Gartner发布2025年网络安全主要趋势：实现转型和嵌入弹性两大主题下的9个趋势

持续不断的技术和业务中断考验着安全计划和团队绩效的极限。安全和风险管理领导者必须实现业务价值，并加倍努力增强组织、个人和团队的韧性，以证明安全计划在 2025 年的有效性。

机会

面对不断变化的技术以及企业希望利用这些技术获得战略利益的愿望，提供业务价值一直是安全和风险管理 (SRM) 领导者面临的挑战。与数据和业务领导者合作并扩展企业 IAM 策略有助于确保企业数据和系统为 AI 做好准备。同时，协作可以促进更独立、更有效的网络安全风险决策，从而实现安全的业务转型。
支持业务对稳定运营连续性的需求并吸收不断变化的威胁形势带来的压力是 SRM 领导者的常态。这些挑战为采用更主动、更全面的方法提供了机会，将弹性嵌入技术和人力驱动的能力中。
基层举措侧重于增强安全行为和文化、管理与生成式人工智能 (GenAI) 相关的第三方风险以及改善企业对网络安全的认知，这为 SRM 领导者提供了独特的机会。通过与 IT 和业务领导者合作解决这些问题，SRM 领导者可以从推动安全业务转型和在组织内嵌入弹性中获得双重好处。

建议

作为寻求优化组织网络安全计划和投资的 SRM 领导者应该：

通过正式化网络安全风险问责制、培养网络判断能力、重振数据安全管理计划以及扩展企业 IAM 策略以涵盖机器身份，为安全、支持人工智能的业务转型构建可信基础。
通过参与规划和定期审查技术和人力驱动能力来增强韧性。这包括优化技术投资和使用、将人工智能集成到现有工作流程中，以及监控和应对安全团队内部倦怠迹象。
通过制定明确、可操作的第三方风险政策并促进与 IT 和业务部门的有针对性的协作，加强安全业务转型的基础。这种方法将加强安全决策，并增强人们的认识，即强大的网络安全文化以弹性、敏捷性和可防御性为基础。

战略规划假设

到 2027 年，投资网络安全特定个人复原力规划的CISO将比未投资的同行减少 50% 的倦怠相关人员流失。
到 2026 年，将 GenAI 与安全行为和文化计划中的基于集成平台的架构相结合的企业所遭遇的员工驱动网络安全事件将减少 40%。

需要知道什么

毫不奇怪，GenAI 以及更广泛的 AI已成为2024 年 SRM 领导者核心关注领域的共同要素。Gartner 预计，它将在 2025 年继续以多种方式影响他们的战略目标：

提高对网络团队交付成果的效率和一致性的期望，并使非安全领导者更容易理解
触发现有安全流程的变更以确保相关性，建议有效的变更并实现业务敏捷性
扩大现有企业安全计划的范围，从而加强利用人工智能用例的基础
加大本已紧张的资源压力

面对不断变化的威胁形势、不断扩大的人才缺口和不断加强的监管监督等持久挑战，SRM 领导者主要将精力集中在两个领域：

实现转型
嵌入弹性

实现转型

企业领导者正在利用最新的人工智能创新和其他渐进且越来越容易获得的组织边缘技术来推动战略价值，这导致网络安全决策权和责任的相应分散。

领先的 SRM 领导者通过实施协作风险管理实践主动适应这些转变。这增加了将网络风险的业务所有权编入法典的机会，并在整个企业中灌输更好的网络判断。这有助于提高业务技术自主性和敏捷性，而不会引入不可接受的网络安全风险水平。

能够随时访问健康、安全的数据是AI计划的关键先决条件。SRM 领导者正在与数据和分析以及隐私同事合作，以确保在经批准的 GenAI 用例中拟使用的任何结构化和非结构化数据都符合 AI 要求且安全。

具有前瞻性的 SRM 领导者还认识到，随着 GenAI 功能在组织内部站稳脚跟，云服务和自动化试点也相应增加。作为回应，他们扩大了正在进行的加强身份和访问管理策略的范围，将机器身份纳入其中。

嵌入弹性

2024 年，SRM 领导者专注于优化其安全计划，以实现组织和网络弹性。这项工作将持续到 2025 年。

我们越来越多地认识到，"零容忍失败"的思维方式在实现可持续风险降低方面已达到顶峰，并且只会增加安全团队倦怠的风险。SRM领导者正致力于将弹性嵌入企业文化的词汇中，探索网络威慑作为差异化因素和网络存储功能，以实现转型并提高弹性。

有超过 3,000 家网络安全供应商可供选择。因此，SRM 领导者发现，管理试图增强其应对新技术和新风险的能力与同时降低运营开销和复杂性之间的内在矛盾更具挑战性。将可用资源与内部技术能力相结合的 SRM 领导者可以在平台采用与网络安全网格架构追求之间取得平衡，以确定正确的工具和供应商组合，以实现其期望的结果。

