安全資訊

在企業(yè)組織數字化轉型發(fā)展過(guò)程中，網(wǎng)絡(luò )安全合規運營(yíng)一直發(fā)揮著(zhù)重要的作用，是企業(yè)積極開(kāi)展網(wǎng)絡(luò )安全建設的主要驅動(dòng)因素之一。專(zhuān)家預測，網(wǎng)絡(luò )安全合規運營(yíng)工作在2024年將會(huì )迎來(lái)巨大變革，原因如下：

· 數字信任正日益成為企業(yè)組織和政府機構的基本性發(fā)展訴求；

· 行業(yè)監管機構對受監管實(shí)體組織的監管要求日益嚴格，但是對企業(yè)的合規運營(yíng)能力缺乏信任；

· 企業(yè)對第三方供應商的風(fēng)險管理歷來(lái)投入有限，但隨著(zhù)供應鏈安全事件日益頻發(fā)，企業(yè)將重新評估對第三方供應商的合規要求；

· 隨著(zhù)攻擊者開(kāi)始大量使用人工智能（AI），公眾對AI技術(shù)的安全合規使用逐漸失去信任。

由此看來(lái)，2024年將是企業(yè)網(wǎng)絡(luò )安全合規運營(yíng)的關(guān)鍵一年，企業(yè)應該加大對網(wǎng)絡(luò )安全合規運營(yíng)的投入來(lái)建立數字信任，并為數字化業(yè)務(wù)發(fā)展建立競爭優(yōu)勢。以下是安全專(zhuān)家對2024年網(wǎng)絡(luò )安全合規運營(yíng)發(fā)展變化的6個(gè)預測：

預測1. 網(wǎng)絡(luò )安全合規運營(yíng)會(huì )成為企業(yè)業(yè)務(wù)發(fā)展的驅動(dòng)因素

2023年，供應鏈安全和數據泄密對企業(yè)數字化業(yè)務(wù)運營(yíng)的挑戰持續加大。因此在2024年，積極主動(dòng)的企業(yè)需要在維護現有的網(wǎng)絡(luò )安全認證（比如SOC 2和ISO）基礎上，進(jìn)一步擴大這些外部驗證的數量，以證明可信度。企業(yè)如果能夠通過(guò)有效的安全合規運營(yíng)確保遵守行業(yè)公認的網(wǎng)絡(luò )安全框架來(lái)證明其可信度，就會(huì )更順暢地實(shí)現盈利。企業(yè)的合規審計委員會(huì )將與業(yè)務(wù)部門(mén)負責人更緊密合作，展示本企業(yè)值得信賴(lài)的網(wǎng)絡(luò )安全實(shí)踐。如果在銷(xiāo)售周期的早期主動(dòng)分享這些細節，企業(yè)可以避免耗時(shí)的TPRM問(wèn)卷調查，并加快合規進(jìn)度。同時(shí)，遵守網(wǎng)絡(luò )安全實(shí)踐也是吸引和留住頂尖人才的關(guān)鍵因素。

預測2. 第三方供應商和服務(wù)提供商需要為企業(yè)分擔更多的網(wǎng)絡(luò )安全風(fēng)險

2024年，企業(yè)應該將盡可能多的網(wǎng)絡(luò )安全風(fēng)險合法轉移給供應商和服務(wù)提供商。這將包括與網(wǎng)絡(luò )安全和隱私相關(guān)的業(yè)務(wù)風(fēng)險，特別是未經(jīng)授權披露、更改或銷(xiāo)毀企業(yè)的機密信息。這個(gè)策略將充當限制潛在法律責任和控制成本的一種手段。
在此背景下，企業(yè)會(huì )竭力將數據處理或存儲以及相關(guān)風(fēng)險轉移給第三方供應商或服務(wù)商，盡量減少對自身的合規風(fēng)險。由于國家監管層面的數據法規數量激增，隱私法律層出不窮，試圖使用這種策略的企業(yè)可能會(huì )發(fā)現很復雜。盡管數字化發(fā)展中的安全風(fēng)險無(wú)法從根本上消除，但可以降低到企業(yè)可以接受的程度。

