2024年網(wǎng)絡(luò)安全合規(guī)建設(shè)的6個(gè)發(fā)展預(yù)測(cè)
在企業(yè)組織數(shù)字化轉(zhuǎn)型發(fā)展過程中,網(wǎng)絡(luò)安全合規(guī)運(yùn)營一直發(fā)揮著重要的作用,是企業(yè)積極開展網(wǎng)絡(luò)安全建設(shè)的主要驅(qū)動(dòng)因素之一。專家預(yù)測(cè),網(wǎng)絡(luò)安全合規(guī)運(yùn)營工作在2024年將會(huì)迎來巨大變革,原因如下:
· 數(shù)字信任正日益成為企業(yè)組織和政府機(jī)構(gòu)的基本性發(fā)展訴求;
· 行業(yè)監(jiān)管機(jī)構(gòu)對(duì)受監(jiān)管實(shí)體組織的監(jiān)管要求日益嚴(yán)格,但是對(duì)企業(yè)的合規(guī)運(yùn)營能力缺乏信任;
· 企業(yè)對(duì)第三方供應(yīng)商的風(fēng)險(xiǎn)管理歷來投入有限,但隨著供應(yīng)鏈安全事件日益頻發(fā),企業(yè)將重新評(píng)估對(duì)第三方供應(yīng)商的合規(guī)要求;
· 隨著攻擊者開始大量使用人工智能(AI),公眾對(duì)AI技術(shù)的安全合規(guī)使用逐漸失去信任。
由此看來,2024年將是企業(yè)網(wǎng)絡(luò)安全合規(guī)運(yùn)營的關(guān)鍵一年,企業(yè)應(yīng)該加大對(duì)網(wǎng)絡(luò)安全合規(guī)運(yùn)營的投入來建立數(shù)字信任,并為數(shù)字化業(yè)務(wù)發(fā)展建立競(jìng)爭(zhēng)優(yōu)勢(shì)。以下是安全專家對(duì)2024年網(wǎng)絡(luò)安全合規(guī)運(yùn)營發(fā)展變化的6個(gè)預(yù)測(cè):
預(yù)測(cè)1. 網(wǎng)絡(luò)安全合規(guī)運(yùn)營會(huì)成為企業(yè)業(yè)務(wù)發(fā)展的驅(qū)動(dòng)因素
2023年,供應(yīng)鏈安全和數(shù)據(jù)泄密對(duì)企業(yè)數(shù)字化業(yè)務(wù)運(yùn)營的挑戰(zhàn)持續(xù)加大。因此在2024年,積極主動(dòng)的企業(yè)需要在維護(hù)現(xiàn)有的網(wǎng)絡(luò)安全認(rèn)證(比如SOC 2和ISO)基礎(chǔ)上,進(jìn)一步擴(kuò)大這些外部驗(yàn)證的數(shù)量,以證明可信度。企業(yè)如果能夠通過有效的安全合規(guī)運(yùn)營確保遵守行業(yè)公認(rèn)的網(wǎng)絡(luò)安全框架來證明其可信度,就會(huì)更順暢地實(shí)現(xiàn)盈利。企業(yè)的合規(guī)審計(jì)委員會(huì)將與業(yè)務(wù)部門負(fù)責(zé)人更緊密合作,展示本企業(yè)值得信賴的網(wǎng)絡(luò)安全實(shí)踐。如果在銷售周期的早期主動(dòng)分享這些細(xì)節(jié),企業(yè)可以避免耗時(shí)的TPRM問卷調(diào)查,并加快合規(guī)進(jìn)度。同時(shí),遵守網(wǎng)絡(luò)安全實(shí)踐也是吸引和留住頂尖人才的關(guān)鍵因素。
預(yù)測(cè)2. 第三方供應(yīng)商和服務(wù)提供商需要為企業(yè)分擔(dān)更多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
2024年,企業(yè)應(yīng)該將盡可能多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)合法轉(zhuǎn)移給供應(yīng)商和服務(wù)提供商。這將包括與網(wǎng)絡(luò)安全和隱私相關(guān)的業(yè)務(wù)風(fēng)險(xiǎn),特別是未經(jīng)授權(quán)披露、更改或銷毀企業(yè)的機(jī)密信息。這個(gè)策略將充當(dāng)限制潛在法律責(zé)任和控制成本的一種手段。
預(yù)測(cè)3. 企業(yè)網(wǎng)絡(luò)安全信息披露程序需要重新評(píng)估
2023年,行業(yè)監(jiān)管機(jī)構(gòu)對(duì)企業(yè)合規(guī)信息披露提出了一些新的要求,旨在進(jìn)一步增強(qiáng)投資者對(duì)企業(yè)網(wǎng)絡(luò)安全成熟度的信任。在2024年,我們會(huì)看到企業(yè)向其合作伙伴傳達(dá)以上立場(chǎng)以及市場(chǎng)和監(jiān)管機(jī)構(gòu)對(duì)此的反應(yīng)。
預(yù)測(cè)4. 企業(yè)對(duì)網(wǎng)絡(luò)安全合規(guī)運(yùn)營的投入將繼續(xù)增加
