Gartner：2022 年及以后的 8 项网络安全预测

安全和风险领导者同时被拉向多个方向，面临着从对网络物理系统的强大攻击到新的和不断增加的隐私法规，再到保护分布式全球劳动力的需求等挑战。 网络安全现在是董事会级别的最高关注点，将安全置于业务决策的最前沿，并将 CISO 置于聚光灯下。 

在这个新的网络威胁和商业环境中，安全和风险领导者不要陷入试图像过去一样对待一切的旧习惯，这一点至关重要。这是一个全新的世界，企业需要相应地发展他们的思维、理念、程序和安全架构。尽早采取行动将使安全和风险领导者能够为未来几年将影响威胁和隐私格局的持续变化做好准备。

以下是来自 Gartner 分析师的八项战略网络安全预测，安全和风险管理领导者可以使用这些预测来预测即将发生的变化。安全领导者应将这些战略规划假设纳入未来一年的路线图。

1、到2023年底，现代隐私法将覆盖全球75%人口的个人信息。 

GDPR 是第一个针对消费者隐私的主要立法，但很快就被其他人效仿；包括巴西的一般个人数据保护法 (LGPD) 和加州消费者隐私法 (CCPA)。这些法律的绝对范围表明企业将在各个司法管辖区管理数据保护立法，客户将想知道正在收集哪些类型的数据以及如何使用这些数据。这也意味着企业将需要专注于自动化隐私管理系统。在未来一年，重点关注以 GDPR 为基础的安全运营标准化，随着新立法的出台，这将更容易针对各个司法管辖区进行调整。

2. 到 2024 年，采用网络安全网状架构的组织将把安全事件的财务影响平均降低 90%。

组织现在在不同的地方支持各种技术，因此他们需要灵活的安全解决方案。网络安全网格扩展到涵盖传统安全边界之外的身份，并创建组织的整体视图。它还有助于提高远程工作的安全性。这些需求将推动未来两年的采用。

3. 到 2024 年，30% 的企业将采用云交付的安全 Web 网关 (SWG)、云访问安全代理 (CASB)、零信任网络访问 (ZTNA) 和防火墙即服务 (FWaaS) 功能。小贩。 

组织倾向于优化和整合。安全领导者通常管理数十种工具，但他们计划整合到少于 10 种。SaaS 将成为首选的交付方式，整合将影响硬件的采用时间表。

4. 到 2025 年，60% 的组织将使用网络安全风险作为进行第三方交易和业务往来的主要决定因素。 

投资者，尤其是风险资本家，正在将网络安全风险作为评估机会的关键因素。越来越多的组织在商业交易中关注网络安全风险，包括并购和供应商合同。结果是通过问卷或安全评级更多地请求有关合作伙伴网络安全计划的数据。

5. 到 2025 年底，通过立法来规范勒索软件支付、罚款和谈判的民族国家的百分比将上升至 30%，而 2021 年将低于 1%。

虽然目前更广泛的法规可能适用于 勒索软件支付，但安全专家应该期待对支付进行更积极的打击。鉴于大多数不受监管的加密货币市场，支付赎金具有伦理、法律和道德影响，考虑这样做的影响至关重要。支付（或不支付）的决定应该由能够解决所有这些问题的跨职能团队来决定。

6. 到 2025 年，40% 的董事会将拥有一个由合格董事会成员监督的专门网络安全委员会。 

随着网络安全成为（并且仍然）董事会的首要考虑，期望看到董事会级别的网络安全委员会和更严格的监督和审查。这增加了整个组织网络安全风险的可见性，并需要一种新的董事会报告方法，其细节可能取决于特定董事会成员的背景和经验。将消息传递的重点放在价值、风险和成本上。

7. 到 2025 年，70% 的 CEO 将要求建立组织弹性文化，以应对来自网络犯罪、恶劣天气事件、内乱和政治动荡的同时威胁。 

现在是安全和风险领导者超越网络安全并进入组织弹性以应对更广泛的安全环境的时候了。数字化转型增加了威胁形势的复杂性，这将影响企业生产产品和服务的方式。努力定义组织弹性和目标，并创建影响它们的网络风险清单。

8. 到 2025 年，威胁行为者将成功地将作战技术环境武器化，足以造成人员伤亡。 

随着恶意软件从 IT 传播到运营技术 (OT)，它将话题从业务中断转变为人身伤害，责任很可能以 CEO 告终。专注于以资产为中心的 网络物理系统，并确保有团队来解决适当的管理问题。