Gartner发布2019年七大安全与风险管理趋势

至顶网CIO与应用频道 03月28日 北京消息：全球领先的信息技术研究和顾问公司Gartner近日发布了将在更长时期内影响安全、隐私与风险领导者的七个安全与风险管理新兴趋势。

Gartner将“大”趋势定义为安全生态系统中尚未得到广泛认可、但有望产生广泛的行业影响并有可能带来重大颠覆的持续战略性转变。

Gartner研究副总裁Peter Firstbrook表示：“外部因素与安全领域特定威胁正在共同影响着整体安全与风险态势，因此该领域的领导者必须做好提高弹性并支持业务目标的充分准备。”

2019年及之后的七大安全与风险管理趋势是：

趋势一：风险偏好声明（Risk Appetite Statements）正在与业务成果挂钩

随着IT战略与业务目标更加紧密地结合在一起，安全与风险管理（SRM）领导者向主要业务决策者有效提出安全事务的能力变得愈发重要。Firstbrook先生表示：“为了避免只关注与IT决策相关的问题，请创建可以与业务目标以及董事会级别决策相关联的简单、实际且实用的风险偏好声明。业务领导者必须明白为何安全领导者要平等地参加战略性会议。”

趋势二：正在重点围绕威胁检测与响应而部署安全运营中心

随着安全警报的复杂性与频率不断增加，安全投资在从威胁防御向威胁检测的转变过程中，需要对安全运营中心（SOC）进行投资。根据Gartner提供的信息，到2022年，50%的安全运营中心将转变为具备综合事件响应、威胁情报和威胁搜索能力的现代化安全运营中心，而在2015年这一比例还不到10%。Firstbrook先生表示：“安全与风险管理领导者需要建立或外包能够集成威胁情报、整合安全警报并自动响应的安全运营中心，这一需求怎么强调都不过分。”

趋势三：数据安全治理框架应该优先考虑数据安全投资

数据安全是一个复杂的问题，如果没有对数据本身、数据的创建与使用环境及其受监管程度的深入理解，就无法解决该问题。一些领先的企业机构正在开始通过数据安全治理框架（DSGF）解决数据安全问题，而非获取数据保护产品并尝试对其进行修改以满足业务需求。Firstbrook先生表示：“数据安全治理框架提供了一个以数据为中心的蓝图，用于识别与归类数据资产并定义数据安全策略。随后，这用于选择相关技术，借以将风险降至最低限度。解决数据安全问题的关键，在于从其所解决的业务风险入手，而不是像多数公司那样首先考虑获取技术。”

趋势四：无密码认证正在引领市场

无密码身份验证（例如智能手机上的Touch ID）开始真正引领市场。由于供需充足，该技术正在被越来越多地部署到针对消费者与员工的企业应用之中。Firstbrook先生表示：“为了打击以密码为目标来访问云端应用的黑客，将用户与其设备关联起来的无密码方法提供了更高的安全性和可用性，这是一种难得的安全双赢。”

趋势五：安全产品厂商正在逐渐提供高级技能与培训服务

Gartner的研究显示，网络安全岗位空缺将从2018年的100万增至2020年底的150万。虽然人工智能和自动化的进步确实减少了人类分析标准安全警报的需求，但敏感、复杂的警报仍然需要人的参与。Firstbrook先生表示：“我们开始看到一些厂商在提供融合产品与运维服务的解决方案以加速产品采用。从全面管理到部分支持等一系列服务均旨在提高管理员的技能水平，并减少日常工作量。”

趋势六：投资云安全能力并将其作为主流计算平台

由于可能无法获得人才且企业机构完全未为此做好准备，向云端迁移意味着安全团队的力量有所减弱。Gartner估计，到2023年，大部分云安全故障都将是由客户的过错而引发的。Firstbrook先生表示：“对于许多企业机构而言，公有云是一种安全可行的选择，但保证安全性是双方共同的责任。各企业机构必须投资于用来构建知识库的安全技能与治理工具，以跟上云开发与创新的快速步伐。”

趋势七：Gartner的持续自适应风险与信任评估将更多地出现于传统安全市场

Gartner的持续自适应风险与信任评估（CARTA）是一种处理数字商业信任评估模糊性的策略。Firstbrook先生表示：“尽管是一个多年过程，但CARTA背后的构思是一种应对安全的战略性方法，其平衡了安全摩擦与交易风险。持续自适应风险与信任评估的一个关键组成部分，是即使在访问得到展期之后也要持续评估风险与信任。随着解决方案日益关注检测异常行为——即使用户与设备通过了认证，电子邮件与网络安全成为迈向持续自适应风险与信任评估方法的两个安全领域示例。”

Gartner客户可阅读《安全与风险管理大趋势》（Top Security & Risk Management Trends），了解更多相关内容。此外，读者可以访问Gartner数字风险与安全中心（Gartner Digital Risk & Security hub），免费查阅相关研究与网络研讨会。