如今，安全和風(fēng)險管理（SRM）領(lǐng)導者投入大量精力評估和改變外部各方的網(wǎng)絡(luò )健康狀況。但企業(yè)員工正在做出更多涉及網(wǎng)絡(luò )風(fēng)險的決策，執行委員會(huì )也在網(wǎng)絡(luò )安全領(lǐng)導者的職權范圍之外成立。

　　Gartner認為，這些因素削弱了網(wǎng)絡(luò )安全領(lǐng)導者對許多決策的直接控制權，這些決策本該屬于他們的職責范圍。網(wǎng)絡(luò )安全領(lǐng)導者現在處于一個(gè)筋疲力盡、勞累過(guò)度但又隨時(shí)待命的狀態(tài)。這反映出在過(guò)去十年中，企業(yè)機構內部利益相關(guān)者的期望分歧日益加劇，這一角色的職責范圍被嚴重擴大。

　　網(wǎng)絡(luò )風(fēng)險責任將擴展到IT之外

　　根據Gartner最近的一項調查，88%的董事會(huì )認為網(wǎng)絡(luò )安全不但是一個(gè)IT技術(shù)問(wèn)題，還是一種業(yè)務(wù)風(fēng)險。13%的董事會(huì )選擇建立由專(zhuān)門(mén)董事監管的網(wǎng)絡(luò )安全董事委員會(huì )來(lái)應對這一問(wèn)題。

　　Gartner預測，到2026年，與網(wǎng)絡(luò )安全風(fēng)險相關(guān)的績(jì)效要求將會(huì )出現在過(guò)半數企業(yè)高管的勞動(dòng)合同中。

　　這影響了信息風(fēng)險決策的及時(shí)性和質(zhì)量，這些決策越來(lái)越多地由IT或安全業(yè)務(wù)線(xiàn)之外的利益相關(guān)者做出。Gartner預計，這一責任將不可避免地轉移到業(yè)務(wù)領(lǐng)導者身上，他們將要負責向CEO交付戰略目標，比如收入和客戶(hù)滿(mǎn)意度等。

　　隨著(zhù)網(wǎng)絡(luò )風(fēng)險責任正式轉移到業(yè)務(wù)領(lǐng)導者身上，Gartner分析師認為企業(yè)機構必須重新定義網(wǎng)絡(luò )安全領(lǐng)導者的角色才能取得成功（見(jiàn)圖一）。

　　圖片 首席信息安全官的角色必須從負責應對網(wǎng)絡(luò )風(fēng)險的實(shí)際責任人，轉變成確保業(yè)務(wù)領(lǐng)導者具備足夠的能力和知識來(lái)做出明智、高質(zhì)量的信息風(fēng)險決策的指路人。

　　投資者的關(guān)注、公眾的壓力、員工的要求和政府的規定正在進(jìn)一步激勵企業(yè)機構在其環(huán)境、社會(huì )和治理（ESG）工作中追蹤和報告網(wǎng)絡(luò )安全目標與指標，并將此作為一項業(yè)務(wù)要求。

　　因此，Gartner預測到2026年，30%的大型企業(yè)機構將公布以網(wǎng)絡(luò )安全為重點(diǎn)的ESG目標，而2021年的這一比例還不到2%。

　　Gartner分析師認為，公眾希望能夠更清楚地了解企業(yè)機構的安全風(fēng)險，因此要求在其ESG報告中更加透明地披露這一點(diǎn)。網(wǎng)絡(luò )安全已不僅僅是企業(yè)機構的風(fēng)險，而是全社會(huì )的風(fēng)險。”

　　安全和風(fēng)險管理領(lǐng)導者將越來(lái)越需要證明，其所在的企業(yè)機構正在努力減少因網(wǎng)絡(luò )安全事件而產(chǎn)生的社會(huì )問(wèn)題，例如客戶(hù)個(gè)人信息泄露、使用網(wǎng)絡(luò )物理系統所帶來(lái)的潛在安全問(wèn)題、產(chǎn)品被誤用和濫用的可能性以及針對關(guān)鍵基礎設施的惡意網(wǎng)絡(luò )活動(dòng)。