不断变化的威胁和技术格局、不断增长的业务需求和监管要求，再加上普遍存在的人才短缺，正在形成一场完美风暴。因此，安全行业正在经历一场心理健康危机， SRM 领导者及其团队的倦怠程度不断增加。有效的 SRM 领导者承认并应对这一问题，将其作为他们的最高优先事项之一，以确保他们提供弹性和可持续的网络安全计划。

双重关注实现双重成果

今年的几种趋势为 SRM 领导者提供了实现转型和进一步增强网络弹性的机会。

SRM 领导者正在从 AI 转型试点中学习，并根据在 AI 集成方面采取更具战术性的方法所取得的初步成功来改进其流程。这种缩减的方法还可以降低安全计划结果的风险，并通过专注于并提供更多增量安全优势而不是短视地追求炒作驱动的巨大变化来保持该职能的可信度。

从 2024 年开始，继续关注第三方网络安全风险管理以及日趋成熟的安全行为和文化计划 (SBCP) 将在两个方面带来价值。首先，它们可以保护组织免受内部和外部发生的网络安全事件的影响。其次，它们为日益自主的业务领域提供指导和护栏，这些业务领域承担越来越多的技术工作，从而扩大了组织的数字生态系统和相关的攻击面。图 1 描绘了 2025 年网络安全的顶级趋势。

图 1：2025 年网络安全的主要趋势

表1 ：2025 年网络安全的主要趋势

|--------------------------------------------------------------------------------------------------------------------------------|------------------------------------------------------------------------------------------------------------------------------|
| 实现转型 | 嵌入弹性 |
| GenAI 推动数据安全计划 | 向网络弹性过渡 |
| 协作网络风险管理 | 网络安全技术优化 |
| 管理机器身份 | CISO 和安全团队的福祉 |
| 战术人工智能 ||
| 扩展安全行为和文化计划的价值 ||
| 管理第三方网络安全风险 ||

来源：Gartner

实现转型

GenAI 推动数据安全计划

描述：

GenAI的兴起正在改变数据安全计划，特别是在三个方面：

GenAI 训练中偏好合成数据而非混淆数据

与传统的匿名化方法相比，合成数据越来越受到AI 模型训练的青睐。Gartner 观察到，需要隐藏敏感信息的成熟终端客户经常使用生成垂直特定或定制合成数据的产品。合成数据通过生成人工训练数据而不是依赖现实世界的观察，确保隐私保护并解决采用 GenAI 技术时数据不足的挑战。此过程涉及不同的模型，其中合成数据 AI 经过一次训练，可以为各种用例、边缘情况或罕见场景多次生成合成数据。真实数据很少用于重新检查模型对齐并监控模型漂移，这使得合成数据在医疗保健和金融等领域具有无价的价值。此外，生成合成数据的 AI 受到监督，以防止强化偏见或错误，或故意引入偏见和错误以协助实现欺诈预防等功能。

从结构化数据安全转向非结构化数据安全

这种转变是必要的，因为在 GenAI 时代，非结构化数据变得越来越普遍，价值也越来越高。以前，数据安全技术专注于数据库等结构化数据。然而，随着 GenAI 让最终客户越来越意识到非结构化数据的价值，GenAI 处理非结构化数据（文本、图像、视频）的能力已经转移了注意力。

越来越需要评估 GenAI 的数据安全态势

GenAI 能够对组织的数据进行训练，这会带来数据在不知情的情况下被访问或与供应商或云服务提供商共享的风险。这种训练还会通过提示产生内部访问风险。这就需要数据安全态势管理 ( DSPM) 解决方案，这些解决方案可以发现、评估和监控 GenAI 对数据的访问，还可以检测连接在组织基础设施外部的数据管道。DSPM 供应商正在迅速增强其工具，以支持组织安全地使用第三方GenAI服务并通过自定义 GenAI 架构安全地访问数据。

为何流行：

随着组织努力确定AI可以在何处创造最大价值，通过第三方服务、作为现有业务应用程序的一部分或通过定制的 GenAI 架构利用 GenAI的需求不断增长。然而，对数据准确性、隐私和/或合规性的担忧是阻碍 GenAI 采用的主要障碍。

高级业务领导已经开始认识到数据安全给 IT 领导带来的机遇和越来越大的压力。他们敦促 IT 领导调查 GenAI 数据安全要求，并将其纳入安全计划。这涉及分配预算来实施 DSPM 经常提供的成熟控制和可访问的早期创新组合。

含义：

在各种用例中，合成数据可以实现创新，而无需使用生产数据或屏蔽/去识别生产数据所需的去识别、风险管理或审批流程所带来的延迟。这种方法不仅可以加速开发，还可以降低成本、隐私风险和数据偏见。

