随着2024年的到来,从首席执行官到其他组织领导人都有很多事情要做。他们正在围绕实现持续增长、驾驭新兴技术的影响和风险以及吸引和留住人才等方面应对各种挑战。就首席信息安全官(CISO)而言,他们越来越多地被视为这些持续业务需求的积极合作管理者,而不仅仅是在危机期间骑马前来拯救局面的骑兵队长。
在我们的年度网络安全考虑因素报告中,全球毕马威网络安全专家的不同部门探讨了鼓励CISO及其团队在未来一年中优先考虑的八个考虑因素,以通过减轻特定网络事件的影响和减少总体网络风险暴露来支持组织的业务增长目标。
世界各地的组织面临许多网络安全挑战,需要实施控制措施来构建和嵌入弹性,满足监管要求,并降低总体风险。然而,人工智能(Al)作为合法和邪恶目的的战略工具的迅速出现正在迅速上升。人工智能的民主化——这些先进的技术解决方案和模型现在基本上可供任何拥有信用卡的人通过云访问——立即揭示了创造价值的新途径,并暴露了重大的潜在风险。人工智能正在被证明是一个真正的组织游戏规则改变者,包括安全团队。
这种不断变化的威胁格局要求组织及其首席信息官从一个新的、更务实的角度看待安全问题。他们比以往任何时候都必须在数据安全和隐私与更广泛的业务目标之间取得平衡。
从网络安全的角度来看,当今全球更一致地感受到社会、经济、政治和监管发展的影响。简单的原因是世界更紧密地联系在一起。互联商业生态系统的最严重影响仍然是在全球供应链中—就所有实际目的而言,世界上几乎没有任何区域是孤立的。
然而,仍然存在局部细微差别。例如,企业必须遵守的监管要求仍然是独特的区域性要求,例如某些市场对个人数据的保护更加敏感,以及围绕负责任的人工智能、关键基础设施和供应链的新规则。
网络安全领域的全球焦点是总体合规性,着眼于监管的总体负担以及各种报告要求的多样性。因此,公司越来越重视在遵守广泛的跨境监管要求和制度的方式中嵌入隐私和安全。
当涉及到构建和管理负责任的人工智能系统、确保客户隐私以及围绕关键基础设施、供应链、智能产品和弹性制定指导方针时,这一点特别令人感兴趣。
与此同时,随着各组织处理经济不确定性,网络安全预算可能必须更加客观地合理。许多CISO的预算持平,不一定减少,因为其中一些支出被转移到组织创新,特别是人工智能和自动化解决方案。这一值得注意的发展要求安全小组进行技术合理化和预算优化——本质上是用更少的资源做更多的事情。
虽然经济逆风推动预算压力,但越来越多的人认为,网络安全已经成熟到组织可以削减投资的地步。此外,安全功能现在嵌入到其他IT和转型预算中,而不是作为中央预算拨款。此外,向基于云的安全即服务方法的转变以我们以前从未见过的方式将安全成本嵌入到公司更广泛的运营支出中。
在这种环境下,我鼓励CISO改进其网络风险量化(CRQ)流程,这有助于使用数学建模来通过可测量的变量来说明风险,从而从财务角度表达网络安全风险的影响。通过CRQ视角看待风险,可以有效地向领导层和董事会展示投资回报和投资优先顺序,确保组织从技术和财务角度理解威胁。
从根本上讲,本报告从多个角度探讨了企业高管的核心愿望是什么:保持其组织的弹性。底线是,如果发生数据泄漏或网络泄露,组织可以以多快的速度恢复正常运营,以及如何将对客户的影响降至最低?
这是韧性议程的象征,可以在许多最近提议的法规中看到,特别是那些专注于关键基础设施部门的法规。在许多情况下,现在的重点是响应和恢复,以及减轻对客户的伤害。这是一个与传统视角不同的视角,通过它可以查看安全性。网络安全必须被视为一项不断发展的持续努力。越多的组织接受网络事件是不可避免但可管理的,它们就越有可能在准备和恢复能力之间实现平衡。
