安全与风险管理领导者的3大战略重点2023年领导力前瞻© 2023 Gartner公司及/或其关联公司版权所有。保留所有权利。CM_GTS_2107928 2023年领导力前瞻：安全与风险管理领导者的3大战略重点来自杰出副总裁分析师Tom Scholtz的一封信受持续通胀、人才稀缺且昂贵，以及全球供应限制（由俄乌冲突、新冠疫情和能源短缺导致）的影响，您的客户正在面临诸多不确定性。这三重压力影响着全球各地的企业机构，并直接影响了2023年的网络安全格局。作为网络安全领导者，您在动荡时期做出的决策将决定贵公司是否要承担不必要的网络安全风险，还是利用技术革新实现繁荣发展。而您的团队必须具备灵活变通的能力。进入2023年，尽管经济存在不确定性和诸多不利因素，首席信息安全官（CISO）表示他们目前仍计划继续开展网络安全投资。这是因为随着技术决策越来越民主化，网络安全风险也有所增加。而优秀的CISO勇于尝试新的想法。他们专注于提高个人效率，推动企业文化的变革，并倡导进行网络判断。随着企业机构继续开展技术投资，以期通过创新和差异化在竞争中脱颖而出，安全和风险管理（SRM）领导者必须能够切实量化和管理相关的风险，同时采用新方法来教育和指导其企业机构按照安全最佳实践进行操作。为此，《Gartner领导力前瞻》系列基于海量数据进行研究，将为领导者及其团队提供专业指导并明确战略重点。虽然有关角色的详细洞察仅面向Gartner客户，但我们现在将向更广泛的受众、整个商业界分享相关内容的摘录，希望以下内容能够有助于您与您的团队、同事和其他领导者开展讨论，从而在更短的时间内、以更有效的方式明确您的优先事项和行动措施，进而帮助您进一步升级2023年的战略计划。Tom Scholtz杰出副总裁分析师2GartnerIT领导者成为客户 2023年领导力前瞻：安全与风险管理领导者的3大战略重点独特的商业环境需要整个团队的共同努力在一个日益复杂、危险的世界中，SRM领导者一直致力于实现安全数字化转型。随着经营环境愈发不可预测，且企业希望通过创新技术获得差异化竞争优势，各企业机构都愿意提高风险偏好，并在可预见的未来时期内对安全领域进行大量的投资。为了了解和应对内外部挑战，SRM领导者要与整个企业机构的利益相关者开展更加密切的合作，确保商业领导者具备一定的知识和能力，从而使他们做出明智、高质量的安全风险决策。来源：Gartner企业架构和技术创新应用3供应商遴选、采购和管理软件工程运维首席信息官数据和分析安全与风险经理在团队中的作用：•实现安全数字化转型•推动进行网络判断•提高网络风险意识战略组合管理地缘政治两极化通胀高企供应链中断C级高管和商业领导者劳动力与技能短缺安全和风险GartnerIT领导者成为客户 2023年领导力前瞻：安全与风险管理领导者的3大战略重点影响SRM领导者的三大趋势越来越多的技术人员就职于非IT部门位加速数字化进程，67%的CEO希望在业务部门内完成更多的技术工作。也就是说，越来越多的“业务技术人员”（即IT部门之外的员工，他们不仅使用技术，而且能生产技术）将不再受到SRM领导者的直接控制。网络安全网格的演变如果端点、数字公民和IT资产可位于任何位置，那么网络安全控制也应该如此。网络安全网格是一个高度灵活、可协作的生态系统，由可组合的分布式工具和控件组成，可保护整个企业机构甚至全世界的资产。第三方安全风险的关注度逐渐增加近期的网络安全事件突显了供应链的弱点。到2025年，60%的企业机构将把网络安全风险作为进行第三方交易的重要因素，以防止其信息、系统和基础设施遭到破坏。4GartnerIT领导者成为客户 SRM领导者需要面临的挑战及相应的应对措施处理好人的因素提高SRM的效率推动网络判断大部分数据泄露事件仍然与人有关。Gartner最近的一项调查发现，员工仍在从事（有时甚至明知故犯）公认的危险安全行为，如在多个账户中使用同样密码或在工作设备上打开来源不明的电子邮件。目前，只有12%的SRM领导者超过了利益相关者的期望。为此，SRM领导者必须全面提高其效率，以证明他们有能力达成网络安全优先事项。SRM领导者必须拥有能够支持整个企业机构的决策者做出独立且明智的风险决策的能力——即网络判断能力——而不是依赖SRM团队或自动化。SRM领导者行动措施采用GartnerPIPE框架，专注实践、影响因素、平台和促成因素，从而指导整个企业机构采取安全行为和实施相关的文化计划。