Fifty percent of chief information security officers (CISOs) will adopt human centric design to reduce cybersecurity operational friction; large enterprises will focus on implementing zero-trust programs; and half of cybersecurity leaders will have unsuccessfully tried to use cyber risk quantification to drive decision making, according to the top cybersecurity predictions revealed by Gartner, Inc.
“There’s no question that CISOs and their teams must be laser focused on what’s happening today to ensure their organizations are as secure as possible,” Addiscott said. “But they also need to make time to look up from their daily challenges and scan the horizon to see what’s coming down the track that might impact their security programs in the next couple of years.
“These predictions are a signal flare for some of those things we see emerging and should be considered by any CISO looking to build an effective and sustainable cybersecurity program.”
Gartner recommends that cybersecurity leaders build the following strategic planning assumptions into their security strategies for the next two years.
Through 2027, 50% of CISOs will formally adopt human-centric design practices into their cybersecurity programs to minimize operational friction and maximize control adoption.
Gartner research shows that over 90% of employees who admitted undertaking a range of unsecure actions during work activities knew that their actions would increase risk to the organization but did so anyway. Human-centric security design is modeled with the individual — not technology, threat or location – as the focus of control design and implementation to minimize friction.
By 2024, modern privacy regulation will blanket the majority of consumer data, but less than 10% of organizations will have successfully weaponized privacy as a competitive advantage. Organizations are beginning to recognize that a privacy program can enable them to use data more broadly, differentiate from competitors, and build trust with customers, partners, investors and regulators. Gartner recommends security leaders enforce a comprehensive privacy standard in line with GDPR to differentiate in an increasingly competitive market and grow unhindered.
By 2026, 10% of large enterprises will have a comprehensive, mature and measurable zero-trust program in place, up from less than 1% today.
A mature, widely deployed zero-trust implementation demands integration and configuration of multiple different components, which can become quite technical and complex. Success is highly dependent on the translation to business value. Starting small, an ever evolving zero-trust mindset makes it easier to better grasp the benefits of a program and manage some of the complexity one step at a time.
By 2027, 75% of employees will acquire, modify or create technology outside IT’s visibility – up from 41% in 2022.
The CISO role and purview of responsibility is shifting from being control owners to risk decision facilitators. Reframing the cybersecurity operating model is key to the changes coming. Gartner recommends thinking beyond technology and automation to deeply engage with employees to influence decision making and ensure they have appropriate knowledge to do in an informed way.
By 2025, 50% of cybersecurity leaders will have tried, unsuccessfully, to use cyber risk quantification to drive enterprise decision making.
Gartner research indicates that 62% of cyber risk quantification adopters cite soft gains in credibility and cyber risk awareness, but only 36% have achieved action-based results, including reducing risk, saving money or actual decision influence. Security leaders should focus firepower on quantification that decision makers ask for, instead of producing self-directed analyses they have to persuade the business to care about.
By 2025, nearly half of cybersecurity leaders will change jobs, 25% for different roles entirely due to multiple work-related stressors.
Accelerated by the pandemic and staffing shortages across the industry, the work stressors of cybersecurity professionals are rising and becoming unsustainable. Gartner suggests that while eliminating stress is unrealistic, people can manage challenging and stressful jobs in cultures where they are supported. Changing the rules of engagement to foster cultural shifts will help.
By 2026, 70% of boards will include one member with cybersecurity expertise.
For cybersecurity leaders to be recognized as business partners, they need to acknowledge board and enterprise risk appetite. This means not only showing how the cybersecurity program prevents unfavorable things from happening, but how it improves the enterprise’s ability to take risks effectively. Gartner recommends CISOs get ahead of the change to promote and support cybersecurity to the board and establish a closer relationship to improve trust and support.
Through 2026, more than 60% of threat detection, investigation and response (TDIR) capabilities will leverage exposure management data to validate and prioritize detected threats, up from less than 5% today.
As organizational attack surfaces expand due to increased connectivity, use of SaaS and cloud applications, companies require a broader range of visibility and a central place to constantly monitor for threats and exposure. TDIR capabilities provide a unified platform or ecosystem of platforms where detection, investigation and response can be managed, giving security operations teams a complete picture of risk and potential impact.