預測3. 企業(yè)網(wǎng)絡(luò )安全信息披露程序需要重新評估

2023年，行業(yè)監管機構對企業(yè)合規信息披露提出了一些新的要求，旨在進(jìn)一步增強投資者對企業(yè)網(wǎng)絡(luò )安全成熟度的信任。在2024年，我們會(huì )看到企業(yè)向其合作伙伴傳達以上立場(chǎng)以及市場(chǎng)和監管機構對此的反應。
2024年，企業(yè)組織需要重新評估網(wǎng)絡(luò )安全相關(guān)信息的披露程序，確保用于披露數據的完整性和來(lái)源。在企業(yè)內部，組織必須隨時(shí)準備向內部審計委員會(huì )展示其工作。在企業(yè)外部，組織則需要確保新的風(fēng)險披露聲明與公認的相關(guān)行業(yè)術(shù)語(yǔ)相一致，這樣才可以方便利益相關(guān)者了解企業(yè)如何管理其獨特的安全和隱私風(fēng)險及機會(huì )。

預測4. 企業(yè)對網(wǎng)絡(luò )安全合規運營(yíng)的投入將繼續增加

2024年，企業(yè)需要繼續認識到對合規運營(yíng)進(jìn)行投入的必要性。由于收集和測試控制合規運營(yíng)的證據可能很耗費人力，為了大范圍執行，企業(yè)必須實(shí)現自動(dòng)化。鑒于這些挑戰，對合規運營(yíng)加大投入將是企業(yè)組織正確的選擇。為提升合規運營(yíng)能力提供自動(dòng)化技術(shù)支撐，可以博得投資者和公眾的信任，同時(shí)，自動(dòng)化系統也可以比人工方法更高效地進(jìn)行合規風(fēng)險審計與防護。

預測5. CISO將被視為業(yè)務(wù)合規風(fēng)險防護顧問(wèn)，而不僅是網(wǎng)絡(luò )安全的責任人

2024年，CISO會(huì )在更多的組織中，被視為業(yè)務(wù)風(fēng)險防護的顧問(wèn)，而不僅僅是風(fēng)險的管理者和責任人。企業(yè)會(huì )更嚴格地審視CISO如何就潛在的數字業(yè)務(wù)風(fēng)險向業(yè)務(wù)系統所有者提供建議，并幫助他們?yōu)榻鉀Q這些風(fēng)險做出決策。比如說(shuō)，CISO的安全運營(yíng)團隊需要能夠識別并強調與勒索軟件風(fēng)險加大導致的相關(guān)潛在業(yè)務(wù)風(fēng)險。然后向業(yè)務(wù)部門(mén)及時(shí)闡述，并與業(yè)務(wù)負責人一起量化描述該風(fēng)險的潛在影響。然后，企業(yè)管理者需要決定采用額外的控制措施、接受風(fēng)險，還是考慮將風(fēng)險轉移給第三方或網(wǎng)絡(luò )保險企業(yè)。

預測6. 合規監管或將把AI推向幻滅低谷

近年來(lái)，社會(huì )對AI的前景抱有過(guò)高的期望。Gartner炒作周期的下一個(gè)階段是“幻滅低谷”，這倒不是由于技術(shù)限制。數據顯示，企業(yè)組織的CISO們已經(jīng)普遍預測2024年的預算將持平或減少，而AI被一些人譽(yù)為可以花更少的錢(qián)做更多的事，這可能進(jìn)一步引導企業(yè)將有限的資金用在像AI這樣的賦能技術(shù)上。但實(shí)際上，如果一家服務(wù)商聲稱(chēng)其產(chǎn)品實(shí)現了神奇的AI應用，就需要準備向監管部門(mén)解釋具體是什么類(lèi)型的AI產(chǎn)品，而不只是貼上一個(gè)AI的標簽。AI技術(shù)號稱(chēng)是網(wǎng)絡(luò )安全領(lǐng)域的下一大熱點(diǎn)，但CISO已經(jīng)厭倦了將AI作為產(chǎn)品推銷(xiāo)的噱頭，公共監管部門(mén)也開(kāi)始對各種AI噱頭展開(kāi)調查，這些因素可能導致企業(yè)在2024年對AI技術(shù)應用幻想迅速破滅。
但這并不意味著(zhù)AI投資將會(huì )枯竭，有效的AI技術(shù)會(huì )得到最終用戶(hù)和買(mǎi)家的信任。企業(yè)中適當使用AI還能帶來(lái)其他方面的好處。如果企業(yè)能夠負責任、切實(shí)地利用AI技術(shù)，2024年將大有可期。

原文來(lái)源：安全牛