2024 网络安全最重要

技术创新需要战略实用主义。 毕马威国际kpmg. com / cyberconsiderations 同时，随着组织应对经济不确定性，网络安全预算可能必须更加客观地合理。许多CISO看到预算固定，不一定减少，因为其中一些支出被转移到组织创新上，特别是人工智能和自动化解决方 从根本上说，本报告从各个角度探讨了整个企业高管的核心愿望：保持他们的 最重要的是，如果发生数据泄漏或网络泄露，组织可以多快恢复正常运营，以及如何将对客 单击每个考虑因素以了解更多信息。 满足客户期望，提高信任度 嵌入网络安全和隐私，为好 全球网络安全ESG领导者毕马威在芬兰 消费者、员工、供应商— —每一个企业利益相关者— —都期望企业追求增长和利润。 公司也将以对社会负责的方式运作。组织应加强安全和隐私与环境、社会和治理(ESG)因素之间的联系。这种联系在整个商业生态系统中得到了越来越多的认可，特别是ESG评级服务机构在衡量和比较组织时寻求更大的透明度。 ESG的重要性以及安全性和隐私如何融入大 将网络安全积极嵌入ESG议程的社会效益 与您组织的ESG团队联系，以确定他们是否将网络视为其任务的关键方面。如果没有，请努力提高对ESG所有三个领域的重要性和重要性的认识。 ESG中的网络安全 是时候通过同样的视角来看待ESG和网络安全了。 要实用。有效的网络安全与其说是让业务合作伙伴以不同的方式做事，不如说是在整个企业中重新组织对话，以激励组织的其他领域将安全性注入到他们已经做的事情中。 毕马威全球技术报告：ESG 增强您在网络方面的全球监管情报，特别是ESG和隐私，以确保及时合规和报告；跟踪并熟悉不断增加的法规及其对您的网络工作的影响。 企业如何利用技术作为实现其ESG雄心的机会。 毕马威ESG保证成熟度指数2023。 安全，从CISO到整个团队，今天是一个非常不同的角色。网络正变得越来越嵌入核心业务 processes. That reality is being reflected in a move away from a centralization of网络安全in the CISO role to a federated model, in which the CISO is the conductor of the orchestra, establishing 框架，评估风险和提供实施支持。从前台到后台，安全性对于整个组织的每个功能都是不可或缺的，许多领导者现在都承认将安全思维整合到他们非常不同的业务文化和流程中的价值。 业务模式和技术不断变化并影响安全性 安全团队应该描述和展示“好”是什么样子，并激励整个企业的嵌入式安全专业人员朝着这一愿景进行管理。这是建立适当的护 无论您是制作小部件、提供服务还是创建信息，运营模式都越来 将安全性作为组织标准操作程序的一部分。CISO不安装补丁程序 NIS2指令，该指令要求成员国在2024年10月之前实施法律，以保护基本企业免受网络威胁。 安全专业人员必须提高他们的软技能，包括谈判、时间管理、倾听和网络等人际交往能力。十年或15年前，安全专业人员的80/ 20规则是 组织应优先考虑其网络安全投资。 安全团队必须承认，他们主要与非技术同事沟通，以使他们了解风险并采取相应行动。 CISO需要做什么才能保持相关性 80%的技术技能和20%的软技能。 如果CISO想要确保他们不仅仅被视为支持人员，他们必须适应修订后的80 / 20规则，根据该规则，沟通，建立信任，解决问题和冲突管理等当务之急与确保有效的安全运营中心一样重要。 大多数CISO都掌握了数据，应用程序和整体攻击面的安全隐患，但它们可以在人才，预算和跨组织政治方面真正与众不同。CISO了解如何在整个组织中工作，在保持合作伙伴角色的同时将安全性嵌入业务中，他们取得了最大的成功。安全团队必须深入了解业务部门正在计划的计划以及可以揭示的潜在新威胁载体。 