网络安全注意事项 2024技术创新需要战略实用主义。毕马威国际 kpmg. com / cyberconsiderations 网络安全注意事项 20242© 2024 版权所有由一个或多个毕马威国际实体拥有。毕马威国际实体不向客户提供服务。保留所有权利。满足客户 期望,提高信任嵌入网络安全和隐私 ， 为好导航模糊的全局边界实现供应链安全现代化释放 AI 的潜力 - 小心具有自动化功能的增压安全性让身份变得个人化 ， 而不是机构化使网络安全与组织弹性保持一致2024 年网络战略前言随着 2024 年的发展 ， 从首席执行官到首席执行官的组织领导者都有很多工作要做。他们正在应对各种挑战 ， 例如实现持续增长 ， 应对新兴技术的影响和风险 ， 以及吸引和留住人才。就他们而言 ， 首席执行官信息安全官员 （ CISO ） 越来越被视为这些正在进行的业务要务的积极主动的共同管理者 ， 而不仅仅是在危机中拯救一天的骑兵领袖。在我们的年度网络安全注意事项报告中 ， 毕马威全球网络安全专家的不同横截面探讨了八个考虑事项 ， 鼓励 CISO 及其团队在来年优先考虑这些事项 ， 以通过减轻特定网络事件的影响和减少整体网络风险暴露来支持组织的业务增长目标。全球组织面临许多网络安全挑战，需要实施控制措施以构建和嵌入弹性，满足监管要求并降低整体风险。然而，人工智能 （ AI ） 作为合法和邪恶目的的战略工具的迅速出现正在迅速上升。人工智能的民主化 — — 这些先进的技术解决方案和模型现在基本上可以通过云计算向任何拥有信用卡的人提供 — — 立即揭示了价值创造的新路径，并暴露了巨大的潜在风险。人工智能被证明是一个真正的组织游戏规则改变者，包括安全团队。这种不断变化的威胁格局要求组织及其 CISO 通过新的 ， 更务实的视角来看待安全性。他们比以往任何时候都必须在数据安全和隐私与更广泛的业务目标之间取得平衡。从网络安全的角度来看，社会，经济，政治和监管发展的影响在当今全球范围内更加一致。原因很简单，就是世界联系更加紧密。互联商业生态系统最严重的影响仍然是在全球供应链中 — — 实际上，世界上几乎没有任何地区是孤立的。但是 ， 仍然存在当地的细微差别。例如 ， 企业必须遵守的监管要求保持独特的地区性 ， 例如某些市场对个人数据保护更加敏感 ， 以及围绕负责任的 AI ， 关键基础设施和供应链的新规则。网络安全领域的全球重点是总体上的合规性 ， 并对监管的总体负担以及各种报告要求的多样性进行了细致的关注。因此 ， 公司越来越重视在遵守广泛的跨境监管要求和制度的方式中嵌入隐私和安全性。当涉及到构建和管理负责任的人工智能系统、确保客户隐私以及制定关于关键基础设施、供应链、智能产品和弹性的指导方针时 ， 这一点尤其令人感兴趣。 网络安全注意事项 20243© 2024 版权所有由一个或多个毕马威国际实体拥有。毕马威国际实体不向客户提供服务。保留所有权利。满足客户 期望,提高信任嵌入网络安全和隐私 ， 为好导航模糊的全局边界实现供应链安全现代化释放 AI 的潜力 - 小心具有自动化功能的增压安全性让身份变得个人化 ， 而不是机构化使网络安全与组织弹性保持一致2024 年网络战略同时，随着组织应对经济不确定性，网络安全预算可能必须更加客观地合理。许多 CISO 看到预算固定，不一定减少，因为其中一些支出被转移到组织创新上，特别是人工智能和自动化解决方案。这一值得注意的发展要求安全团队参与技术合理化和预算优化 - 本质上是用更少的钱做更多的事情。尽管经济逆风推动了预算压力 ， 但越来越多的人认为网络安全已经成熟到组织可以削减投资的地步。此外 ， 安全功能现在已嵌入其他 IT 中和转型预算 ， 而不是中央预算拨款。此外 ， 向基于云的安全即服务方法的转变将安全成本嵌入到公司更广泛的运营支出中 ， 这是我们以前从未见过的。