https://event.flydove.net/edm/web/infosecurity01/311626
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

Gartner:未來兩年資安策略應納入8大前提

2024 / 03 / 22
編輯部
Gartner:未來兩年資安策略應納入8大前提
企業組織的安全實踐在未來幾年將如何演進? Gartner 提供了 8 項預測,包含生成式AI、虛假資訊的增長、資安主管面臨日益增加的法律責任以及過時系統持續未能遵循零信任原則等重大趨勢的影響。
 
Gartner表示,AI已經出現可協助解決資安技能短缺和不安全人為行為的方案。目前人為因素在資安領域中獲得更高的關注。資安主管在建構有效且可持續的網路安全計劃時,都必須體認到這點。

資安主管的策略規劃前提

Gartner 建議資安主管在未來兩年的安全戰略中納入以下前提:
  1. 到 2028 年,採用生成式AI將縮小資安技能差距,使 50% 的初級網路安全職位不再需要專門教育。生成式AI將有助於組織紓解網路安全人才短缺的問題,並改變組織日後招募和訓練網路安全人員的方式。

    Gartner建議:資安團隊應專注於支援組織內部的實際案例。並為更關鍵的網路安全角色募集人才。 
     
  2. 到 2026 年,在安全行為和組織文化培訓系統中結合生成式AI與整合式平台架構的企業,將可減少 40% 由員工引起的網路安全事件。生成式AI能產出高度個人化的內容和訓練素材, 以每位員工的獨特思考 ,從而提高員工在日常工作中採納更安全行為的可能性。 

    Gartner 建議尚未採用生成式AI功能的組織,應評估如何利用生成式AI。對可以提供AI強化培訓的 MSP 和 MSSP 來說,這可能是一個機會。 
     
  3. 到 2026 年,75% 的組織將從零信任策略中排除無法管理、過時和連網實體系統(cyber-physical systems)。對於無法管控的裝置、舊有應用程式和在特定環境中執行特定任務的OT系統,零信任概念並不完全適用。

    然而,Gartner認為這種情況將逐漸改善。MSSP 和 MSP 可幫助客戶評估這些不合規系統,並提出升級建議。  
     
  4. 到 2027 年, 全球100大企業中有三分之二將因個人法律風險而將董事及高級人員責任險延伸至資安主管。由於新法規制定,如上市櫃企業應通報資安事件規定,資安主管將面臨法律責任。因此,資安主管的角色和責任需要更新。 

    Gartner建議:組織應盡早作相對因應,包含保險和補償措施,以減輕個人法律責任、專業風險和法律費用。
     
  5. 到 2028 年,企業用於對抗虛假資訊(misinformation)的支出將超過 5000 億美元,佔行銷和網路安全預算的 50%。AI、分析、行為科學、社交媒體、物聯網和其他技術的組合,使惡意行為者能夠大規模製造和傳播高度有效的虛假資訊。

    Gartner建議:資安主管應定義、管理、制定、執行全企業反虛假資訊計劃的責任,並投資相關工具和技術應對。
     
  6. 到 2026 年,40% 的身份安全和存取管理 (IAM)將承擔 IAM 相關入侵事件的主要責任。到目前為止,多數企業組織無法明白身分安全的業務價值,對於IAM的投資存疑。Gartner認為IAM的重要性將會提升,並建議資安主管應打破傳統IT和資安的隔閡,調整 IAM 計劃與安全措施。
      
  7. 到 2027 年,70% 的組織將結合資料外洩預防和內部風險管理與 IAM 系統洞察,更有效地識別可疑行為。Gartner認為這塊市場需求將推動使用者行為控制和預防資料外洩整合的方案。

    Gartner建議,組織應識別內部資料和身份風險,並將它們並列為資安佈署架構的首要前提。
     
  8. 到 2027 年,30% 的網路安全團隊將重塑應用程式安全,讓非資安專業的開發或IT人員可以管理一定水準的應用程式安全。目前開發團隊及分散式交付團隊所打造的應用程式數量、種類和環境讓潛在的攻擊範圍遠超過應用程式安全團隊可以的處理能力。

    為彌補差距,Gartner建議,資安團隊必須在應用程式開發團隊中建立最低有效的專業知識,結合自動化資安技術和培訓,讓開發團隊生成能夠自主做出資安風險決策所需的能力。 
本文轉載自MSSPAlert。