其他技术（例如 DSPM）已从不成熟的小众产品转变为成熟的商业数据安全解决方案。它们现在用于管理、编目和监控用于 GenAI 的数据。DSPM的采用率正在不断提高，各个行业都已观察到安全使用 GenAI 的实施。

最后，注意力和专项预算从结构化数据安全转移到非结构化数据安全最终使组织能够利用以前未得到充分保护的各种类型的数据。

措施：

评估并投资合成数据生成工具，以取代传统的匿名化方法。这将有助于降低隐私风险并促进合规性，尤其是在医疗保健和金融等受到严格监管的行业。
利用技术（例如 DSPM）对结构化和非结构化数据进行分类、监控和管理。确保这些工具能够支持 GenAI 用例并能与现有安全框架有效集成。
重新分配资源和预算以支持结构化和非结构化数据安全。投资保护文本、图像、视频和其他形式的非结构化数据的技术和实践，这些数据在 GenAI 应用中越来越有价值。

协作网络风险管理助力数字化转型

描述：

随着技术投资决策越来越多地由业务线的业务技术人员独立做出，传统的集中式网络风险管理流程无法扩展、引入摩擦并抑制敏捷性。企业采用 GenAI 等变革性技术导致网络风险环境迅速演变。

从历史上看，风险决策集中化意味着所有决策都必须经过一个决策机构。现在，网络风险管理需要一种可扩展的方法，由知情的业务技术人员做出风险决策。这种方法强调灵活监督的集中化，同时通过协作和敏捷的网络风险管理流程支持本地决策。

为何流行：

Gartner 调查的 57% 受访者表示，他们让资源所有者直接对与其资源相关的网络风险负责。然而，在其他有些违反直觉的反馈中，大多数人声称正在集中进行网络风险决策。55% 的受访者表示，他们正在将网络风险决策集中在企业安全指导委员会中，以促进企业对网络安全风险的所有权，这解释了这种明显的矛盾。

许多 CISO 之所以"以集中化去分散化"风险管理，是因为无论风险所有者享有的自主权有多大，网络风险决策都不能孤立地做出。资源所有者（即风险所有者）应该能够自主做出网络风险决策，但在做出决策时，他们必须考虑其网络风险决策所固有的对企业的更广泛风险（例如声誉和财务风险）。

含义：

CISO 必须重新评估并调整他们的组织和网络风险管理流程以应对这一新现实。
网络判断虽然是答案的一部分，但并不是解决这一困境的办法。尽管网络风险决策可以在"边缘"自主做出，但它们永远不可能孤立地做出。每一项自主的网络风险决策都必须至少考虑到企业的声誉和财务风险。
风险决策的更广泛影响需要一定程度的集中验证，以及共同的风险接受、升级程序和冲突解决论坛。

措施：

将网络安全风险所有者责任的概念正规化并普及化。在企业安全章程中记录所有者责任原则，该章程必须由首席执行官和董事会签署并明确支持。企业安全章程必须明确指出，保护企业信息资源（以及其业务流程和成果）的最终责任在于信息资源的业务所有者。
实施网络判断，即整个组织的决策者和风险所有者独立做出明智网络风险决策的能力。这是协作风险管理分散要素的关键要素。
创建集中验证和冲突解决流程，这将有助于组织确保业务技术人员做出的网络风险决策是一致的、明智的且与公司的更广泛目标保持一致。

应对机器身份崛起的企业范围 IAM 策略

描述：

管理机器（设备和工作负载）的（非人类）身份和访问权限的重要性日益增加。云服务、自动化和 DevOps 实践的兴起以及人工智能的出现以及其他组织趋势导致大量使用机器帐户和凭据来处理物理设备和软件工作负载。但机器帐户和凭据通常由组织内的不同团队创建和使用。因此，它们通常不受控制和不受管理，使其成为网络对手未经授权访问 IT 系统的诱人目标。随着管理机器身份和访问权限的重要性不断增加，SRM 领导者面临着压力，需要制定一项战略，在整个企业内实施强大的机器身份和访问管理，以防止此类攻击。

为何流行：

Gartner 的 2024 年 IAM 领导力调查发现，54% 的组织发现身份相关泄露事件数量有所增加，三分之一的组织因此类事件而遭遇业务中断、财务损失或监管处罚增加。多达 85% 的身份相关泄露事件可归因于被黑客入侵的机器身份，例如服务和自动化帐户。

网络安全越来越注重身份管理，尤其是机器身份管理，这并不奇怪。近四分之三的组织表示，"有效管理和保护身份"是网络安全三大优先事项之一（2024 年为 61%；IDSA 2024 ），Venafi 于 2023 年进行的一项研究发现，近九成安全和 IT 领导者认为处理机器身份对于成功实施零信任模型至关重要。

但是，如果没有整个企业的协调努力，SRM 领导者（包括 IAM 领导者）就无法处理机器身份。Gartner 发现，IAM 团队仅负责组织44% 的机器身份。因此，管理所有机器身份需要多方面团队的共同努力和协调。

