由于个人法律风险敞口，预计全球100家企业中的三分之二将向网络安全领导人提供董事和高级管理人员保险。此外，与虚假信息作斗争预计将花费企业超过5000亿美元。

随着我们开始超越GenAI的可能，出现了帮助解决一些长期困扰网络安全的问题的坚实机会，特别是技能短缺和不安全的人类行为。今年最热门预测的范围显然不是在技术上，因为人的因素继续获得更多的关注。任何寻求建立有效和可持续的网络安全计划的CISO都必须将这一点作为优先事项。

网络安全领导者战略规划的基本假设

Gartner建议网络安全领导者在未来两年的安全战略中建立以下战略规划假设。

到2028年，GenAI的采用将缩小技能差距，50%的入门级网络安全职位不再需要专业教育。

GenAI增强将改变企业招聘和教授网络安全人员的方式，这些人员寻找正确的能力，以及正确的教育。主流平台已经提供了对话增强功能，但将会不断发展。Gartner建议网络安全团队专注于支持用户工作的内部用例，与人力资源合作伙伴协调，确定邻近的人才担任更关键的网络安全角色。

到2026年，将GenAI与安全行为和文化计划(SBCP)中基于平台的集成架构相结合的企业将经历由员工驱动的网络安全事件减少40%。

企业越来越重视个性化参与，将其作为有效的SBCP的重要组成部分。GenAI具有生成超个性化内容和培训材料的潜力，这些内容和培训材料可以考虑到员工的独特属性。根据Gartner的说法，这将增加员工在日常工作中采取更安全行为的可能性，从而减少网络安全事件。

尚未采用GenAI功能的企业应评估其目前的外部安全意识合作伙伴，以了解其如何利用GenAI作为其解决方案路线图的一部分。

到2026年，75%的企业将把非托管、遗留和网络物理系统排除在零信任战略之外。

在零信任策略下，用户和终端仅获得完成其工作所需的访问权限，并根据不断变化的威胁进行持续监控。在生产或任务关键型环境中，这些概念并不适用于非受管设备、传统应用程序和网络物理系统(CP)，这些系统旨在独特的以安全和可靠性为中心的环境中执行特定任务。

到2027年，由于个人法律风险敞口，全球100家企业中的三分之二将向网络安全领导者提供董事和高级管理人员(D&O)保险。

新的法律法规——例如SEC的网络安全披露和报告规则——让网络安全领导人承担个人责任。CISO的角色和责任需要更新，以便进行相关的报告和披露。Gartner建议企业探索为D&O保险以及其他保险和补偿承保这一角色的好处，以减轻个人责任、专业风险和法律费用。

到2028年，企业用于打击恶意信息的支出将超过5000亿美元，蚕食50%的营销和网络安全预算。

人工智能、分析、行为科学、社交媒体、物联网等技术的结合，使不良行为者能够创造和传播高效的、大规模定制的恶意信息(或错误信息)。Gartner建议CIO定义管理、设计和执行企业范围的反恶意信息计划的责任，并投资于使用混沌工程测试弹性的工具和技术来解决这个问题。

到2026年，40%的身份和访问管理(IAM)领导者将承担检测和响应与IAM相关的违规行为的主要责任。

IAM领导人经常难以阐明安全和商业价值以推动准确的投资，也不参与安全资源和预算的讨论。随着IAM领导人的重要性不断提高，他们将朝着不同的方向发展，每个方向的责任、知名度和影响力都会增加。Gartner建议CIO打破传统的IT和安全孤岛，通过使IAM计划与安全计划保持一致，让利益相关者了解IAM所扮演的角色。

到2027年，70%的企业将数据丢失预防和内部风险管理规则与IAM环境相结合，以更有效地识别可疑行为。

人们对整合控制的兴趣与日俱增，促使供应商开发以用户行为为中心的控制和防止数据丢失之间重叠的功能，这为安全团队提供了一套更全面的功能，可为数据安全和内部风险缓解双重使用创建单一策略。Gartner建议企业识别数据风险和身份风险，并将其作为战略数据安全的主要指令。

到2027年，30%的网络安全功能将重新设计应用安全，供非网络专家直接使用，并由应用所有者拥有。

业务技术人员和分布式交付团队创建的应用程序的数量、种类和环境意味着，暴露的可能性远远超出专门的应用程序安全团队所能处理的范围。

为了弥补这一差距，网络安全职能部门必须在这些团队中建立最低限度的有效专业知识，利用技术和培训的结合，只产生自主做出网络风险知情决策所需的能力。