今天，这个等式已经翻转了。如果CISO不能与高管领导层合作，讲述一个组织可以理解的故事，并连贯地定位想法以影响整个企业的行动，那么他们根本就不会成功。 CISO应该努力使用业务合作伙伴的语言，而不是深奥的网络语言。例如，不要谈论零日漏洞，高级持续威胁或安全编排，自动化和响应（SOAR）策略。这些术语对大多数不安全的同事来说毫无意义。相反，说，“如果这个计划不起作用，你将被切断这个或那个市场。如果我们不能成功地保护产品线，你就不能产生足够的收入，因为人们不会使用这些产品。. " 安全团队不需要采用恐吓战术。相反，他们需要采用基于业务支持和风险降低的新观点。CISO 美国证券交易委员会（SEC），“SEC通过了有关上市公司网络安全风险管理，战略，治理和事件披露的规则”，2023年7月26日。 欧洲议会，“NIS2指令：欧盟网络安全的高水平”，2023年8月2日。 为董事会带来新的视角，了解什么可能会扰乱业务，以及应该做些什么来管理这些风险，而不会影响运营和客户体验。 毕马威2023年CEO展望 超过1300位全球首席执行官分享了他们对地缘政治、回归办公室、ESG和生成AI的看法。 安全团队应确定如何以及在何处将某些安全任务嵌入业务与外包给第三方服务提供商，并监控这些任务以确保它们得到正确执行。 像企业一样运行网络团队，这意味着您必须从安全角度放弃对组织其他部门正在做的事情的一定程度的控制 毕马威全球科技报告2023 了解领导者如何通过自信地应对不确定性来确保价值。 了解提升IT功能的策略，并帮助组织在云和AI时代蓬勃发展。 同时确保他们站在监管机构的右边。 网络安全服务毕马威在美国 全球企业在日益复杂的网络和隐私监管空间中运营。国家利益正在发挥作用，导致对信息主权、供应链安全、网络控制合规性透明度、事件报告以及隐私的不同监管要求。 企业需要针对日益无国界的世界校准其监管报告，但也需要维护可根据当地要求定制的安全控制。组织需要做好准备，迅速应对不断变化的地缘政治和多样化的制裁要求。 全球商业格局：共同的网络和隐私目标 地缘政治动力的转移影响响应速度和适应性 在当前环境下，在多个地区开展业务具有挑战性，因为组织在一个市场中使用的工具和技术可能无法在其他市场中使用。例如，在中国部分地区，一些公司可能无法使用某些关键工具，因为由于供应商决定在中国市场交付，可用性可能受到限制。这是两者供应链和运营弹性问题，可能严重影响组织生产力。 组织必须研究的一个核心考虑因素是如何最有效地应对日益复杂的全球业务环境，以确保弹性和业务连续性。试图驾驭隐私和数据挑战需要一个明确的治理计划，当组织在具有严格制裁制度的司法管辖区运营时，该计划会迅速达到最低成熟度。 实际上，中国的法规与欧盟的法规采取了不同的方法，欧盟的法规与世界其他地区的法规不同。它们具有不同的范围，个人数据的定义，收集限制， 问责制规则和基本法律框架。如果没有强有力的基于原则的愿景、战略、治理和战术计划，组织将越来越面临创新或落后的风险。 业务的政治化及其对安全的影响是另一种需要记住的动力。例如，在美国，一些公司在政治上以一种或另一种方式倾斜，有时是基于其领导层的内部价值观，但通常是针对其目标客户群。随着乌克兰冲突的爆发，这一事态发展广为人知。 继续在俄罗斯经营或与俄罗斯做生意的公司对他们实施了制裁。 发现具有细分模型的公司能够更好地根据需要快速有效地切断区域运营。 从安全和IT的角度来看，细分或微细分的概念-公司可以通过细粒度的策略控制来管理数据中心或云环境中的工作负载，并限制横向威胁的传播-具有指导意义。具有整体网络的组织可以创建这些连接的细分，但又被防火墙隔开。我们 全球公司应该通过不同的视角来看待国家管辖权。例如，向欧洲以外的欧盟公民提供服务会激活GDPR要求。一般来说，公司需要清楚他们的业务所在地，他们依赖谁开展业务(即供应商)，市场 安全不应该是瓶颈；它应该是业务推动者。