Gartner：企業(yè)機構需要重新定義網絡安全領導者的角色

根據Gartner的最新調查，由于網絡風險責任已被轉移到IT以外，并且日益分散的生態(tài)系統(tǒng)導致網絡安全領導者正在失去對決策的直接控制權，企業(yè)機構需要重新定義網絡安全領導者的角色。

如今，安全和風險管理（SRM）領導者投入大量精力評估和改變外部各方的網絡健康狀況。但企業(yè)員工正在做出更多涉及網絡風險的決策，執(zhí)行委員會也在網絡安全領導者的職權范圍之外成立。

Gartner分析師表示，這些因素削弱了網絡安全領導者對許多決策的直接控制權，這些決策本該屬于他們的職責范圍。

Gartner研究總監(jiān)Sam Olyaei表示：“網絡安全領導者現在處于一個筋疲力盡、勞累過度但又隨時待命的狀態(tài)。這反映出在過去十年中，企業(yè)機構內部利益相關者的期望分歧日益加劇，這一角色的職責范圍被嚴重擴大。”

網絡風險責任將擴展到IT之外

根據Gartner最近的一項調查，88%的董事會認為網絡安全不但是一個IT技術問題，還是一種業(yè)務風險。13%的董事會選擇建立由專門董事監(jiān)管的網絡安全董事委員會來應對這一問題。

Gartner預測，到2026年，與網絡安全風險相關的績效要求將會出現在過半數企業(yè)高管的勞動合同中。

這影響了信息風險決策的及時性和質量，這些決策越來越多地由IT或安全業(yè)務線之外的利益相關者做出。Gartner預計，這一責任將不可避免地轉移到業(yè)務領導者身上，他們將要負責向CEO交付戰(zhàn)略目標，比如收入和客戶滿意度等。

隨著網絡風險責任正式轉移到業(yè)務領導者身上，Gartner分析師認為企業(yè)機構必須重新定義網絡安全領導者的角色才能取得成功（見圖一）。

圖一 網絡安全領導者的角色需要重構

Olyaei表示：“首席信息安全官的角色必須從負責應對網絡風險的實際責任人，轉變成確保業(yè)務領導者具備足夠的能力和知識來做出明智、高質量的信息風險決策的指路人。”

網絡安全將被納入ESG報告予以披露

投資者的關注、公眾的壓力、員工的要求和政府的規(guī)定正在進一步激勵企業(yè)機構在其環(huán)境、社會和治理（ESG）工作中追蹤和報告網絡安全目標與指標，并將此作為一項業(yè)務要求。

因此，Gartner預測到2026年，30%的大型企業(yè)機構將公布以網絡安全為重點的ESG目標，而2021年的這一比例還不到2%。

Gartner研究總監(jiān)Claude Mandy表示：“公眾希望能夠更清楚地了解企業(yè)機構的安全風險，因此要求在其ESG報告中更加透明地披露這一點。網絡安全已不僅僅是企業(yè)機構的風險，而是全社會的風險。”

安全和風險管理領導者將越來越需要證明，其所在的企業(yè)機構正在努力減少因網絡安全事件而產生的社會問題，例如客戶個人信息泄露、使用網絡物理系統(tǒng)所帶來的潛在安全問題、產品被誤用和濫用的可能性以及針對關鍵基礎設施的惡意網絡活動。