2024年领导力前瞻安全风险管理领导者的3大战略重点 到2027年，75%的员工将在IT部门之外获取、修改或开发技术，而2022年这一比例仅为41%。来源：Gartner导语当前，CISO面临着一系列快速变化的优先事项、漏洞威胁、安全需求、监管压力和技术变革要求。因此，为应对这一安全形势，安全风险管理领导者需要采取下面这种结构化方法。安全风险管理领导者可使用本指南，面向2024年及未来制定战略计划。步骤1：统一网络安全项目的战略重点。例如：•适应因CISO角色演变和分散式风险决策所带来的运营模式的变化•挖掘AI技术固有的风险与机遇•持续关注与人类行为相关的安全挑战步骤2：在您的网络安全项目愿景中体现这些战略重点。步骤3：确定为实现这些战略重点而需采取的行为举措。步骤4：更新您的网络安全战略，将这些行为举措包含在您的网络安全项目中。2Gartner中国官网成为客户 2024年领导力前瞻：安全风险管理领导者的3大战略重点影响安全风险管理领导者的3大趋势网络安全决策权变更技术的获取、开发和交付持续从IT部门转向业务部门。在这种情况下，安全风险管理领导者的控制权和监管权逐渐削弱，安全风险管理领导者确保网络安全的难度进一步提升。除此之外，近一半的CIO表示，网络安全风险增加不利于数字化项目的执行。安全重点错误根据Gartner调研，93%的受访者表示，他们的行为会增加企业的网络安全风险，但他们还是这么做了。事实上，《Verizon数据泄露调查报告》显示，74%的安全漏洞与人为因素有关。不仅如此，在关注终端用户的安全项目中，大多数导致数据泄露的错误反而与开发人员和系统管理员直接相关。AI带来安全挑战基于大型语言模型的ChatGPT和Bard等工具在早期就给出了生成式AI将如何塑造大多数业务流程的信号。但新兴的安全工具（例如其模型和提示）在确保生成式AI应用的安全性方面还不够成熟，无法应对生成式AI应用程序架构的动态变化。在这种背景下，企业很难制定最佳实践并提供相关的建议。3Gartner中国官网成为客户 2024年领导力前瞻：安全风险管理领导者的3大战略重点安全风险管理领导者的三大战略重点及相应的行动措施适应变化的数字化运营模式挖掘AI风险与机遇1开展以人为本的网络安全工作近四分之三的网络安全领导者都发现了过去12个月在风险决策权和职责方面的变化。2025年，生成式AI将导致用于保障网络安全的资源大幅度激增，应用和数据安全方面的支出将增加15%以上。超过90%的网络安全部门都制定了网络安全意识提高项目，但69%的员工表示他们会故意避开企业的网络安全指导。行动措施将安全部门从阻碍创新的部门转变为推动安全的数字化创新的部门。确保企业以安全的方式构建和使用生成式AI，控制生成式AI对网络安全的影响。组建“老虎队”，评估当前和未来的网络安全战略。责成该团队发现、调查和报告新的网络安全机遇，在不带来不必要风险的同时提高企业的安全能力。来源：Gartner423Gartner中国官网成为客户 行动措施建议1组织架构工具决策权人才绩效表现采购与联盟工作方式财务场所5了解当前的网络安全运营模式该战略重点对网络安全运营模式的每个组成要素都有深远影响，例如：财务。技术和安全投资的预算权转移到业务和产品线负责人的手中。决策权。在协作式风险决策流程的支持下，决策权转移到业务负责人的手中。如此一来，安全策略的限制性、原则性就有所减少，业务部门在选择安全控制措施时就会拥有更多自主权。绩效管理。从使用业务安全指标转变为使用业务成果和业务价值驱动的指标。人才管理。生成式AI等新技术需要员工获得了解这些新技术风险的技能。为此，企业需要新的关系管理技能（如安全服务经理）和行为科学技能，来改变安全行为和文化。2024年领导力前瞻：安全风险管理领导者的3大战略重点Gartner中国官网成为客户 获得授权，利用生成式AI机遇，改善安全风险管理，优化资源，抵御新兴的攻击技术，甚至降低成本。使用不断发展的生成式AI工具和技术，应对恶意行为者不断演变的技术及新的攻击载体。AI应用程序的攻击面扩大，带来了新的潜在风险，CISO需要更新现有的应用程序安全实践。首先是使用ChatGPT，然后是在现有的应用中嵌入生成式AI助手。这些应用都有独特的安全要求，但这些安全要求是遗留的安全控制措施所无法满足的。了解生成式AI的影响来源：Gartner行动措施建议2防御攻击构建使用•技术不成熟•供应商大量涌入的风险•隐私和效能挑战•技能增强•攻击自动化•内容生成•增量式推出•在其他项目中重复使用•多个选择•影子AI•数据隐私和版权62024年领导力前瞻：安全风险管理领导者的3大战略重点Gartner中国官网成为客户 行动措施建议3CEO/业务变革C级高管/CIO业务流程负责人业务分析师解决方案架构师项目经理开发人员测试人员系统管理员服务台分析师终端用户构想数字化举措来源：Gartner设计数字化举措开发数字化举措实施数字化举措“安全左移”，改变安全行为改变安全行为必须关注整个数字“供应链”。这也就是说，行为改变举措的目标受众需要涵盖参与开发数字解决方案的所有角色，而不仅仅是终端用户。其中，CEO和董事会发挥明显的带头作用对推动行为和文化变革至关重要。行为改变举措的目标受众72024年领导力前瞻：安全风险管理领导者的3大战略重点Gartner中国官网成为客户 参加Gartner会议，优化您的网络安全和风险管理战略！© 2024 Gartner, Inc.及/或其关联公司版权所有。保留所有权利。CM_GTS_2714461与您的同行沟通交流，共享不断提高网络安全和风险管理技术灵活性和敏捷性的方法，实现您的关键优先事项。机会不容错过。查看今日的会议日历，找到适合您的Gartner会议。查看安全和风险会议Gartner中国官网成为客户 探寻为安全领导者提供的其他免费资源和工具：可行的客观洞察已经是Gartner客户？您可在客户门户网站上获得更多的资源。点击登录注册参会网络研讨会2024年及未来中国网络安全重要趋势了解安全领域最新趋势及其对安全策略和整个市场的影响。路线图网络安全IT路线图制定富有韧性、可扩展、敏捷的网络安全战略。即刻下载即刻下载电子书响应网络安全事件的3个必备工具提高企业机构对网络安全事件的应对能力。即刻下载路线图使用信息安全项目成熟路线图保护企业商业资产升级信息安全项目，应对新一代威胁。 2024年领导力前瞻：安全风险管理领导者的3大战略重点Gartner网络安全领导者点击关注加入我们10© 2024 Gartner, Inc.及/或其关联公司版权所有。保留所有权利。CM_2714461联系我们获得可行、客观的洞察，做出明智的决策，履行您的关键优先事项，获得出众的绩效表现。联系我们，成为我们的客户：成为客户点击了解更多关于Gartner 网络安全领导者的相关信息https://www.gartner.com/cn您也可扫描以下二维码申请成为Gartner客户：