隱私法案、勒索軟件攻擊、信息物理系統和董事會級別審查，逐漸成為安全和風險負責人需要優先關注的事項。

　　“如何確保我們的消費者不會受到流氓代理造成的人身傷害？”這是安全和風險負責人在未來需要預測和規劃的問題。

　　信息物理系統（如自動駕駛汽車、數字孿生）的激增引發了組織的另一個安全風險。而我們對未來幾年首先要預測的內容之一，就是威脅行為者將如何針對這些系統發起攻擊。

　　“我們正在養成吃老本的壞習慣，妄圖一招鮮吃遍天，”Gartner主任分析師Sam Olyaei在Gartner IT Symposium/XPO? 2021的演講中說。“這其實難以為繼，我們需要不斷地讓思維、理念、方案和架構都保持進步?！?/p>

　　安全與風險管理已經上升為企業董事會層面的議題。隨著安全漏洞的數量和復雜程度不斷攀升，為保護消費者權益，新的立法相繼出臺，企業也將安全置于商業決策的首要位置。

　　Gartner分析師預測，未來幾年將出現更多的權利下放、監管措施和安全問題。您應當將這些戰略規劃設想納入未來一年的路線規劃。

　　1.到2023年底，現代隱私法案將涵蓋全球75%人口的個人信息

　　GDPR是第一部針對消費者隱私的重要立法，但其他法律很快效仿，包括巴西的《通用個人數據保護法》（LGPD）和《加州消費者隱私法》（CCPA）。這些法律所轄的范圍之廣，表明您將在不同的司法管轄區內同時應對多項數據保護法律，客戶會想知道你收集了什么樣的數據以及將如何使用這些數據。這也意味著你需要專注于自動化你的隱私管理系統。您應當以GDPR為基礎，實現安全運營的標準化，然后針對其他各個司法管轄區進行調整。

　　2.到2024年，采用網絡安全網格（cybersecurity mesh）架構的組織，將把安全事件對財務造成的影響平均降低90%

　　時至今日，組織需要在不同的地方支持各種技術，因為他們需要靈活的安全解決方案。網絡安全網格擴展并覆蓋了傳統安全邊界之外的身份，并構建了組織的整體視圖。它還有助于提高遠程工作的安全性。這些需求將在未來兩年內推動更多組織采用網格架構。

　　3.到2024年，30%的企業將采用來自同一供應商的云交付安全Web網關（SWG）、云訪問安全代理（CASB）、零信任網絡訪問（ZTNA）和防火墻即服務（FWaaS）功能

　　企業正在傾向于優化和整合。安全負責人通常管理著數十種工具，但他們計劃將其整合至十種以下。SaaS將成為首選的交付方式，而其與硬件的整合將影響選用時限。

　　4.到2025年，60%的組織將把網絡安全風險作為進行第三方交易和業務往來的主要決定因素。

　　投資者，特別是風險投資人，正在將網絡安全風險作為評估投資機會的關鍵因素。越來越多的組織在商業交易中關注網絡安全風險，包括并購以及供應商合同。其結果是通過問卷調查或安全評級來獲取合作伙伴更多的網絡安全計劃數據。

　　5.到2025年底，通過立法來規范勒索軟件的贖金支付、罰款和談判的民族國家比例將上升至30%，而2021年這一比例還不到1%。

　　雖然目前可能存在更廣泛的法規適用于勒索軟件贖金支付，但安全專家應當預測到未來將會針對贖金支付進行更嚴厲地打擊。鑒于加密貨幣市場大多不受監管，支付贖金存在倫理、法律和道德方面的問題，因此必須將由此帶來的影響考慮在內。支付（或不支付）的決定應該由一個能夠解決所有這些問題的跨職能團隊來承擔。

　　6.到2025年，40%的董事會將會設立專門的網絡安全委員會，并由一名具備資質的董事會成員監督

　　隨著網絡安全成為（并持續作為）董事會最關注的問題，我們有望看到一個董事會級別的網絡安全委員會，以及更嚴格的監督和審查。這增加了組織對網絡安全風險的可見性，并需要一個新的董事會報告方式，其細節可能取決于特定董事會成員的背景和經驗。您應當將信息傳遞的重點放在在價值、風險和成本上。

　　7.到2025年，70%的首席執行官將要求建立組織彈性文化，以應對同時來自網絡犯罪、惡劣天氣事件、國內動亂和政治動蕩的威脅

　　考慮到更廣泛的安全環境，我們需要越過網絡安全，走向組織彈性。數字化轉型增加了威脅環境的復雜性，這將影響您生產產品和提供服務的方式。您應當開始制定組織彈性和目標，并建立一個影響它們的網絡風險清單。

　　8.到2025年，威脅行為者會成功地將運營技術環境武器化，足以造成人員傷亡

　　隨著惡意軟件從IT（信息技術）領域擴散到OT（運營技術）領域，它將安全話題從業務中斷轉移到物理傷害，其責任最終可能由CEO來承擔。您應當關注以資產為中·心的信息物理系統，并確保有團隊來解決相應的管理問題。