公司沒有可能導(dǎo)致公眾、乘客或工作人員受傷或失去生命的安全風(fēng)險(xiǎn)。所有安全目標(biāo)都已實(shí)現(xiàn)并逐年改善。我們?cè)敢饨邮芸赡軐?dǎo)致經(jīng)濟(jì)損失的風(fēng)險(xiǎn)。公司在運(yùn)算性能網(wǎng)絡(luò)的可靠性和能力以及資產(chǎn)狀況方面只容忍低到中的總體風(fēng)險(xiǎn)。

　　首席信息安全官一直致力于說明根據(jù)風(fēng)險(xiǎn)作出決策的重要性，而且他們發(fā)現(xiàn)創(chuàng)建風(fēng)險(xiǎn)偏好聲明是讓企業(yè)機(jī)構(gòu)保持IT風(fēng)險(xiǎn)管理與業(yè)務(wù)目標(biāo)一致性的最有效工具。首席信息安全官可通過創(chuàng)建簡(jiǎn)單、實(shí)用和務(wù)實(shí)的風(fēng)險(xiǎn)偏好聲明消除網(wǎng)絡(luò)安全團(tuán)隊(duì)與各業(yè)務(wù)部門之間的文化脫節(jié)。Gartner預(yù)計(jì)，這將是2019年影響首席信息安全官的七大網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理趨勢(shì)之一。

　　Gartner研究副總裁Peter Firstbrook在2019年Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)（Gartner Security and Risk Management Summit 2019 inNational Harbor，MD）上表示：“這些重要趨勢(shì)突顯了安全生態(tài)系統(tǒng)正在發(fā)生戰(zhàn)略性轉(zhuǎn)變，而這些轉(zhuǎn)變目前尚未得到廣泛的認(rèn)可，但是具有廣泛的行業(yè)影響力和巨大的顛覆潛力。這些發(fā)展趨勢(shì)使安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者（SRM）能夠提高抵御能力、更好地支持業(yè)務(wù)目標(biāo)并提升自身在企業(yè)機(jī)構(gòu)中的地位。”

　　趨勢(shì)一：領(lǐng)先的安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者正在創(chuàng)建與業(yè)務(wù)成果相關(guān)的務(wù)實(shí)風(fēng)險(xiǎn)偏好聲明，以更有效地吸引利益相關(guān)者。

　　根據(jù)Gartner客戶的詢問，安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者所面臨的最嚴(yán)峻挑戰(zhàn)之一是無法與業(yè)務(wù)領(lǐng)導(dǎo)者進(jìn)行有效溝通。盡管首席信息安全官參與戰(zhàn)略會(huì)議較多，但業(yè)務(wù)領(lǐng)導(dǎo)者往往無法判斷某項(xiàng)技術(shù)或某個(gè)項(xiàng)目是否具有過高的風(fēng)險(xiǎn)或者企業(yè)機(jī)構(gòu)是否因?yàn)檫^度規(guī)避風(fēng)險(xiǎn)而錯(cuò)失機(jī)會(huì)。

　　風(fēng)險(xiǎn)偏好聲明將業(yè)務(wù)目標(biāo)和風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃相聯(lián)系，以便在承擔(dān)風(fēng)險(xiǎn)時(shí)向利益相關(guān)者和合作伙伴告知企業(yè)機(jī)構(gòu)的意圖。風(fēng)險(xiǎn)偏好聲明必須明確、一致和具有相關(guān)性，并且必須為企業(yè)機(jī)構(gòu)選擇正確的實(shí)現(xiàn)方式。

　　趨勢(shì)二：重新關(guān)注安全運(yùn)營中心（SOC）的實(shí)施情況或成熟度，把重點(diǎn)放在威脅檢測(cè)和響應(yīng)上。

　　由于網(wǎng)絡(luò)安全攻擊的復(fù)雜性和影響日益增加以及網(wǎng)絡(luò)安全工具產(chǎn)生警報(bào)的復(fù)雜性不斷提高，企業(yè)機(jī)構(gòu)希望能夠建立或重新激活安全運(yùn)營中心或者將這一功能外包。到2022年，50%的安全運(yùn)營中心將轉(zhuǎn)變?yōu)榧�成了事件響�?yīng)、威脅情報(bào)和威脅搜尋能力的現(xiàn)代安全運(yùn)營中心，而在2015年，這一比例還不到10%。

　　企業(yè)機(jī)構(gòu)正在投資更敏感的工具并專注于維持響應(yīng)和檢測(cè)或預(yù)防之間的平衡。由于復(fù)雜的警報(bào)和工具數(shù)量增加，因此對(duì)于運(yùn)營集中化和優(yōu)化的需求也在增加，這意味著安全運(yùn)營中心如今已是一種業(yè)務(wù)資產(chǎn)。

　　趨勢(shì)三：領(lǐng)先的企業(yè)機(jī)構(gòu)正在利用數(shù)據(jù)安全治理框架來確定數(shù)據(jù)安全投資的優(yōu)先級(jí)別。