含义：

集中式/分散式 IAM执行：近一半的组织在核心 IAM 团队之外管理机器身份。但62% 的组织中，核心 IAM 团队本身也变得越来越分散，这就需要在核心和附属 IAM 功能之间划分职责，以规划/赞助和执行机器身份管理。这种集中指导和分散执行的概念与本研究讨论的协作网络风险管理实现数字化转型趋势相一致。
政策和责任：组织必须建立对机器身份的治理，包括明确的政策并确保所有执行 IAM 功能的团队的合规性，并明确职责和责任。
增强安全态势：有效的 IAM 管理（包括人类和机器身份）对于确保未来安全并缓解复杂的网络威胁至关重要。SRM领导者需要组建机器身份工作组并与所有利益相关者合作，以确保机器身份成为组织整体网络安全战略的一部分。
有效的机器身份策略：组织应制定一个中心策略，以减少或消除工作负载自己处理机密（机器凭证）的需要。相反，应努力制定一个策略，即由一个独特的信任基础设施来保护工作负载之间的交互，而无需工作负载处理机密。这将缩小需要管理的攻击面，因为工作负载机密非常敏感，有被发现和窃取的风险。

措施：

确保机器帐户和凭据在权限、分类、管理和监控方面得到适当界定，并防止在短期内意外泄露。制定策略以防止凭据暴露给工作负载，并考虑使用基础设施管理的服务帐户来最大限度地减少凭据暴露。
制定全面的 IAM 政策，概述核心 IAM 以及其他安全和业务团队的责任和义务，并共同承担机器 IAM 责任。这些政策应朝着上述战略的方向发展。
在核心 IAM 团队和负责机器身份的其他团队之间建立定期的沟通渠道、联合培训课程和定期签到，以确保一致性和知识共享。

嵌入弹性

向网络弹性过渡

描述：

SRM 领导者正在将网络安全从预防思维模式转向弹性思维模式。网络弹性思维模式是"何时发生，而不是是否发生"，力求将网络事件对企业的影响降至最低，并提高适应性，而不是陷入完全预防的错误观念。

为何流行：

董事会成员和C级领导现在普遍认为网络风险是需要管理的核心业务风险，而不是需要解决的技术问题。在 2024 年 Gartner 董事会调查中，84% 的董事会成员将网络风险视为业务风险，而 2016 年这一比例仅为一半多一点。这种观点的转变导致 CISO 与董事会成员和C级领导之间的互动更加频繁和密切。

事实上，82% 的CISO每年向董事会报告两次或两次以上，近 60% 的 CISO 每季度或更长时间向董事会报告一次。75% 的 CISO 还每季度或更长时间向高管层报告一次。此外，SEC 的网络安全报告和披露规则提高了网络安全对公众的透明度，并强化了业务对网络事件的重要性概念。因此，SRM 领导者面临着将网络安全转向弹性重点并将这些努力传达给非技术利益相关者的压力。

含义：

SRM领导者在向网络弹性过渡时必须为以下影响做好准备：

SRM 领导者的职责范围正在扩大。网络弹性需要跨相邻风险领域的协调。这包括业务连续性管理、灾难恢复（包括数据备份）、网络物理系统（运营技术 [OT ] 、物联网 [IoT]、工业物联网 [IIoT]）安全、采购、隐私、数据治理和 AI 采用。在许多情况下，SRM 领导者的任务是领导和管理这些风险领域。
SRM 领导者必须做好承担个人责任的准备。网络事件（例如运营中断、数据泄露或支付赎金）对业务的重大影响以及新法律法规可能会使 SRM 领导者面临个人民事和刑事责任风险。尽管此类责任风险可能因司法管辖区而异，但所有 SRM 领导者都应密切关注监管环境，并为未来责任风险的变化做好准备。
**网络弹性远远超出了技术控制的范围。**追求弹性扩大了 SRM 领导者必须考虑的风险缓解措施。例如，第三方风险管理扩展到供应链冗余，CPS 安全扩展到物理和生命安全风险，网络威慑利用攻击者的动机和人类的决策，而 GenAI 威胁利用更具说服力的社会工程手段利用人类行为。

措施：

在网络安全团队和高层领导中推动一种新的韧性文化。摆脱基于对失败零容忍心态的"英雄文化"。由于事件无法完全预防，网络安全的成功应以持续实现业务成果来衡量，而不是网络事件预防。
采用网络威慑措施应对预期攻击。将网络安全扩展到被动控制之外，并采用利用攻击者动机的策略，阻止攻击者针对您的组织。网络威慑探索了管理网络风险和提高弹性的新方法，超越了对当前和已实现威胁做出反应的传统投资。
构建网络存储能力。确定负责存储和备份系统的 I&O 领导者，并与他们合作评估网络存储能力，以积极保护存储系统和数据免受网络攻击。SRM领导者甚至可以完全拥有或共同拥有网络存储，作为面对勒索软件的整体弹性策略的一部分。

