1.数据
现代公司每天都会生成和管理海量数据,由于数据是决策和竞争优势的核心,其突然中断或不可用可能会对业务造成严重影响。
安全团队应该问自己的一些基本问题包括:我们如何管理和保护数据的保密性、完整性和可用性等方面?我们可以采用哪些策略来保护我们的数据免受网络威胁和滥用?我们如何应对随着数据存储库的扩展而出现的安全挑战?我们如何区分有价值的数据和冗余信息?
此外,在数据的结构与业务框架之间经常存在错位,因此,安全团队可能需要与业务部门进行讨论,以澄清我们如何应用数据等问题,这些数据是与谁共享的?谁对此负责?谁负责制定有关数据安全的决策?是信息安全团队、CEO、董事会,还是共同努力?
2.AI
虽然AI技术并不新鲜,但最近AI的广泛采用给公司带来了无数的业务和安全挑战。需要考虑的关键问题包括:我们如何监控公司内的AI使用情况?我们如何监管员工与AI系统共享的数据?我们如何确保持续遵守道德标准和法律要求?
数据是AI的基石。我们如何为AI系统提供足够的数据,同时确保这些数据是安全、合乎道德和透明的?我们如何保护AI数据和算法免受威胁参与者的操纵?安全团队需要对所有与AI相关的风险保持警惕,包括道德担忧。尽管存在这些挑战,但AI为旨在发展和增强其商业模式的公司提供了重要的机会。
2024年,公司董事会可能会在监督AI在整个公司的安全部署方面发挥核心作用,这一场景为安全团队提供了一个与业务目标紧密结合、站在AI革命前沿并与管理团队一起积极参与关键业务决策的绝佳机会。
3.法规
安全正在迅速发展,管理它的法规也在迅速发展。在接下来的12个月里,将引入、更新或审查几项法规,例如,GDPR可能会在2024年导致严格的增援,数字运营弹性法案(DORA)将于2025年1月适用于整个欧盟的金融实体,欧盟AI法案可能会投票通过。
鉴于这些发展,公司必须对其运作所在司法管辖区的法规有一个全面的了解,这方面的知识对于主动建立必要的程序和框架至关重要,因为一旦这些规定得到执行,追溯性地适应它们将是一项挑战。因此,在2024年保持领先于这些法规是当务之急,因为不遵守可能会导致严重的法律、财务和声誉后果。
网络安全领导者如何应对这些安全挑战?
以下是网络安全领导人可以纳入2024年网络安全规划的四项风险管理倡议:
1.用商业术语交流问题
网络安全领导人提出问题的方式要引起商界领袖的共鸣,这一点至关重要。CEO们通常更倾向于避免技术细节,他们关心的是技术将如何影响业务,以及它是否与总体目标保持一致,它会满足利益相关者的期望吗?除了技术方面,还有哪些财务、运营和经济因素方面的风险?
2.建立明确的风险承受水平
对于与管理团队一起工作的安全领导者来说,定义公司对网络损失的风险容忍度至关重要,这与其他风险类型类似,例如,使用GenAI的风险容忍度是多少?谁负责做出这个决定?哪些法规是相关的,这将如何影响我们披露的信息?
3.实施强有力且切实可行的应对计划
高管团队和董事会寻求保证,它们需要对公司已为意外危机做好准备的信心,确保整个公司对情况有全面的认识,并确认对活动的警惕监测正在进行中,他们需要得到保证,确保基本的网络保护措施得到实施,并准备好在发生安全事件时启动全面记录和定期演练的业务连续性和响应计划。
4.提高认识,在员工队伍和供应链中培养责任感
近年来,工作性质发生了重大变化,需要更新安全政策和程序,以反映这些变化。公司必须明确说明数据收集和使用的责任,与利益相关者进行协作和透明的交互,并确保每个人都了解他们在保护业务方面的作用。同样,将相同的安全原则和程序扩展到代表父公司处理数据的第三方和供应链合作伙伴也是至关重要的。
总而言之,我们面临着三个将继续增加复杂性和挑战的关键领域:数据、AI和监管。人们越来越期待安全团队和业务运营之间更紧密的接触,再加上董事会越来越担心自己的个人责任。如果安全领导者专注于这些威胁管理计划,他们可以极大地帮助降低风险,并为建立面向未来的弹性公司做出贡献。
企业网D1net(www.d1net.com):
国内主流的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号