企業網路安全領導者的角色正在重新定義

如今，企業網路安全領導者(安全和風險管理，SRM)需要投入更多的精力，以評估組織內外部各方的網路狀況。工程師正在做出更多涉及網路風險的決策，而組織也開始設立在網路安全領導者職責範圍之外的執行委員會。Gartner分析師表示，這些因素將導致產生這樣的情況——網路安全領導者對於職責範圍內的許多決策減少了直接控制權。

據Gartner最近的一項調查顯示，88%的董事會將網路安全視為業務風險，而不僅僅是技術IT問題。為此，13%的董事會設立了專門針對網路安全的董事會委員會，由專職董事負責監督。Gartner預測，到2026年，至少50%的企業高管將在僱傭合同中列入與網路安全風險相關的績效要求。

網路安全的正式責任將不可避免地轉向業務領導人，這些領導人向CEO交付戰略性目標，比如創收和客戶滿意度。隨著網路安全的正式責任轉移到業務領導人，有必要重新定義網路安全領導者的角色(見圖 1)。

Gartner研究總監Sam Olyaei表示，CISO(首席資訊保安官)這個角色必須從應對網路風險“事實上”的責任人變成賦能業務領導人，並協助其做出明智而高質量的資訊風險決策。

網路安全領導人的角色需要重新定義  圖片來源：Gartner(2022年2月)

Gartner研究總監Claude Mandy表示，很多組織在其ESG(環境、社會和治理)工作中積極跟蹤和報告網路安全目標和指標，並將其作為一項業務需求。據Gartner預測，到2026年，30%的大型組織會公開披露側重於網路安全的ESG目標，遠高於2021年的不到2%。

這表明，網路安全不再只是組織面臨的一種風險，而是一種社會風險。未來，網路安全領導者將更加致力於減少網路安全事件引發的社會問題，比如客戶個人資訊的資料洩露、使用網路/物理系統帶來的潛在安全隱患、產品被誤用和濫用的可能性以及針對關鍵基礎設施的惡意網路活動。