1.數據
現代公司每天都會生成和管理海量數據,由于數據是決策和競爭優勢的核心,其突然中斷或不可用可能會對業務造成嚴重影響。
安全團隊應該問自己的一些基本問題包括:我們如何管理和保護數據的保密性、完整性和可用性等方面?我們可以采用哪些策略來保護我們的數據免受網絡威脅和濫用?我們如何應對隨著數據存儲庫的擴展而出現的安全挑戰?我們如何區分有價值的數據和冗余信息?
此外,在數據的結構與業務框架之間經常存在錯位,因此,安全團隊可能需要與業務部門進行討論,以澄清我們如何應用數據等問題,這些數據是與誰共享的?誰對此負責?誰負責制定有關數據安全的決策?是信息安全團隊、CEO、董事會,還是共同努力?
2.AI
雖然AI技術并不新鮮,但最近AI的廣泛采用給公司帶來了無數的業務和安全挑戰。需要考慮的關鍵問題包括:我們如何監控公司內的AI使用情況?我們如何監管員工與AI系統共享的數據?我們如何確保持續遵守道德標準和法律要求?
數據是AI的基石。我們如何為AI系統提供足夠的數據,同時確保這些數據是安全、合乎道德和透明的?我們如何保護AI數據和算法免受威脅參與者的操縱?安全團隊需要對所有與AI相關的風險保持警惕,包括道德擔憂。盡管存在這些挑戰,但AI為旨在發展和增強其商業模式的公司提供了重要的機會。
2024年,公司董事會可能會在監督AI在整個公司的安全部署方面發揮核心作用,這一場景為安全團隊提供了一個與業務目標緊密結合、站在AI革命前沿并與管理團隊一起積極參與關鍵業務決策的絕佳機會。
3.法規
安全正在迅速發展,管理它的法規也在迅速發展。在接下來的12個月里,將引入、更新或審查幾項法規,例如,GDPR可能會在2024年導致嚴格的增援,數字運營彈性法案(DORA)將于2025年1月適用于整個歐盟的金融實體,歐盟AI法案可能會投票通過。
鑒于這些發展,公司必須對其運作所在司法管轄區的法規有一個全面的了解,這方面的知識對于主動建立必要的程序和框架至關重要,因為一旦這些規定得到執行,追溯性地適應它們將是一項挑戰。因此,在2024年保持領先于這些法規是當務之急,因為不遵守可能會導致嚴重的法律、財務和聲譽后果。
網絡安全領導者如何應對這些安全挑戰?
以下是網絡安全領導人可以納入2024年網絡安全規劃的四項風險管理倡議:
1.用商業術語交流問題
網絡安全領導人提出問題的方式要引起商界領袖的共鳴,這一點至關重要。CEO們通常更傾向于避免技術細節,他們關心的是技術將如何影響業務,以及它是否與總體目標保持一致,它會滿足利益相關者的期望嗎?除了技術方面,還有哪些財務、運營和經濟因素方面的風險?
2.建立明確的風險承受水平
對于與管理團隊一起工作的安全領導者來說,定義公司對網絡損失的風險容忍度至關重要,這與其他風險類型類似,例如,使用GenAI的風險容忍度是多少?誰負責做出這個決定?哪些法規是相關的,這將如何影響我們披露的信息?
3.實施強有力且切實可行的應對計劃
高管團隊和董事會尋求保證,它們需要對公司已為意外危機做好準備的信心,確保整個公司對情況有全面的認識,并確認對活動的警惕監測正在進行中,他們需要得到保證,確保基本的網絡保護措施得到實施,并準備好在發生安全事件時啟動全面記錄和定期演練的業務連續性和響應計劃。
4.提高認識,在員工隊伍和供應鏈中培養責任感
近年來,工作性質發生了重大變化,需要更新安全政策和程序,以反映這些變化。公司必須明確說明數據收集和使用的責任,與利益相關者進行協作和透明的交互,并確保每個人都了解他們在保護業務方面的作用。同樣,將相同的安全原則和程序擴展到代表父公司處理數據的第三方和供應鏈合作伙伴也是至關重要的。
總而言之,我們面臨著三個將繼續增加復雜性和挑戰的關鍵領域:數據、AI和監管。人們越來越期待安全團隊和業務運營之間更緊密的接觸,再加上董事會越來越擔心自己的個人責任。如果安全領導者專注于這些威脅管理計劃,他們可以極大地幫助降低風險,并為建立面向未來的彈性公司做出貢獻。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號