2024年,企業(yè)需要繼續(xù)認(rèn)識(shí)到對(duì)合規(guī)運(yùn)營進(jìn)行投入的必要性。由于收集和測(cè)試控制合規(guī)運(yùn)營的證據(jù)可能很耗費(fèi)人力,為了大范圍執(zhí)行,企業(yè)必須實(shí)現(xiàn)自動(dòng)化。鑒于這些挑戰(zhàn),對(duì)合規(guī)運(yùn)營加大投入將是企業(yè)組織正確的選擇。為提升合規(guī)運(yùn)營能力提供自動(dòng)化技術(shù)支撐,可以博得投資者和公眾的信任,同時(shí),自動(dòng)化系統(tǒng)也可以比人工方法更高效地進(jìn)行合規(guī)風(fēng)險(xiǎn)審計(jì)與防護(hù)。
預(yù)測(cè)5. CISO將被視為業(yè)務(wù)合規(guī)風(fēng)險(xiǎn)防護(hù)顧問,而不僅是網(wǎng)絡(luò)安全的責(zé)任人
2024年,CISO會(huì)在更多的組織中,被視為業(yè)務(wù)風(fēng)險(xiǎn)防護(hù)的顧問,而不僅僅是風(fēng)險(xiǎn)的管理者和責(zé)任人。企業(yè)會(huì)更嚴(yán)格地審視CISO如何就潛在的數(shù)字業(yè)務(wù)風(fēng)險(xiǎn)向業(yè)務(wù)系統(tǒng)所有者提供建議,并幫助他們?yōu)榻鉀Q這些風(fēng)險(xiǎn)做出決策。比如說,CISO的安全運(yùn)營團(tuán)隊(duì)需要能夠識(shí)別并強(qiáng)調(diào)與勒索軟件風(fēng)險(xiǎn)加大導(dǎo)致的相關(guān)潛在業(yè)務(wù)風(fēng)險(xiǎn)。然后向業(yè)務(wù)部門及時(shí)闡述,并與業(yè)務(wù)負(fù)責(zé)人一起量化描述該風(fēng)險(xiǎn)的潛在影響。然后,企業(yè)管理者需要決定采用額外的控制措施、接受風(fēng)險(xiǎn),還是考慮將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方或網(wǎng)絡(luò)保險(xiǎn)企業(yè)。
預(yù)測(cè)6. 合規(guī)監(jiān)管或?qū)袮I推向幻滅低谷
近年來,社會(huì)對(duì)AI的前景抱有過高的期望。Gartner炒作周期的下一個(gè)階段是“幻滅低谷”,這倒不是由于技術(shù)限制。數(shù)據(jù)顯示,企業(yè)組織的CISO們已經(jīng)普遍預(yù)測(cè)2024年的預(yù)算將持平或減少,而AI被一些人譽(yù)為可以花更少的錢做更多的事,這可能進(jìn)一步引導(dǎo)企業(yè)將有限的資金用在像AI這樣的賦能技術(shù)上。但實(shí)際上,如果一家服務(wù)商聲稱其產(chǎn)品實(shí)現(xiàn)了神奇的AI應(yīng)用,就需要準(zhǔn)備向監(jiān)管部門解釋具體是什么類型的AI產(chǎn)品,而不只是貼上一個(gè)AI的標(biāo)簽。AI技術(shù)號(hào)稱是網(wǎng)絡(luò)安全領(lǐng)域的下一大熱點(diǎn),但CISO已經(jīng)厭倦了將AI作為產(chǎn)品推銷的噱頭,公共監(jiān)管部門也開始對(duì)各種AI噱頭展開調(diào)查,這些因素可能導(dǎo)致企業(yè)在2024年對(duì)AI技術(shù)應(yīng)用幻想迅速破滅。
原文來源:安全牛
在此背景下,企業(yè)會(huì)竭力將數(shù)據(jù)處理或存儲(chǔ)以及相關(guān)風(fēng)險(xiǎn)轉(zhuǎn)移給第三方供應(yīng)商或服務(wù)商,盡量減少對(duì)自身的合規(guī)風(fēng)險(xiǎn)。由于國家監(jiān)管層面的數(shù)據(jù)法規(guī)數(shù)量激增,隱私法律層出不窮,試圖使用這種策略的企業(yè)可能會(huì)發(fā)現(xiàn)很復(fù)雜。盡管數(shù)字化發(fā)展中的安全風(fēng)險(xiǎn)無法從根本上消除,但可以降低到企業(yè)可以接受的程度。
2024年,企業(yè)組織需要重新評(píng)估網(wǎng)絡(luò)安全相關(guān)信息的披露程序,確保用于披露數(shù)據(jù)的完整性和來源。在企業(yè)內(nèi)部,組織必須隨時(shí)準(zhǔn)備向內(nèi)部審計(jì)委員會(huì)展示其工作。在企業(yè)外部,組織則需要確保新的風(fēng)險(xiǎn)披露聲明與公認(rèn)的相關(guān)行業(yè)術(shù)語相一致,這樣才可以方便利益相關(guān)者了解企業(yè)如何管理其獨(dú)特的安全和隱私風(fēng)險(xiǎn)及機(jī)會(huì)。
但這并不意味著AI投資將會(huì)枯竭,有效的AI技術(shù)會(huì)得到最終用戶和買家的信任。企業(yè)中適當(dāng)使用AI還能帶來其他方面的好處。如果企業(yè)能夠負(fù)責(zé)任、切實(shí)地利用AI技術(shù),2024年將大有可期。