2024网络安全重要趋势

技术创新离不开务实战略 kpmg.com/cyberconsiderations 踏入2024年之际，企业的领导者们肩负着诸多责任，他们需努力应对各种挑战，这种愈演愈烈的威胁态势要求企业及其首席信息安全官必须从一种全新的、更 与此同时，由于企业面临着各种经济不确定因素，网络安全领域的预算必须更本报告从多个角度探讨了企业领导者最为关心的问题，即如何确保企业韧性。 请点击各项了解详情 将网络安全和隐私合规无缝融入企业 满足客户期望，赢得更多信任 ESG的重要性以及如何将安全和 Executives)，2022年1月。 积极将网络安全纳入ESG议程的 措施建议 与您企业的ESG团队进行沟通，确定他们是否将网络安全视为其一大职责。 如若不是，则应努力使其认识到网络安全对于ESG三个领域的重要性。 Cybersecurity in ESG （《ESG领域的网络安全》） 从同一维度审视ESG和网络安全 务实。有效确保网络安全不是让合作伙伴各行其是，而是在企业内部重构关系，激励企业内其他业务领域将安全融入其现有工作。 KPMG global tech report: ESG 增强企业在网络安全、ESG和隐私方面的全球监管情报工作，以确保及时满足合规要求和报告要求；密切关注和洞悉不断发展的监管法规及其对企业网络安全工作的影响。 （《毕马威全球技术报告：ESG领域》） 企业如何以技术为契机实现ESG目标 Road to readiness （《求“证”之路》） 2023年毕马威环境、社会与治理鉴证成熟度指数报告 如今，无论是首席信息安全官还是其领导的团队，在安全方面均扮演着与以往截然不同的角色。企业的核心业务流程日益网络化。相应地，网络安全也正从由首席信息安全官集中管理，向联合管理模式转变。在联合管理模式中，首席信息安全官发挥着引领作用，负责建立框架，评估相关风险并提供落地支持。 从前端到后端，安全与企业各职能部门均密不可分。许多领导者都已意识到，将安全意识融入其独特的企业文化和业务流程极具价值。 业务模式和技术正不断演进，并 新的必备技能和能力 应在哪些领域应优先进行网络安全投资。 这对于须符合美国证券交易委员会（SEC）颁布的新网 措施建议 为董事会提供全新视角，使其了解可能会阻碍业务运营的因素，以及应该如何在不影响业务运营和客户体验的情况下管理此类风险。 KPMG 2023 CEO Outlook （《毕马威2023年全球首席执行官展望》） 全球超过1,300名首席执行官分享了他们对地缘政治学、办公室办公、ESG以及生成式人工智能的看法。 安全团队应确定将安全任务嵌入业务流程的方式和环节，而不是外包给第三方服务提供商，同时安全团队应监控安全任务确保安全任务的正确执行。 像管理企业一样去管理网络安全团队，即管理者应在一定程度上放松对企业其他部门安全工作的控制。 KPMG global tech report 2023 （《毕马威2023年全球技术报告》） 了解领导层如何自信从容应对不确定性，把握机遇创造价值。 （《信息技术未来展望》） 探索信息技术职能发展战略，帮助企业做好准备迎接云计算和人工智能时代的蓬勃发展。 符合监管机构相关要求的同时，在企业赋能和企业价值之间取得适当的平衡。 世界各地的企业正在日趋复杂的网络和隐私监管环境中开展业务。国家利益的不断演变，对信息主权、供应链安全、网络控制合规透明度、事件报告以及隐私等方面提出了多样化的监管要求。企业需要适应日益“无国界”化的世界，在调整其监管宝贝要求的同时也需要维持符合当地监管要求的安全控制措施。各企业应做好充分准备，以迅速应对不断变化的地缘政治形势以及各种不同的制裁规定。 全球企业概况：网络和隐私目 地缘政治发展要求企业具备相应的响应速度以及适用能力 在当前环境下，企业在某个市场所使用的工具和技术可能无法用于其他市场，因此在多地开展业务颇具挑战。 例如，部分企业可能会因为供应商决定不在部分国家或地区市场提供某些工具而受到影响。这种情况既是供应链问题，也是企业运营韧性问题，可能会严重影响企业的生产力。 如何最有效地应对日趋复杂的全球业务环境，以确保企业具备弹性以及业务连续性是企业必须仔细考虑的一个核心问题。