在这种环境下 ， 我鼓励 CISO 加强其网络风险量化 （ CRQ ） 过程 ， 该过程有助于使用数学建模以金融术语表达网络安全风险的影响 ， 以通过可测量的变量来说明风险。1通过 CRQ 视角看待风险可以有效地向领导层展示投资回报和投资优先事项和董事会 ， 确保组织从技术和财务角度了解威胁。从根本上说 ， 本报告从各个角度探讨了整个企业高管的核心愿望 ： 保持他们的最重要的是 ， 如果发生数据泄漏或网络泄露 ， 组织可以多快恢复正常运营 ， 以及如何将对客户的影响降至最低 ？这是复原力议程的象征 ， 可以在许多最近提出的法规中看到 ， 特别是那些侧重于关键基础设施部门的法规。在许多情况下 ， 现在的重点是应对和恢复 ， 以及减轻对客户的伤害。与传统观点相比 ， 这是一个不同的视角。网络安全必须被视为一项不断发展的持续努力。组织接受网络事件不可避免但可管理的越多 ， 他们在准备和弹性之间实现平衡的机会就越大。Akhilesh Tuteja全球网络安全领导者毕马威国际1Forrester,2022 年第四季度网络风险量化格局， 2022 年 11 月 29 日。 网络安全注意事项 20244© 2024 版权所有由一个或多个毕马威国际实体拥有。毕马威国际实体不向客户提供服务。保留所有权利。满足客户期望 ， 提高信任度01随着网络威胁和数据隐私问题的增加 ， CISO 应该寻求与整个组织的利益相关者密切合作 ， 通过确保运营在发生事故时具有弹性来保持信任。02嵌入网络安全和隐私 ， 为好在整个组织中嵌入安全性的行为应被视为推动卓越运营的一种实践。2024 年的八个关键网络安全考虑单击每个考虑因素以了解更多信息。导航模糊全局03边界各组织的一个中心考虑应研究如何最有效地应对日益复杂的全球业务环境 ， 以确保弹性和业务连续性。实现供应链安全现代化04尽管存在挑战和相互竞争的优先事项 ， 但确保供应商和合作伙伴生态系统的安全不应该是瓶颈 ； 它应该是一个业务推动者。05释放 AI 的潜力 - 小心安全和隐私领导者应该支持依赖人工智能的业务目标 ， 并确定如何有效和负责任地利用这一改变游戏规则的技术。增压安全与0fb自动化随着运营模式的数字化 ， 安全性团队应该自动化和升级他们的流程以跟上步伐。让身份变得个人化 ， 而不是机构化07在不断扩展的商业模式的推动下 ， 组织现在查看身份至关重要不是孤立的 ， 而是从广泛的角度来看。使网络安全与08组织弹性组织应该找到一种方法来创建在整个企业中建立广泛的弹性安全文化 ， 并寻求确保所有利益相关者都在同一页面上。 网络安全注意事项 20245© 2024 版权所有由一个或多个毕马威国际实体拥有。毕马威国际实体不向客户提供服务。保留所有权利。嵌入网络安全和隐私 ， 为好导航模糊的全局边界实现供应链安全现代化释放 AI 的潜力 - 小心具有自动化功能的增压安全性让身份变得个人化 ， 而不是机构化使网络安全与组织弹性保持一致2024 年网络战略审议事项 1 满足客户期望 ， 提高信任度在如何使用视频和音频文件创建深度假货方面 ， 增加信任应该是网络议程上的重中之重 ， 其影响可能对隐私甚至民主造成严重影响。Mika Laaksonen合作伙伴全球网络安全 ESG 领导者毕马威在芬兰消费者、员工、供应商 — — 每一个企业利益相关者 — — 都期望企业追求增长和利润。公司也将以对社会负责的方式运作。组织应加强安全和隐私与环境、社会和治理 (ESG) 因素之间的联系。这种联系在整个商业生态系统中得到了越来越多的认可，特别是 ESG 评级服务机构在衡量和比较组织时寻求更大的透明度。满足客户期望 ， 提高信任度 网络安全注意事项 20246© 2024 版权所有由一个或多个毕马威国际实体拥有。毕马威国际实体不向客户提供服务。保留所有权利。