在過(guò)去的一年里，Gartner在安全與風(fēng)險管理領(lǐng)域的關(guān)鍵發(fā)現：

（1）隨著(zhù)數字化轉型的持續升溫，錯綜復雜的生態(tài)系統是數字業(yè)務(wù)不可缺的部分，而與其相關(guān)的安全風(fēng)險將倍受關(guān)注；

（2）回顧過(guò)往一年，全球領(lǐng)先的企業(yè)由于遭受惡意的網(wǎng)絡(luò )攻擊造成的損失達到3億美元；

（3）越來(lái)越多的安全技術(shù)轉向了云計算，不管是訂閱模式還是按需付費模式，企業(yè)將會(huì )有更多種方式來(lái)評估安全技術(shù)，縮短復雜的RFP流程；

（4）網(wǎng)絡(luò )安全資格審查在市場(chǎng)整合并購環(huán)節中非常重要，但需要對行業(yè)、資產(chǎn)價(jià)值、監管環(huán)境以及交易金額等方面進(jìn)行綜合評判。

Gartner認為網(wǎng)絡(luò )攻擊不可避免的看法已經(jīng)廣泛的被企業(yè)組織認同，且影響著(zhù)企業(yè)組織如何應對風(fēng)險。安全與風(fēng)險管理的領(lǐng)導者需建立完善的信息安全管理計劃，以規范的安全準則，促進(jìn)業(yè)務(wù)產(chǎn)出為基礎?；谏鲜龅难芯堪l(fā)現，Gartner在安全與風(fēng)險管理領(lǐng)域做出了幾點(diǎn)預測：

從戰略角度看數字化安全和風(fēng)險管理

預測1 ： 預計到2022年，企業(yè)組織在對業(yè)務(wù)伙伴進(jìn)行風(fēng)險評估時(shí)，網(wǎng)絡(luò )安全等級將變得比信譽(yù)等級更為重要。

在整體的風(fēng)險環(huán)節中，數字供應鏈風(fēng)險的影響力正逐步擴大，同時(shí)第三方的風(fēng)險也在增加。Gartner認為企業(yè)組織很難分析和管理企業(yè)風(fēng)險，因為缺乏一個(gè)可擴展的、統一的安全機制來(lái)評估外部各方的網(wǎng)絡(luò )安全態(tài)勢。

Gartner發(fā)現企業(yè)用戶(hù)對網(wǎng)絡(luò )安全評級服務(wù)的興趣正在提升。網(wǎng)絡(luò )安全評級服務(wù)為企業(yè)組織提供連續的、獨立的量化安全分析和評分。通過(guò)被動(dòng)或主動(dòng)的方式從外部資源收集數據，然后用專(zhuān)用的分析方法進(jìn)行分析，并使用自己的評分方法進(jìn)行評級，這種工具可以用于內部生成安全報告以及第三方的風(fēng)險管理。

預計在2020年，這種服務(wù)將成為日益增長(cháng)業(yè)務(wù)關(guān)系的強制性先決條件，并成為服務(wù)提供商和采購者的標準。同時(shí)這種網(wǎng)絡(luò )安全評級的分數將對網(wǎng)絡(luò )保險業(yè)務(wù)的成本和可用性產(chǎn)生影響。從理論上講，網(wǎng)絡(luò )安全評級服務(wù)滿(mǎn)足了對外部安全態(tài)勢的持續監測需求，但這種方法依然是一種相對較新的服務(wù)形式，有效性還需市場(chǎng)驗證。

預測2 ：到2021年，至少有一家公司將公開(kāi)承認因惡意軟件/勒索軟件的攻擊而造成業(yè)務(wù)中斷，造成的損失將達到10億美元。

去年聯(lián)邦快遞FedEx等公司由于惡意的網(wǎng)絡(luò )攻擊造成的財務(wù)影響高達3億美元，由于惡意軟件主要通過(guò)用戶(hù)發(fā)起的行為（如電子郵件附件）來(lái)傳播，以獲取滲透攻擊的權限，預計這種情況會(huì )進(jìn)一步惡化。

在惡意軟件/勒索軟件攻擊普及化的環(huán)境下，企業(yè)需要增強主動(dòng)防御機制和響應速度，修復受損數據，并將系統恢復到正常狀態(tài)。這其中數據保護/恢復和數據副本多樣性變得更為重要。

預測3 ： 預計到2022年，10%的企業(yè)在安全技術(shù)評估流程中將棄用RFP（請求建議書(shū)），而使用更敏捷的流程，包括競爭和戰略指引。

越來(lái)越多的安全技術(shù)轉向了云計算，不管是訂閱模式還是按需付費模式企業(yè)將會(huì )有更多種方式來(lái)評估安全技術(shù)，縮短復雜的RFP流程。RFP的流程將會(huì )慢慢地演變，通過(guò)調整評分，增加對現場(chǎng)評估的權重，逐步整合競爭和戰略指引，作為最終評估的強制性步驟。

預測4 ：到2020年，大約60%參與整合并購的組織會(huì )認為網(wǎng)絡(luò )安全態(tài)勢是評估核查過(guò)程中的一個(gè)關(guān)鍵因素。

當前全球的整合并購已經(jīng)超過(guò)了2.5萬(wàn)億美元。以前網(wǎng)絡(luò )安全在整合并購的評估核查過(guò)程中往往被忽視。由于網(wǎng)絡(luò )攻擊導致的數據泄露會(huì )嚴重影響交易的估值，甚至可能導致交易失敗，這使得管理層對網(wǎng)絡(luò )安全的意識增強。網(wǎng)絡(luò )安全在評估核查過(guò)程中將會(huì )扮演關(guān)鍵角色。例如由于在Verizon公司的并購公告后披露安全漏洞，雅虎的收購價(jià)格下降了3.5億美元，這并不包括任何公眾聲譽(yù)損失或品牌形象損失。

Gartner建議組織的安全與風(fēng)險管理者必須參與到整合并購的執行過(guò)程中，因為任何類(lèi)型的整合并購行為都會(huì )導致威脅、風(fēng)險偏好和員工認知的改變。安全管理者需要參與評估可能影響未來(lái)業(yè)務(wù)戰略和安全風(fēng)險的需求。

本文轉自網(wǎng)絡(luò )