网络安全技术优化

描述：

SRM 领导者对网络安全技术提供商的选择不断扩大，而矛盾的是，大型网络安全供应商正在激励客户整合到更广泛的平台产品中。当大型供应商平台越来越多地与单点解决方案重叠和竞争时，这给希望通过平台降低复杂性和开销的 SRM 领导者带来了压力。扩展平台通过更广泛的产品功能应对更多威胁，但可能会迫使搁置软件对话并要求单点解决方案填补平台未解决的空白。

SRM 领导者依靠优化其技术堆栈来减少低效率。那些倾向于整合以获得财务和优化利益的人面临着无法满足网络安全要求的风险。整合必须平衡。组织在整合道路上走得越远，收益就越少。组织正在寻求在商品能力整合和购买单独的差异化产品以满足利基需求之间取得适当的平衡。

为何流行：

在当今的网络安全行业中，SRM 领导者面临着选择悖论。他们需要掌握技巧，知道何时尝试与初创公司和小型供应商合作以应对独特的挑战，以及何时通过大型供应商实现规模经济超过供应商锁定风险。据估计，网络安全领域有 3,000 多家供应商，收入超过2000亿美元。一些大型供应商报告其战略平台有所增长。这种复杂性通常会导致网络安全事件，因为许多事件是单一矢量控制故障的结果，而不是复杂技术的混合。

平均而言，每个组织的网络安全产品组合中有 43 种工具，5 % 的组织拥有超过100 种工具。69 % 的受访组织表示，从 2022 年到2023 年，网络安全工具的数量将有所增加。

从长远来看，优化工具的组织必须更新其弹性策略和应对运营风险的计划。根据 Gartner 的事件后调查，2024 年 7 月的 CrowdStrike 事件凸显了在中断后需要长期更新弹性策略和响应计划。美国网络安全审查委员会 (CSRB) 的 Microsoft 事件报告显示，如果供应商受到攻击，过度依赖单一供应商会增加对大量组织的影响。

随着扩展检测和响应 ( XDR) 和安全访问服务边缘( SASE) 等更加整合的网络安全平台在全球范围内推出，运营弹性越来越成为 Gartner 客户关注的重点。

含义：

SRM 领导者正将重点转向工具优化而非供应商整合。向工具优化转变使组织能够找到平台和单点解决方案的正确组合，并在降低复杂性和提供部署工具的灵活性之间取得平衡，以满足网络安全目标。

开放网络安全架构框架 (OCSF)、安全供应商的数据结构以及网络安全供应商产品 API 的可访问性等标准的出现，为建立框架以整合某些领域并根据需要集成单点解决方案创造了机会。建立网络安全网格架构优先考虑集成灵活性，而不是专有平台，以便那些能够利用它的人。

整合的另一个风险是将捆绑误认为平台。使用捆绑产品会增加增加技术债务的风险。在许多情况下，购买捆绑安全产品时无法避免搁置软件。

措施：

以网络安全网格架构为指导，优化平台和点解决方案组合，降低供应商锁定和过度整合的风险。评估初创供应商以解决平台中特有的威胁或功效问题，并与采购和 IT 合作伙伴协调技术收购策略。
专注于增强系统间数据可移植性的架构，并投资于运营效率，以从现有工具中获得更好的结果。
评估您的组织在点安全解决方案之间建立和维护集成的能力，当预集成的组件可以减轻员工负担时，最好更多地整合工具。
全面实施核心安全控制和安全配置，以防止最常见的威胁。使用威胁建模来确定何时需要高级功能、单点解决方案和附加控制。

解决网络安全倦怠问题，确保网络安全计划有效

SPA公共服务管理局：

到 2027 年，投资网络安全特定个人复原力规划的 CISO 将比未投资的同行减少 50% 的倦怠相关人员流失。

描述：

对于已经受到系统性技能短缺影响的行业来说，SRM 领导者和安全团队倦怠是一个主要问题。有远见的 SRM 领导者越来越多地谈论心理健康和身体健康的重要性。最有效的SRM领导者不仅优先考虑自己的压力管理；他们还在投资全团队的健康计划，这明显提高了个人的适应力。Gartner与 CISO 的对话表明，他们还在深化与人力资源部门的合作，以优化团队工作量管理，例如通过监控过度工作、在主动事件响应和支持角色之间轮换员工，以及鼓励员工在压力期后休 PTO。

为何流行：

有明显迹象表明，网络安全社区正在经历一场心理健康危机。Gartner 同行社区调查显示，62% 的网络安全领导者表示他们经历过倦怠。另一项研究报告称，"90% 的 CISO 担心压力、疲劳或倦怠会影响其团队的健康。"

