隱私法案、勒索軟件攻擊、信息物理系統(tǒng)和董事會級別審查，逐漸成為安全和風(fēng)險負(fù)責(zé)人需要優(yōu)先關(guān)注的事項。

　　“如何確保我們的消費者不會受到流氓代理造成的人身傷害？”這是安全和風(fēng)險負(fù)責(zé)人在未來需要預(yù)測和規(guī)劃的問題。

　　信息物理系統(tǒng)（如自動駕駛汽車、數(shù)字孿生）的激增引發(fā)了組織的另一個安全風(fēng)險。而我們對未來幾年首先要預(yù)測的內(nèi)容之一，就是威脅行為者將如何針對這些系統(tǒng)發(fā)起攻擊。

　　“我們正在養(yǎng)成吃老本的壞習(xí)慣，妄圖一招鮮吃遍天，”Gartner主任分析師Sam Olyaei在Gartner IT Symposium/XPO? 2021的演講中說?！斑@其實難以為繼，我們需要不斷地讓思維、理念、方案和架構(gòu)都保持進步?！?/p>

　　安全與風(fēng)險管理已經(jīng)上升為企業(yè)董事會層面的議題。隨著安全漏洞的數(shù)量和復(fù)雜程度不斷攀升，為保護消費者權(quán)益，新的立法相繼出臺，企業(yè)也將安全置于商業(yè)決策的首要位置。

　　Gartner分析師預(yù)測，未來幾年將出現(xiàn)更多的權(quán)利下放、監(jiān)管措施和安全問題。您應(yīng)當(dāng)將這些戰(zhàn)略規(guī)劃設(shè)想納入未來一年的路線規(guī)劃。

　　1.到2023年底，現(xiàn)代隱私法案將涵蓋全球75%人口的個人信息

　　GDPR是第一部針對消費者隱私的重要立法，但其他法律很快效仿，包括巴西的《通用個人數(shù)據(jù)保護法》（LGPD）和《加州消費者隱私法》（CCPA）。這些法律所轄的范圍之廣，表明您將在不同的司法管轄區(qū)內(nèi)同時應(yīng)對多項數(shù)據(jù)保護法律，客戶會想知道你收集了什么樣的數(shù)據(jù)以及將如何使用這些數(shù)據(jù)。這也意味著你需要專注于自動化你的隱私管理系統(tǒng)。您應(yīng)當(dāng)以GDPR為基礎(chǔ)，實現(xiàn)安全運營的標(biāo)準(zhǔn)化，然后針對其他各個司法管轄區(qū)進行調(diào)整。

　　2.到2024年，采用網(wǎng)絡(luò)安全網(wǎng)格（cybersecurity mesh）架構(gòu)的組織，將把安全事件對財務(wù)造成的影響平均降低90%

　　時至今日，組織需要在不同的地方支持各種技術(shù)，因為他們需要靈活的安全解決方案。網(wǎng)絡(luò)安全網(wǎng)格擴展并覆蓋了傳統(tǒng)安全邊界之外的身份，并構(gòu)建了組織的整體視圖。它還有助于提高遠(yuǎn)程工作的安全性。這些需求將在未來兩年內(nèi)推動更多組織采用網(wǎng)格架構(gòu)。

　　3.到2024年，30%的企業(yè)將采用來自同一供應(yīng)商的云交付安全Web網(wǎng)關(guān)（SWG）、云訪問安全代理（CASB）、零信任網(wǎng)絡(luò)訪問（ZTNA）和防火墻即服務(wù)（FWaaS）功能

　　企業(yè)正在傾向于優(yōu)化和整合。安全負(fù)責(zé)人通常管理著數(shù)十種工具，但他們計劃將其整合至十種以下。SaaS將成為首選的交付方式，而其與硬件的整合將影響選用時限。

　　4.到2025年，60%的組織將把網(wǎng)絡(luò)安全風(fēng)險作為進行第三方交易和業(yè)務(wù)往來的主要決定因素。

　　投資者，特別是風(fēng)險投資人，正在將網(wǎng)絡(luò)安全風(fēng)險作為評估投資機會的關(guān)鍵因素。越來越多的組織在商業(yè)交易中關(guān)注網(wǎng)絡(luò)安全風(fēng)險，包括并購以及供應(yīng)商合同。其結(jié)果是通過問卷調(diào)查或安全評級來獲取合作伙伴更多的網(wǎng)絡(luò)安全計劃數(shù)據(jù)。

　　5.到2025年底，通過立法來規(guī)范勒索軟件的贖金支付、罰款和談判的民族國家比例將上升至30%，而2021年這一比例還不到1%。

　　雖然目前可能存在更廣泛的法規(guī)適用于勒索軟件贖金支付，但安全專家應(yīng)當(dāng)預(yù)測到未來將會針對贖金支付進行更嚴(yán)厲地打擊。鑒于加密貨幣市場大多不受監(jiān)管，支付贖金存在倫理、法律和道德方面的問題，因此必須將由此帶來的影響考慮在內(nèi)。支付（或不支付）的決定應(yīng)該由一個能夠解決所有這些問題的跨職能團隊來承擔(dān)。

　　6.到2025年，40%的董事會將會設(shè)立專門的網(wǎng)絡(luò)安全委員會，并由一名具備資質(zhì)的董事會成員監(jiān)督

　　隨著網(wǎng)絡(luò)安全成為（并持續(xù)作為）董事會最關(guān)注的問題，我們有望看到一個董事會級別的網(wǎng)絡(luò)安全委員會，以及更嚴(yán)格的監(jiān)督和審查。這增加了組織對網(wǎng)絡(luò)安全風(fēng)險的可見性，并需要一個新的董事會報告方式，其細(xì)節(jié)可能取決于特定董事會成員的背景和經(jīng)驗。您應(yīng)當(dāng)將信息傳遞的重點放在在價值、風(fēng)險和成本上。

　　7.到2025年，70%的首席執(zhí)行官將要求建立組織彈性文化，以應(yīng)對同時來自網(wǎng)絡(luò)犯罪、惡劣天氣事件、國內(nèi)動亂和政治動蕩的威脅

　　考慮到更廣泛的安全環(huán)境，我們需要越過網(wǎng)絡(luò)安全，走向組織彈性。數(shù)字化轉(zhuǎn)型增加了威脅環(huán)境的復(fù)雜性，這將影響您生產(chǎn)產(chǎn)品和提供服務(wù)的方式。您應(yīng)當(dāng)開始制定組織彈性和目標(biāo)，并建立一個影響它們的網(wǎng)絡(luò)風(fēng)險清單。

　　8.到2025年，威脅行為者會成功地將運營技術(shù)環(huán)境武器化，足以造成人員傷亡

　　隨著惡意軟件從IT（信息技術(shù)）領(lǐng)域擴散到OT（運營技術(shù)）領(lǐng)域，它將安全話題從業(yè)務(wù)中斷轉(zhuǎn)移到物理傷害，其責(zé)任最終可能由CEO來承擔(dān)。您應(yīng)當(dāng)關(guān)注以資產(chǎn)為中·心的信息物理系統(tǒng)，并確保有團隊來解決相應(yīng)的管理問題。