การ์ทเนอร์ อิงค์ เผย 50% ของผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officers หรือ CISOs) จะใช้การออกแบบที่เน้นมนุษย์เป็นศูนย์กลาง (Human Centric Design) เพื่อลดแรงต้านจากการปฏิบัติงานด้านความปลอดภัยในโลกไซเบอร์ โดยองค์กรขนาดใหญ่จะให้ความสำคัญกับการนำโปรแกรม Zero-Trust ไปใช้ ขณะที่ครึ่งหนึ่งของผู้บริหารด้านความปลอดภัยทางไซเบอร์ยังไม่ประสบความสำเร็จในการประเมินความเสี่ยงทางไซเบอร์เพื่อขับเคลื่อนการตัดสินใจได้
ริชาร์ด แอดดิสคอตต์ ผู้อำนวยการอาวุโสฝ่ายวิจัยของการ์ทเนอร์ อิงค์ กล่าวว่า “ไม่ต้องสงสัยเลยว่า ผู้บริหาร CISO และทีมงานด้านความปลอดภัยจะต้องมุ่งไปยังสิ่งที่เกิดขึ้นในวันนี้ เพื่อให้มั่นใจว่าองค์กรของพวกเขาปลอดภัยที่สุดเท่าที่จะเป็นไปได้ แต่พวกเขายังต้องใช้เวลาเพื่อมองให้เห็นความท้าทายในแต่ละวันและเข้าใจรายละเอียดอย่างรอบด้านเพื่อให้รู้ว่ากำลังจะเกิดอะไรขึ้นตามมา และอาจส่งผลกระทบต่อโปรแกรมด้านความปลอดภัยในอีกไม่กี่ปีข้างหน้า”
“การคาดการณ์เหล่านี้เป็นการส่งสัญญาณถึงบางสิ่งบางอย่างที่เราเห็นว่ามันจะเกิดขึ้น และผู้บริหาร CISO ควรนำมาพิจารณา เพื่อนำไปสร้างโปรแกรมความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพและยั่งยืน”
การ์ทเนอร์แนะนำผู้บริหารความปลอดภัยทางไซเบอร์ต้องสร้างสมมุติฐานและวางแผนเชิงกลยุทธ์ดังต่อไปนี้ เพื่อใช้เป็นยุทธศาสตร์ด้านการรักษาความปลอดภัยในอีกสองปีข้างหน้า
ภายในปี 2570 50% ของผู้บริหาร CISO จะนำแนวทางปฏิบัติการออกแบบความปลอดภัยที่ยึดมนุษย์เป็นศูนย์กลางมาปรับใช้ เพื่อลดแรงเสียดทานที่เกิดจากความปลอดภัยไซเบอร์และเพิ่มการควบคุมในระดับสูงสุด
ผลการวิจัยของการ์ทเนอร์พบว่า มากกว่า 90% ของพนักงานยอมรับว่าได้กระทำการที่ไม่ปลอดภัยในระหว่างการทำงานแม้ทราบดีว่าการกระทำนั้นจะเพิ่มความเสี่ยงให้องค์กรแต่ก็ยังทำอยู่ดี ซึ่งการออกแบบการรักษาความปลอดภัยที่ยึดมนุษย์เป็นศูนย์กลาง (Human-Centric Security Design) นั้นเป็นแบบจำลองที่เน้นไปยังปัจเจกบุคคล ไม่ใช่เทคโนโลยี หรือภัยคุกคาม หรือสถานที่ โดยจะมุ่งให้ความสำคัญไปกับการออกแบบการควบคุมและการนำไปใช้เพื่อลดแรงเสียดทานให้น้อยลงมากที่สุด
ภายในปี 2567 กฎระเบียบข้อบังคับด้านความเป็นส่วนตัวที่ทันสมัยจะครอบคลุมข้อมูลส่วนใหญ่ของผู้บริโภค แต่กลับมีองค์กรไม่ถึง 10% ที่ประสบความสำเร็จในการใช้ประโยชน์ของความเป็นส่วนตัวให้กลายเป็นข้อได้เปรียบสำหรับการแข่งขัน