这种普遍的压力源于在不断变化的威胁、监管和商业环境中，以有限的权力、行政支持和资源来保护高度复杂的组织所带来的持续需求。

有证据表明，不受控制的压力会对企业安全态势和计划可持续性产生不利影响：

" 65% 的 CISO 表示，由于工作量和压力，他们保护组织的能力受到了损害。"
83% 的 IT 安全专业人士承认，他们或其部门中的某个人"因倦怠而犯下错误，从而导致了安全漏洞" 。
46% 的受访者表示，压力大是 2024 年网络安全专业人员离职的原因。

挑战：

其他高管领导可能没有意识到网络安全相关的倦怠问题。因此，他们可能不愿意投入资源来解决网络安全技能短缺或缺乏网络安全业务支持的根本原因。
缺乏针对网络安全的复原力培训可能会让网络安全领导者和团队望而却步，因为他们认为一般的身体健康和心理健康服务不足以解决网络安全工作中特有的压力。专注于网络的非营利组织（如Cybermindz和Mind Over Cyber）正在兴起，致力于支持网络安全专业人员的心理健康，Gartner 预计营利性供应商也会效仿。

机会：

Gartner 的 2024 年CISO 效能诊断基准数据分析表明，提高三项压力或健康特定活动的能力可使领导效能提高多达 25%：

明确区分工作和非工作
将工作压力视为可直接控制的因素
有效管理工作压力

积极预防和补救倦怠的网络安全领导者有机会：

提高团队和项目的效率
提高劳动力弹性
更好地平衡人员、流程优化和技术之间的投资

措施：

承认并宣传网络安全倦怠的现实及其对组织的潜在影响。确保高管了解倦怠与网络安全风险增加之间的联系。保持警惕，持续监测个人和团队倦怠的信号，例如日益增加的愤世嫉俗情绪和/或对工作失去兴趣。当这些迹象出现时，准备采取行动并吸引人力资源部门的关注。
评估当前和可预见的工作量。确定哪些工作可以委派、共享和/或降低优先级。这对于小团队尤其重要。在团队中分配各种有意义的工作和行政工作有助于均匀分配工作量和相关压力，并为新兴领导者提供技能发展机会。随着时间的推移，通过投资协作风险管理和推动员工的网络判断，在整个组织中扩大网络安全规模。
建立安全团队健康计划。为确保个人和团队的有效性以及计划的可持续性，SRM 领导者应通过以下方式实施一项持续的计划，以促进和保障团队的心理健康：

o 与人力资源部门合作进行劳动力管理和流程改进

o 优先考虑人际关系而非数字联系

o 进行冥想和正念课程

o 在可行的情况下将健康活动直接融入员工的工作实践中，让员工轻松获得所需的支持

o 推广使用组织现有的健康计划

双重关注带来双重成果

战术人工智能

描述：

SRM 领导者在实施最新 AI 功能和产品时面临着好坏参半的结果。由于 GenAI 炒作导致的期望过高，SRM 领导者最初感到失望，这促使他们重新调整计划的优先顺序，并将重点放在具有直接可衡量影响的较窄用例上。这些更具战术性的 AI 实施将 AI 实践和工具与现有指标相结合，使其融入现有计划，并提高 AI 投资实际价值的可见性。它们还为 SRM 领导者提供了一种可持续的方法来为 Gartner 预计在 2025 年达到顶峰的 AI 代理大规模炒作做准备。

在更新 12 个月和 3 年战略时，SRM 领导者已经走出了 2023 年的迷恋状态，进行了首次 GenAI 试点，并收集了团队和主要利益相关者的反馈。SRM 领导者有明确的职责：

确保第三方 AI 消费安全
保护企业 AI 应用程序
利用人工智能提高网络安全

通过关注更具战术性、明显有益的改进，SRM 领导者可以最大限度地降低其网络安全计划的风险，并更轻松地展示进展。

为何流行：

SRM 领导者及其团队正在积极评估、试行或实施 GenAI。根据 Gartner 最近对数据安全和 GenAI 的调查，不到10% 的安全领导者表示他们没有计划在网络安全用例中采用 GenAI。

SRM 领导者感到有必要至少尝试一下最新的 AI 技术，但他们也希望进行更长远的思考。Gartner 听到 SRM 领导者就 GenAI 提出的最常见问题是"如何将其集成到我现有的网络安全计划中？"

快速、彻底的采用，正如供应商的激进主张所表明的那样，是诱人的，但却是不明智的，原因如下：

近期发布的大多数 AI 公告均基于 GenAI，而 GenAI 尚不成熟且处于不断发展阶段。大多数颠覆性用例仍处于试验阶段。
更大规模的实施需要提升安全团队的技能，并且可能会面临变革阻力。
由于缺乏基于足够长期的试点和大规模部署的可靠基准，因此每个人都只是早期采用者。

