擦最大限度地利用控制。

“传统的安全意识项目未能减少不安全的员工行为，”addistt说。首席信息安全官必须回顾过去的网络安全事件，以确定网络安全摩擦的主要来源，并确定他们可以在哪些方面通过更多以人为本的控制来减轻员工的负担，或者在没有有效降低风险的情况下取消增加摩擦的控制。”

趋势2:加强人员管理以实现安全计划的可持续性
传统上，网络安全领导者专注于改进支持其计划的技术和流程，而很少关注创造这些变化的人。首席信息安全官以人为中心的吸引和留住人才的人才管理方法在其功能和技术成熟度方面都有所提高。Gartner预测，到2026年，60%的组织将从外部招聘转向内部人才市场的“安静招聘”，以应对系统性的网络安全和招聘挑战。

趋势3:转变网络安全运营模式以支持价值创造
技术正在从核心IT功能转移到业务线、公司功能、融合团队和个人员工。一个Gartner的调查发现41%的员工从事某种技术工作，这一趋势预计将在未来五年内继续增长。

addistt说:“企业领导人现在普遍认为，网络安全风险是需要管理的首要商业风险，而不是需要解决的技术问题。”“支持和加速业务成果是网络安全的核心优先事项，但仍然是一个最大的挑战。”

首席信息安全官必须修改他们的网络安全运营模式，以整合工作完成方式。员工必须知道如何平衡各种风险，包括网络安全、财务、声誉、竞争和法律风险。网络安全还必须通过衡量和报告业务成果和优先级的成功，将其与业务价值联系起来。

趋势4:威胁暴露管理
现代企业的攻击面是复杂的，容易产生疲劳。ciso必须发展他们的评估实践，通过实施持续威胁暴露管理(CTEM)计划来了解他们面临的威胁。Gartner预测，到2026年，基于CTEM计划优先考虑安全投资的组织将减少三分之二的漏洞。

addistt说:“ciso必须不断完善他们的威胁评估实践，以跟上组织不断发展的工作实践，使用CTEM方法来评估不仅仅是技术漏洞。”

趋势5:身份织物免疫
脆弱的身份基础设施是由身份结构中不完整、配置错误或易受攻击的元素造成的。到2027年，身份结构免疫原则将阻止85%的新攻击，从而将违规行为的财务影响减少80%。

addistt说:“身份结构免疫不仅通过身份威胁和检测响应(ITDR)保护结构中现有的和新的IAM组件，而且还通过完成和正确配置它来加强它。”

趋势6:网络安全验证
网络安全验证汇集了用于验证潜在攻击者如何利用已识别的威胁暴露的技术、流程和工具。网络安全验证所需的工具在自动化可重复和可预测的评估方面取得了重大进展，能够定期对攻击技术、安全控制和流程进行基准测试。到2026年，超过40%的组织，包括三分之二的中型企业，将依靠统一的平台来运行网络安全验证评估。

趋势7:网络安全平台整合
当组织希望简化操作时，供应商也是如此整合平台围绕一个或多个主要网络安全领域。例如，可以通过结合了治理、特权访问和访问管理特性的公共平台提供身份安全服务。SRM领导者需要持续地盘点安全控制，以了解存在重叠的地方，并通过整合平台减少冗余。

趋势8:可组合业务需要可组合的安全性
组织必须从依赖单一系统过渡到在其应用程序中构建模块化功能，以响应业务变化的加速步伐。可组合安全是一种方法，在这种方法中，网络安全控制被集成到体系结构模式中，然后在可组合技术实现的模块化级别上应用。到2027年，超过50%的核心业务应用程序将使用可组合架构构建，这就需要一种新的方法来保护这些应用程序。

“可组合安全性是为了保护可组合业务而设计的，”addistt说。“使用可组合组件创建应用程序会引入未发现的依赖关系。对于ciso来说，这是一个重要的机会，通过创建基于组件的、可重用的安全控制对象，在设计中嵌入隐私和安全。”

趋势9:董事会扩大其在网络安全监督方面的能力
董事会对网络安全的关注日益增加，这是由明确的网络安全问责制趋势所驱动的，这一趋势包括董事会成员在其治理活动中加强的责任。网络安全领导者必须向董事会提供报告，证明网络安全项目对组织目标的影响。

addistt表示:“SRMs领导者必须鼓励董事会积极参与网络安全决策。“作为战略顾问，为董事会采取的行动提供建议，包括预算和安全资源的分配。”

Gartner的客户可以在“2023年网络安全主要趋势。”

在免费的Gartner电子书中了解更多关于2023年安全和风险领导者的首要任务:安全与风险管理领导者的2023领导力愿景。

Gartner安全与风险管理峰会
Gartner分析师将在6月5日至7日举行的Gartner安全与风险管理峰会上为安全和风险管理领导者提供最新研究和建议马里兰州国家港7月26日至28日东京9月26日至28日伦敦。在Twitter上关注会议的新闻和更新# GartnerSEC。

beplay首页关于Gartner网络安全领导者
Gartner为网络安全领导者提供工具，帮助安全领导者重新定义角色，使安全战略与业务目标保持一致，并建立计划以平衡保护与组织需求。更多信息请访问//m.painthause.com/en/cybersecurity。

关注Gartner为网络安全领导者提供的新闻和更新推特和LinkedIn使用# GartnerSEC。参观Gartner编Beplay.然后进入辑部获取更多信息和见解。