องค์กรต่าง ๆ เริ่มตระหนักว่าโปรแกรมความเป็นส่วนตัวนั้นสามารถช่วยให้พวกเขาใช้ข้อมูลได้กว้างขึ้น สร้างความต่างจากคู่แข่ง และสร้างความไว้วางใจให้กับลูกค้า คู่ค้า นักลงทุน และหน่วยงานกำกับดูแล ซึ่งการ์ทเนอร์แนะนำให้ผู้นำด้านความปลอดภัยบังคับใช้มาตรฐานความเป็นส่วนตัวอย่างครอบคลุม และสอดคล้องกับกฎหมาย GDPR (General Data Protection Regulation) เพื่อสร้างความต่างในตลาดที่มีการแข่งขันสูงขึ้นและเติบโตอย่างไร้ขีด
ภายในปี 2569 ประมาณ 10% ขององค์กรขนาดใหญ่จะมีโปรแกรม Zero-Trust ที่ใช้ได้อย่างสมบูรณ์และวัดผลได้เพิ่มขึ้นจากในปัจจุบันที่มีไม่ถึง 1%
การจะนำ Zero-Trust ไปใช้งานได้อย่างครอบคลุมและสมบูรณ์นั้น ต้องอาศัยการผสานรวมและการกำหนดองค์ประกอบต่าง ๆ ซึ่งอาจกลายเป็นความซับซ้อนทางเทคนิคได้ โดยองค์กรจะประสบความสำเร็จอย่างสูงหรือไม่นั้นขึ้นอยู่กับการแปลงข้อมูลให้เป็นมูลค่าทางธุรกิจ เริ่มต้นจากจุดเล็ก ๆ และปลูกฝัง Zero-Trust mindset ที่พัฒนาไปเรื่อย ๆ เพื่อช่วยให้เข้าใจประโยชน์ของโปรแกรมได้ดีขึ้นและจัดการความซับซ้อนบางอย่างทีละขั้นตอนได้ง่ายขึ้น
ภายในปี 2570 75% ของพนักงานจะมีส่วนในการปรับ แก้ไข หรือสร้างเทคโนโลยีที่อยู่นอกเหนือการมองเห็นของฝ่ายไอที เพิ่มขึ้นจาก 41% ในปี 2565
บทบาทและขอบเขตความรับผิดชอบของผู้บริหาร CISO กำลังเปลี่ยนจากการเป็นผู้ควบคุมเป็นผู้อำนวยความสะดวกในการตัดสินใจด้านความเสี่ยง ซึ่งการปรับเปลี่ยนรูปแบบการปฏิบัติการด้านความปลอดภัยในโลกไซเบอร์นี้เป็นกุญแจสำคัญเพื่อรับมือต่อการเปลี่ยนแปลงที่กำลังจะเกิดขึ้น การ์ทเนอร์แนะนำผู้บริหารควรคิดนอกกรอบไปกว่าแค่เรื่องของเทคโนโลยีและระบบอัตโนมัติเพื่อสร้างการมีส่วนร่วมอย่างใกล้ชิดกับพนักงานเพื่อให้พวกเขามีบทบาทในกระบวนการตัดสินใจ และเพื่อให้มั่นใจว่าพนักงานมีความรู้อย่างเหมาะสมกับการปฏิบัติหน้าที่โดยมีข้อมูลเพียงพอ
ภายในปี 2568 ผู้นำด้านความปลอดภัยทางไซเบอร์ 50% จะพยายามใช้คุณสมบัติของความเสี่ยงทางไซเบอร์มาประเมินเพื่อขับเคลื่อนการตัดสินใจขององค์กร ถึงแม้ไม่ประสบความสำเร็จ
การวิจัยของการ์ทเนอร์ชี้ว่า 62% ของผู้ที่ประเมินความเสี่ยงทางไซเบอร์กล่าวว่า องค์กรได้รับความน่าเชื่อถือและการรับรู้ถึงความเสี่ยงทางไซเบอร์เพิ่มขึ้นเล็กน้อย แต่มีเพียง 36% เท่านั้นที่ได้ผลลัพธ์ตามที่ตั้งใจ ประกอบด้วย การลดความเสี่ยง การประหยัดเงินหรือช่วยในการตัดสินใจได้จริง ผู้นำด้านการรักษาความปลอดภัยควรให้ความสำคัญกับพลังการป้องกันและการประเมินความเสี่ยงที่ผู้มีอำนาจตัดสินใจ (Decision Makers) ร้องขอมา แทนที่จะสร้างการวิเคราะห์ด้วยตนเองและต้องโน้มน้าวให้ธุรกิจหันมาสนใจ
ภายในปี 2568 เกือบครึ่งหนึ่งของผู้บริหารความปลอดภัยไซเบอร์จะเปลี่ยนงาน โดยที่
