如今，企業(yè)網絡安全領導者(安全和風險管理，SRM)需要投入更多的精力，以評估組織內外部各方的網絡狀況。工程師正在做出更多涉及網絡風險的決策，而組織也開始設立在網絡安全領導者職責范圍之外的執(zhí)行委員會。Gartner分析師表示，這些因素將導致產生這樣的情況——網絡安全領導者對于職責范圍內的許多決策減少了直接控制權。

據Gartner最近的一項調查顯示，88%的董事會將網絡安全視為業(yè)務風險，而不僅僅是技術IT問題。為此，13%的董事會設立了專門針對網絡安全的董事會委員會，由專職董事負責監(jiān)督。Gartner預測，到2026年，至少50%的企業(yè)高管將在雇傭合同中列入與網絡安全風險相關的績效要求。

網絡安全的正式責任將不可避免地轉向業(yè)務領導人，這些領導人向CEO交付戰(zhàn)略性目標，比如創(chuàng)收和客戶滿意度。隨著網絡安全的正式責任轉移到業(yè)務領導人，有必要重新定義網絡安全領導者的角色(見圖 1)。

Gartner研究總監(jiān)Sam Olyaei表示，CISO(首席信息安全官)這個角色必須從應對網絡風險“事實上”的責任人變成賦能業(yè)務領導人，并協(xié)助其做出明智而高質量的信息風險決策。

圖 1：網絡安全領導人的角色需要重新定義

圖片來源：Gartner(2022年2月)

Gartner研究總監(jiān)Claude Mandy表示，很多組織在其ESG(環(huán)境、社會和治理)工作中積極跟蹤和報告網絡安全目標和指標，并將其作為一項業(yè)務需求。據Gartner預測，到2026年，30%的大型組織會公開披露側重于網絡安全的ESG目標，遠高于2021年的不到2%。

這表明，網絡安全不再只是組織面臨的一種風險，而是一種社會風險。未來，網絡安全領導者將更加致力于減少網絡安全事件引發(fā)的社會問題，比如客戶個人信息的數據泄露、使用網絡/物理系統(tǒng)帶來的潛在安全隱患、產品被誤用和濫用的可能性以及針對關鍵基礎設施的惡意網絡活動。

參考鏈接：https://www.gartner.com/en/newsroom/press-releases/2022-02-24-gartner-says-the-cybersecurity-leader-s-role-needs-to