注重提高已确定职责的效率，更好地对齐业务优先事项，并保护企业机构的安全。通过自我认证和团体信任评分等策略实现自主自治，推动整个企业进行网络判断。52023年领导力前瞻：安全与风险管理领导者的3大战略重点GartnerIT领导者成为客户 减少安全风险中人的因素为了减少人类行为对网络安全的负面影响，SRM领导者必须开展截然不同的安全培训。为此，SRM领导者可以采用Gartner PIPE框架。此外，SRM领导者还必须通过开发与第三方互动有关的最佳实践来减少数字供应链风险。来源：Gartner举措建议采取的后续措施1在设计控制措施时考虑用户体验。2设计基于角色的网络安全学习体验。3使用以结果为导向的指标，精准确定企业机构的受保护程度。4当与供应链厂家接触时：•识别共享的数据和基础设施的潜在安全风险。•确保满足最新的监管规定。•在各利益相关者之间建立密切的伙伴关系，实现联合治理。•评估和实施新兴的最佳实践。安全行为和文化计划62023年领导力前瞻：安全与风险管理领导者的3大战略重点高层支持平台GartnerIT领导者成为客户 提高领导效率随着SRM领导者的职责不断增加，不断评估和提高领导效率至关重要。另外，SRM领导者还必须将其优先事项对齐业务优先事项，才能更好地推动商业价值的实现并保护企业机构免受攻击。举措建议采取的后续措施1与IT部门以外的高级领导层建立合作关系。2帮助决策者了解最新的安全规范，避免未来可能出现的风险。3主动确保业务部门使用人工智能。4追踪员工表现，创造性地弥合技能差距。5明确区分工作和生活，更好地管理压力。来源：Gartner13人才架构3高层影响3积极主动地参与到新兴技术的安全保护中将伙伴关系视为提高效率的核心帮助高级决策者进行信息风险的权衡高效能CISO基于风险偏好开展合作在项目范围之外与高级决策者建立合作关系主动识别与信息安全有关的非管理领域的风险严格区分工作和生活相信工作压力由CISO直接控制制定正式可行的接班人计划制定人才战略，满足企业不断增长的技能需求让高级决策者了解未来的风险让高级决策者了解新的安全规范制定全局性的控制自动化战略保护常规的职业发展时间72023年领导力前瞻：安全与风险管理领导者的3大战略重点未来风险管理压力控制GartnerIT领导者成为客户 来源：Gartner提高整个企业的安全能力支持SRM领导者直接控制之外的小组独立开展网络安全活动，从而在整个企业机构内培养能力，使SRM团队能够专注于更高价值的活动。实施网络安全网格战略，加强综合系统的安全性，并保护访问、配置和数据，无论资产位于何处。举措1授权交付团队通过QP Express计划对需要发布的应用程序进行自我认证。2通过团体信任评分来确定有能力执行网络安全活动的团队。3启动网络安全网格战略：•评估现有工具的成熟度。•调查团队的整合能力。•合理确定投资规模。•混合使用专有集成和开放标准，决定如何建立综合平台、分层的可组合产品或综合方法。建议采取的后续措施入场筹码首席信息官CEO销售主管CDO业务部门领导董事会首席营销官CHRO外部审计CFO传播主管应用主管基础设施主管项目管理主管价值价值CISO82023年领导力前瞻：安全与风险管理领导者的3大战略重点GartnerIT领导者成为客户 2023年领导力前瞻：安全与风险管理领导者的3大战略重点探寻为安全领导者提供的其他免费资源和工具：已经是Gartner客户？您可在客户门户网站上获得更多的资源。登录可信赖的洞察网络研讨会中国数据安全治理解析如何打破沟通障碍、明确数据安全计划的责任和目标。立即观看路线图《网络安全IT路线图》创建一个韧性、可扩展、灵活的网络安全战略。下载路线图电子书《响应网络安全事件的3个必备工具》未雨绸缪，提高企业机构对网络安全事件的响应能力。即刻下载电子书《高效能CISO领导力的四大使命》了解优秀的网络安全领导者如何应对职责范围扩大的情况。即刻下载9GartnerIT领导者成为客户 2023年领导力前瞻：安全与风险管理领导者的3大战略重点Gartner网络安全领导者点击关注加入我们11联系我们获得可行的客观洞察，以实现您最关键的优先事项。Gartner专家指南和工具使您能够做出更快、更明智的决策并获得更优的业绩表现。联系我们成为客户：成为客户点击了解更多关于Gartner网络安全领导者的相关信息gartner.com/cn持续获得最新洞察© 2023 Gartner, Inc. 保留所有权利。CM_GTS_2107928