但是没有捷径。这提升了对现代化的迫切需求。你怎么能更快、更高效、用最少的资源做到这一点 在不影响质量的情况下？这就是基于风险的思维方式，与由智能自动化驱动的数据驱动方法相结合，可以产生切实的差异。 许多组织目前对第三方和供应链安全的方法与当今复杂和相互依赖的合作伙伴组织生态系统的现实并不一致。建立了传统模型 围绕第三方在交易基础上提供服务的假设。这种观点并不反映当今复杂的API和流程网络 毕马威美国网络安全服务董事总经理 鼓励组织建立更具战略性的供应商合作伙伴关系，专注于持续监控和管理这些供应商不断变化的风险状况，以加强运营弹性。 不断发展的供应链格局正在影响传统的安全模式 从历史上看，第三方安全模型侧重于时间点评估。持续监控和盘点经常使用的供应商软件组件可以帮助CISO更好地了解这些提供商的安全结构并识别潜在风险。考虑到这种动态，CISO应该为实时“集装箱化”风险敞口制定更现代的标准。 为了实现这一态势，我们看到了CISO及其团队面临的三个关键挑战： 第三方合作伙伴不断演变的风险状况 人工智能带来了各种潜在风险，从围绕 有不同的立法，根据这些立法，一些国家比其他国家更严格，从而抑制了创新。市场需要在创新需求与有效的监管指导和护栏之间取得平衡。 SylviaKlasovecKingsmill全球隐私解决方案领导毕马威国际和毕马威在加拿大的合作伙伴 通过仔细的计划和执行，人工智能将改变工作的方式、时间和由谁来完成。目前所有的讨论都是关于生成式人工智能的，但人工智能的许多其他分支，从机器人到机器学习，都在继续改变业务。校准这些技术固有的安全性，隐私和道德含义具有挑战性，组织正在寻求建立在实施AI时提供风险管理和治理的框架。 AI的当前路径：护栏有限，但机会比比皆是 重要的是允许全球监管机构和立法者 为人工智能发展建立有意义的指导方针的时间。《欧盟人工智能法案》是一个领先的例子。这项具有里程碑意义的立法准备为人工智能做欧盟通用数据保护条例(GDPR)在隐私方面所做的事情，为这一领域令人兴奋和负责任的进步铺平了道路。 CISO和其他高级领导者及其团队需要支持依赖AI的业务目标，并确定如何 对业务成果的关注以及培养员工和客户之间信任的需要，Specifically, and society, in general, has spirled a wide ethical debate around how AI can be controlled and deployed 有效和负责任地利用这种改变游戏规则的技术。与此同时，他们需要围绕可能在一段时间内基本上没有监督 在快速的AI创新与实施强大的隐私和安全措 使您的AI框架与当前标准保持一致，并通过调整组织中各个业务领导者的优先事项来开发可靠的AI治理 AI新世界中的隐私 并从那些对人工智能的成功有既得利益的人那里获得跨职能的支持。 如何通过隐私建立对AI的信任 确保AI算法的目的，无论是内部开发的还是外部开发的，都是明确定义和记录的，并且培训数据是相关的，适合于业务目标，并获得安全同意。 生成的AI模型-业务中的风险和潜在回报 队能够了解组织的广泛风险，并阐明我们需要更多具有专业技能的人力资源的地方。自动化为安全团队提供了知道优先考虑什么的奢侈。 网络安全服务毕马威在印度 企业越来越多地将系统迁移到云中，需要保护的数据量激增，越来越多的人远程工作并使用自己的设备访问公司网络。因此，网络攻击表面正在扩大，为CISO管理创建更多警报、误报和分类事件。安全运营中心(SOC)和那里有很多噪音。 没有足够的玻璃或人类来处理音量。CISO如何才能不断检测威胁，并感觉他们没有遗漏什么？他们需要收集、关联和升级需要响应的信号— —而且必须迅速完成。唯一的方法是通过自动化。 为什么在这个时刻自动化安全？ 数字议程正在以巨大的速度激增。同时，由于新数字技术的爆炸式增长，许多组织