当被问及 GenAI 在网络安全领域的成果时，只有 12% 的 CISO 回答说他们已经取得了可衡量的成果 [TA2] 。

尽管一些组织可能会报告转型结果，但大多数安全团队在被问及最近成功的 AI 进展时都会提到具体任务。常见示例包括文档或报告生成或将人类问题转化为工具查询。但是，随着经验的积累，SRM 领导者也报告了频繁的不准确之处。普遍的看法是，较新的 GenAI 工具需要人工监督和审查输出。

在保护 AI 计划和第三方 AI 应用程序使用方面，大多数安全团队缺乏足够的 AI 知识或成熟的实践和技术来影响 AI 甚至 AI 控制的安全设计或实施。在可预见的未来，安全团队必须专注于他们熟悉的战术但重要的行动：AI 发现和清点（包括第三方使用）、基础设施安全和运行时监控。

含义：

SRM 领导者战略中战术性和渐进性的人工智能添加有助于平衡他们的路线图和更好地管理期望，同时让团队更好地评估未来的技术改进浪潮，而人工智能代理将是下一个。
SRM 领导者需要保持开放的心态，勇于尝试，在更具战术性的实施和更具战略意义的宏伟目标的概念验证之间取得平衡。
更具策略性的方法还可以帮助 SRM 领导者关注技术现实而不是强行将策略强加于动态技术上，从而确保 AI 应用的安全。

措施：

将网络安全 AI 的使用重点放在与现有工作流程集成的技术上，而不是旨在取代这些工作流程。用现有的网络安全指标来衡量结果，而不是临时的新指标。确保与关键 IT、人力资源、法律和业务领导者进行广泛合作，以实施更长期的数据安全、治理和 AI 审批工作流程。尽可能利用现有的治理结构和政策。
首先将 AI 应用视为普通应用，从发现和运行时强制执行开始。然后将现有的应用安全最佳实践应用于 AI 应用，例如 API 安全、凭证保护以及将基础设施安全和安全操作扩展到 AI 应用。
通过逐步集成 AI 信任、风险和安全管理 (AI TRiSM) 组件来扩展您的 AI 安全计划。

扩展安全行为和文化计划的价值

SPA公共服务管理局：

到 2026 年，将 GenAI 与安全行为和文化计划中的基于集成平台的架构相结合的企业所遭遇的员工驱动网络安全事件将减少 40%。

描述：

对于大多数组织来说，安全行为和文化计划( SBCP ) 已经到达了转折点。有效的 SRM 领导者认识到这些计划对改善其网络安全计划态势的价值。因此，以文化和行为为中心的活动已成为解决人类层面的网络风险理解和所有权的主要方法，反映了将安全嵌入组织文化的战略转变。

为何流行：

这一趋势正在逐渐受到关注，因为人们越来越认识到，人类行为（无论好坏）都是网络安全的重要组成部分。根据 2024 年 Verizon 数据泄露调查报告，68% 的网络安全漏洞主要是由人为行为引起的。这一统计数据强调了在组织内培养安全意识文化的重要性。通过投资 SBCP，SRM 领导者旨在利用行为心理学、助推理论和用户体验等非常规策略来提高他们影响整个组织变革的能力。

推动这一变化的最大因素之一是 GenAI。GenAI 还使整个组织的员工更容易从事技术工作。这把双刃剑可以通过实现内容的超个性化来增强 SBCP，但同时也引入了新的威胁载体，以实现运营网络安全风险。

此外，一些组织开始超越传统的安全意识计划，将现有实践整合到不断发展和正式化的 SBCP 中。这些组织正在引领潮流，现在人们正在问：除了网络钓鱼之外，下一步是什么？这些计划正在扩展，以涵盖更广泛的安全行为，例如安全编码实践、系统配置错误和未经授权的软件安装。这种演变是由这样的认识推动的：全面的安全行为方法可以解决更广泛的威胁和漏洞。

日益严格的监管环境也对这一趋势产生了重大影响。《通用数据保护条例》（GDPR）、《数字运营弹性法案》（DORA）、《网络和信息安全指令 2》（NIS2）等全球法规都要求采取严格的数据和隐私保护措施，包括员工培训和意识计划。组织认识到，投资SBCP不仅有助于他们遵守这些法规，还可以建立一种能够适应未来监管变化的弹性安全文化。

含义：

增强安全态势：通过将增强的安全意识融入组织的文化结构中，员工将变得更加警惕，并积极地识别和减轻潜在威胁。
减少事件响应时间：接受过网络安全最佳实践教育的员工可以更快地识别和报告事件，从而减少响应和有效遏制违规行为的时间。