25% จะหันไปสู่บทบาทการทำงานที่แตกต่างอย่างสิ้นเชิง เนื่องจากปัจจัยกดดันที่เกี่ยวข้องกับงานหลายอย่าง
การแพร่ระบาดที่รวดเร็วและการขาดแคลนพนักงานทั่วทั้งอุตสาหกรรม แรงกดดันการทำงานของผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กำลังเพิ่มขึ้นและกลายเป็นไม่ยั่งยืน การ์ทเนอร์แนะนำว่า แม้การขจัดความเครียดของการทำงานให้หมดไปจะดูเป็นไปไม่ได้ แต่ผู้คนก็สามารถจัดการงานที่ท้าทายและมีความกดดันได้หากพวกเขาเชื่อมั่นและสนับสนุนวัฒนธรรมองค์กรที่ทำงานอยู่ ซึ่งการเปลี่ยนแปลงกฎการมีส่วนร่วมเพื่อส่งเสริมการเปลี่ยนแปลงทางวัฒนธรรมจะช่วยได้
ภายในปี 2569 70% ของคณะกรรมการจะมีสมาชิกหนึ่งท่านที่เป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์
ผู้บริหาร CISO ได้รับการตระหนักว่าเป็นหุ้นส่วนธุรกิจ พวกเขาจำเป็นต้องรับทราบความต้องการ ทราบความเสี่ยงขององค์กรและคณะกรรมการ หรือหมายความว่า CISO ไม่เพียงทำให้เห็นว่าโปรแกรมความปลอดภัยทางไซเบอร์สามารถป้องกันภัยคุกคามที่เกิดขึ้นได้อย่างไร แต่ยังขยายไปถึงการช่วยเพิ่มความสามารถขององค์กรในการรับความเสี่ยงได้อย่างมีประสิทธิภาพอีกด้วย การ์ทเนอร์แนะนำให้ผู้บริหาร CISO ก้าวนำหน้าการเปลี่ยนแปลง เพื่อส่งเสริมและสนับสนุนการรักษาความปลอดภัยทางไซเบอร์แก่คณะกรรมการบริหารขององค์กรและสร้างความสัมพันธ์ที่แน่นแฟ้นยิ่งขึ้นเพื่อเพิ่มความไว้วางใจและให้การสนับสนุน
ภายในปี 2569 มากกว่า 60% ของระบบการตรวจจับ ตรวจสอบ และตอบสนองต่อภัยคุกคาม (Threat Detection, Investigation and Response หรือ TDIR) จะใช้ข้อมูลการจัดการความเสี่ยงเพื่อตรวจสอบความถูกต้องและจัดลำดับความสำคัญภัยคุกคามที่ตรวจพบ เพิ่มขึ้นจากปัจจุบันที่น้อยกว่า 5%
เมื่อพื้นที่การโจมตีขององค์กรขยายตัวอันเป็นผลมาจากการเชื่อมต่อที่เพิ่มขึ้น การใช้บริการ SaaS และแอปพลิเคชันบนคลาวด์ที่เพิ่มขึ้น ทำให้บริษัทต่าง ๆ ต้องการขอบเขตการมองเห็นที่กว้างขึ้นและศูนย์กลางสำหรับการตรวจสอบภัยคุกคามรวมถึงช่องโหว่อย่างต่อเนื่อง โดยความสามารถของระบบ TDIR นั้นจะรวมแพลตฟอร์มหรือระบบนิเวศครบวงจรไว้ในแพลตฟอร์มเพื่อบริหารจัดการด้านการตรวจจับ ตรวจสอบ และตอบสนองได้ ทำให้ทีมปฏิบัติการด้านความปลอดภัยเห็นภาพภัยคุกคามและผลกระทบที่อาจเกิดขึ้นต่อองค์กรได้อย่างครบถ้วน
เรียนรู้เพิ่มเติมเกี่ยวกับลำดับความสำคัญสูงสุดที่ผู้นำด้านความปลอดภัยและความเสี่ยงในปี 2566 ในรูปแบบ ebook ของการ์ทเนอร์ได้ฟรีที่ 2023 Leadership Vision for Security & Risk Management Leaders