　　數(shù)據(jù)安全不僅僅是一個(gè)技術(shù)問題。為了實(shí)現(xiàn)有效的數(shù)據(jù)安全，可能需要建立數(shù)據(jù)安全治理框架來獲得以數(shù)據(jù)為中心的藍(lán)圖；并通過該藍(lán)圖確認(rèn)所有企業(yè)計(jì)算資產(chǎn)中的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)集并加以分類，同時(shí)制定數(shù)據(jù)安全策略。當(dāng)安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者確認(rèn)了業(yè)務(wù)戰(zhàn)略和風(fēng)險(xiǎn)承受能力時(shí)，該框架就可以作為技術(shù)投資優(yōu)先級(jí)別指南。

　　趨勢(shì)四：受市場(chǎng)需求以及生物識(shí)別技術(shù)與強(qiáng)大的基于硬件認(rèn)證技術(shù)的推動(dòng)，“無密碼”認(rèn)證正受到市場(chǎng)青睞。

　　無密碼認(rèn)證是一個(gè)長(zhǎng)期目標(biāo)，但直到現(xiàn)在才開始真正受到市場(chǎng)的青睞。密碼會(huì)吸引攻擊者，并且易受到社會(huì)工程學(xué)、網(wǎng)絡(luò)釣魚、撞庫和惡意軟件等多種攻擊。

　　隨著新的無密碼標(biāo)準(zhǔn)的出現(xiàn)以及兼容無密碼身份驗(yàn)證的設(shè)備數(shù)量日益增加，無密碼認(rèn)證的普及率正在提高。生物識(shí)別技術(shù)因具有強(qiáng)大的身份識(shí)別能力而成為一項(xiàng)越來越受歡迎的“無密碼”技術(shù)。其他技術(shù)包括硬件令牌（hardware tokens）、電話令牌（phone as a token）、在線快速身份驗(yàn)證（fast IDentity Online）和被動(dòng)行為分析（analytics based on passive behaviors）。

　　趨勢(shì)五：越來越多的網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商開始提供優(yōu)質(zhì)的服務(wù)，幫助客戶獲得更直接的價(jià)值并協(xié)助客戶進(jìn)行技能培訓(xùn)。

　　全球空缺的網(wǎng)絡(luò)安全職位預(yù)計(jì)將從2018年的100萬個(gè)增加到2020年的150萬個(gè)。企業(yè)機(jī)構(gòu)正在想方設(shè)法填補(bǔ)空缺的職位，但它們可能會(huì)發(fā)現(xiàn)即便是留住現(xiàn)有的員工也十分困難。與此同時(shí)，網(wǎng)絡(luò)安全軟件正在日益擴(kuò)散和復(fù)雜化。一些技術(shù)，尤其是人工智能技術(shù)的運(yùn)用，需要人類安全專家不斷進(jìn)行監(jiān)控或調(diào)查。

　　可能在不久之后，就沒有足夠的技術(shù)人員來使用這些產(chǎn)品。因此，越來越多的供應(yīng)商開始提供優(yōu)質(zhì)的服務(wù)，將產(chǎn)品與實(shí)施、配置和長(zhǎng)期運(yùn)營服務(wù)相結(jié)合。這意味著供應(yīng)商可以幫助客戶從工具中獲得更直接的價(jià)值，并且企業(yè)機(jī)構(gòu)可以提升網(wǎng)絡(luò)管理員的技能水平。

　　趨勢(shì)六：由于云已成為主流計(jì)算平臺(tái)，因此領(lǐng)先的企業(yè)機(jī)構(gòu)正在投資云安全能力并使這項(xiàng)能力變得更加成熟。

　　隨著越來越多的企業(yè)機(jī)構(gòu)開始使用云平臺(tái)，網(wǎng)絡(luò)安全團(tuán)隊(duì)將會(huì)遇到更加多樣和復(fù)雜的云安全挑戰(zhàn)。為了應(yīng)對(duì)這個(gè)快速變化的環(huán)境，領(lǐng)先的企業(yè)機(jī)構(gòu)正在建立云卓越技術(shù)中心團(tuán)隊(duì)并對(duì)人員、流程和工具加以投資。云訪問安全代理（CASB）、云安全狀態(tài)管理（CSPM）和云工作負(fù)載保護(hù)平臺(tái)（CWPP）等工具能夠提供多重云安全能力來應(yīng)對(duì)風(fēng)險(xiǎn)，但企業(yè)機(jī)構(gòu)仍須對(duì)人員和流程進(jìn)行投資，例如采用安全開發(fā)運(yùn)維（SecDevOps）的工作方式等。

　　趨勢(shì)七：持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估網(wǎng)絡(luò)安全策略開始出現(xiàn)在更傳統(tǒng)的網(wǎng)絡(luò)安全市場(chǎng)中。

　　持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估（CARTA）是一種安全策略方法。該策略方法承認(rèn)沒有完美的保護(hù)方法，因此需要隨時(shí)隨地調(diào)整安全策略。局域網(wǎng)網(wǎng)絡(luò)安全和電子郵件安全這兩個(gè)傳統(tǒng)市場(chǎng)正在開始采用持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估的思維模式，側(cè)重于周界內(nèi)檢測(cè)以及檢測(cè)與響應(yīng)能力。