嵌入网络安全和隐私 ， 为好导航模糊的全局边界实现供应链安全现代化释放 AI 的潜力 - 小心具有自动化功能的增压安全性让身份变得个人化 ， 而不是机构化使网络安全与组织弹性保持一致2024 年网络战略ESG 的重要性以及安全性和隐私如何融入大局根据毕马威 2023 年首席执行官展望 ， 69% 的首席执行官将 ESG 嵌入其业务中 ，一种创造价值的手段 ， 50% 的人预计在未来三到五年内从这些努力中获得可观的回报。尽管 ESG 议程的环境方面受到了最多的关注 ， 但网络安全和隐私等治理要素却不那么完善。随着网络威胁和数据隐私问题的增加 ， CISO 需要与 ESG 同行密切合作 ， 以确保在一个事件 ， 操作是弹性和连续性计划准备激活。通过将网络和隐私考虑因素嵌入到社会责任计划中 ， 并保护客户数据 ， 组织可以增加维护其声誉和客户之间信任的机会 ， 即使在发生重大违规的情况下也是如此。对于与公共和私人服务提供商共享个人信息的消费者 ， 有一个期望他们的数据将受到保护 ， 并且不会用于他们提供的目的以外的其他目的。同时 ， 人们期望 ， 在追求其业务目标的过程中 ， 组织将以对社会负责的方式采取行动 ， 减少其碳足迹 ， 支持其当地社区 ，改善劳工政策 ， 确保工作场所的多样性和平等 ， 仅举几例。特别是解决网络安全和隐私问题，以及广泛的 ESG 已经成为顶级公司，进而成为 CISO 的优先事项。针对特定地区和行业有不同的规定，这些准则需要建立信任。从合规性的角度来看，这一点很重要，但也值得注意，因为 B2B 客户和 B2C 消费者有不同的期望，直接受到各种规则的影响。如果个人消费者对提供商在个人数据 ， 隐私和对违规行为的回应方面的行为不满意 ， 则可以购买替代产品或服务。实际上 ， 有 82 ％ 的人更喜欢品牌的价值观与自己的价值观保持一致 ， 而有 75 ％ 的人表示 ， 他们会因为价值观冲突而放弃品牌。2如果有选择 ， 大多数消费者更喜欢通过遵守 ESG 标准来优先考虑安全性、隐私性和可持续性的公司。在 B2B 方面尤其如此 ， 企业客户重视保护其机密数据和知识产权。越来越多的行业对网络安全和数据隐私有监管要求 ， 遵守这些法规的组织受到利益相关者的青睐。3 对于许多在 B2B 行业运营的组织来说 ， 这不仅仅是一个 “很好的选择 ” ， 监管义务直接从受监管行业的公司流向他们的供应商 ， 如果品牌经历了重大的网络事件 ， 他们可能会被协会玷污。事实上 ， 大约三分之二的消费者会为可持续产品支付更多费用 ， 尽管三分之二的零售高管怀疑他们是否会支付更多费用。4然而 ， 虽然消费者可能可以为安全、隐私和社会责任支付额外费用 ， 但这些因素目前是 “桌子赌注 ” ， 成本做生意 ， 尽管他们很可能迟早触及底线。In cases involving private equity or venture capital, the ethical lens through which these firms views view their investments is worth notice. Many now look for assurance of the appropriate level of cleavity和隐私管理。最终 ， 他们担心网络事件可能给他们注入资金的组织带来的品牌损害。网络在 AI 和数据伦理方面发挥着越来越大的作用。确定用于训练 AI 算法的数据是准确的 ， 没有被破坏 ， 并且没有偏见是一项艰巨的任务 ， 也许最终是不可能的任务 ， 但值得付出努力。Caroline Rivett合作伙伴全球网络安全生命科学领导者毕马威在英国2 Google Cloud ， “新的研究表明 ， 消费者比以往任何时候都对品牌价值更感兴趣 ” ， 2022 年 4 月 27 日。3 毕马威 ， ESG 中的网络安全,4 宾夕法尼亚大学第一洞察 / 沃顿商学院 ， “消费者和零售高管之间的可持续性断开 ” ， 2022 年 1 月。满足客户期望 ， 提高信任度 网络安全注意事项 20247© 2