挑战：

缺乏时间和人员：为这些项目分配足够的预算和资源可能具有挑战性，尤其是对于较小的组织而言。您不能简单地购买一种工具来保护人员并推动文化变革。
衡量有效性：量化文化和行为计划对安全结果的影响可能很困难。只有通过成熟的事件管理流程才能有效衡量真正的影响，这可以帮助您识别源自员工行为的数据驱动事件模式。

机会：

跨职能协作：这些计划可以促进 IT、营销、通信和其他职能之间的协作，从而形成更具凝聚力的安全策略。
员工参与度：精心设计的计划可以提高员工的整体参与度和满意度，因为员工会感觉自己更多地参与了组织的安全工作。这让他们可以更自主地决定如何根据自己的具体情况设计所需的控制措施，进而有助于减少控制摩擦并提高控制采用率。

措施：

制定与组织战略计划相交叉的 SBCP 战略计划，并向高管层展示为何需要 SBCP。确保 SBCP 结果驱动指标 (ODM) 嵌入高管网络安全和董事会报告中。
通过定期审查过去网络安全事件的可防御样本，将 SBCP 工作重点放在最具风险的员工行为上，以确定与不安全的员工行为相关的网络安全事件的数量和类型。
完善 SBCP 政策声明，为整个组织的员工制定明确的期望。

更加重视响应和恢复，解决 GenAI 第三方风险

描述：

对使用 GenAI 工具和功能的第三方的依赖性增加，这强调了加强组织响应和恢复方法的重要性。进步的 SRM 领导者优先制定暂停和退出第三方关系的政策，以增强对意外事件的抵御能力。同时，他们与业务赞助商合作，共同管理使用 GenAI 的第三方带来的风险，并因此为控制实施提供信息。

为何流行：

如今，组织严重依赖供应商来扩展其 GenAI 功能。Gartner生成式 AI 2024 规划调查报告中的一半受访者正在从新的第三方购买 GenAI 功能，而 26% 的受访者正在等待现有供应商提供 GenAI 工具。通常，GenAI 功能会突然或未经通知就被纳入现有第三方的服务中。

随着对使用 GenAI 的第三方的依赖日益增长，精明的 SRM 领导者在响应和恢复方面的投资与在预防控制方面的投资一样多。2024年Gartner 的《GenAI 发展时代的数据安全》调查显示，第三方风险、响应和恢复是 SRM 领导者对 GenAI 相关决策影响最大的领域。89% 的受访者表示，他们能够影响组织如何应对涉及 GenAI 工具的安全事件，阐明停止或暂停 GenAI 工具/功能的政策（85%），并制定测试和验证第三方 GenAI 工具的计划（81%）。

含义：

GenAI 第三方风险必须为数据安全策略提供参考。使用 GenAI 的第三方会引入数据安全风险（例如隐私、完整性、中毒和数据泄露）。为了有效管理这些风险，SRM 领导者必须与数据治理团队合作，解决第三方使用 GenAI 所利用数据的数据所有权、分类和质量问题。
使用 GenAI 对第三方的依赖性增加扩大了业务连续性风险。Gartner 2023 年网络安全领导者调查发现，预计拥有和领导业务连续性管理工作的 SRM 领导者数量正在增加。66% 的网络安全领导者现在负责 BCM，比上一年增加了 12%。在 BCM 中，SRM 领导者优先进行业务影响分析 (83%)、危机管理 (80%) 和激活程序 (72%)
GenAI 具有提高合同前尽职调查效率的潜力。进步的 SRM 领导者知道，仅靠传统的尽职调查是一项资源密集型活动。他们正在寻找利用 GenAI 更快地识别风险并将资源转移到弹性驱动的活动（例如，控制识别、事件响应和业务连续性规划）的方法。为了快速识别风险因素，SRM 领导者已开始使用内部 GenAI 工具根据映射到安全框架的一组不可协商的控制措施（例如，ISO27001、NIST AI RMF）扫描供应商的工件。

行动：

与业务领导者合作，尽早了解第三方 GenAI 决策。优先考虑与第三方网络安全风险管理（TPCRM ；例如 ERM、合规、采购）中的风险职能部门的合作。当SRM 领导者从规划阶段开始采用 GenAI 功能和第三方 GenAI 工具时，他们阻止数据泄露和阻止外部未经授权访问的可能性将提高1.35倍。
让企业能够轻松地使用 GenAI 共同管理第三方带来的风险。通过阐明企业和网络安全之间的责任划分，设定共同管理风险的期望。此外，与企业主合作，评估第三方使用 GenAI 的潜在影响。企业赞助商知道每个供应商在做什么、他们拥有哪些访问权限以及他们使用哪些数据。通过利用企业主的见解，网络安全可以更好地优先考虑高风险的 GenAI 第三方。
结合内部职能部门（例如 D&A、采购、供应商管理、供应链、BCM）制定 GenAI 特定的应急计划，以应对GenAI第三方中断。制定事件响应手册、进行桌面演练并制定使用 GenAI 退出或暂停与第三方关系的政策。