要应对隐私和数据方面的挑战，企业就必须制定具体明确的治理计划，在存在严格制裁制度的司法管辖区开展业务时，此类治理计划可以协助企业迅速满足最低成熟度水平要求。 中国所采用的监管条例不同于欧盟，而欧盟所采用的相关监管条例亦有别于世界其他地区。这些监管条例在适用范围、个人信息定义、信息收集限制、问责规则以及基本法律框架等方面均存在差异。若不具备基于相关原则合理制定的企业愿景、战略、治理和策略计划，企业将面临越来越多的创新挑战，或面临发展落后的风险。 企业的政治化及其对安全的影响则是另一项需要关注的 参阅以下报告了解详情 尽管面临各种挑战和重点工作之争，但不应使保障供应商及合作伙伴业务生态体系安全成为制约因素，而应将其作为业务的推动因素。这方面并无任何捷径可走。这也突显出现代化的迫切需求，即如何在不影响质量的前提下，更快、更高效地利用最少的资源实现目标。这将是基于风险的思维方式与智能自动化驱动的数据驱动方法相结合后可以产生切实影响的地方。 许多企业当前对第三方和供应链安全的处理方法有悖于当今复杂且相互依赖的合作伙伴生态体系。传统模式是围绕第三方依据交易提供服务的假设建立的，这并不能反应当今复杂的应用编程接口（API）网络和依赖复杂的“软件即服务” 依赖关系所束缚的流程。建议企业应建立更多的战略供应商合作伙伴关系，同时 不断变化的供应链格局正在影响传统的安全模式 一直以来，第三方安全模型通常侧重于时间点评估。对经常使用的供应商软件组件开展持续监控和盘点，可以帮助首席信息安全官更好地了解供应商的安全架构并识别潜在风险。考虑到这一动态因素，首席信息安全官应制定更现代化的标准，以实现实时隔绝风险的目的。 为实现这一目标，首席信息安全官及其团队可能面临下列三大挑战： 第三方合作伙伴不断变化的风险状况 人工智能带来了各种潜在风险，包括数据 参阅以下报告了解详情 隐私保护领域。人工智能行业需要世界各地政府机构作出相应协调，各国家对于该行业不同的立法（某些国家的立法较其他国家更为严格）将会阻碍该行业的创新。 人工智能需要在创新需求与有效监管指引及限制之间取得平衡。 通过审慎规划和实施，人工智能将改变完成工作的方式、时间以及交付形式。当前所讨论的话题均围绕着生成式人工智能，但人工智能的许多其他分支（从机器人到机器学习）均在持续重塑各项业务。精确衡量人工智能技术固有的安全行、隐私行和伦理行影响并非易事，各企业正致力于建立框架为实施人工智能提供所需的风险管理和治理。 SylviaKlasovec Kingsmill隐私解决方案全球主管 人工智能当前的发展道路：监管限制措施有限，但机遇无所不在 案将在人工智能领域做出与欧盟《通用数据保护条例》（GDPR）在隐私保护方面相类似的贡献，并为该领域的蓬勃发展铺平道路。 首席信息安全官和其他高层领导者及其团队需为各 在快速推进人工智能创新与实施 措施建议 Privacy in the new world of AI 当务之急是关联并识别真正的威胁，并进行溯源发现问题的根本原因。此举有助于首席信息安全官和治理团队获得企业的风险视图，并揭示在哪些领域需要更多具备专业技能的人员。 自动化则能帮助安全团队明确工作的优先级。 越来越多的企业将系统迁移至云端，导致需要保 当前实施安全自动化的原因 自动化正不断改变整体安全格局 自动化技术对安全团队及业务在人员和技能方面的影响 针对上市公司的网络安全风险管理、策略和治理规范。 自动化技术增强了企业的安全流程，并使首席信息安全官能够优先考虑人力部署的最佳领域。由多个扫描程序源识别的安全漏洞大量涌现。当务之急是关联并识别真正的威胁，并进行溯源发现问题的根本原因。此举有助于首席信息安全官和治理团队获得企业的风险视图，并揭示在哪些领域需要更多具备专业技能的人员。自动化则能帮助安全团队明确工作的优先级。 SEC.gov，《 S E C出台上市公司网络安全风险管理 、 策略 、 治理和网络安全风险事件披露规则》，2 0 2 3年7月2 6日 。 显然，安全团队的工作将发生改变。人们将愈发关注涉及威胁评估、意识培训和业务协调等更具战略性的问题，而非执行可以由人工智能或预测分析引擎完成的重复性任务。 这项工作需要相关人员具备新的技能。例如，首席信息安全官及其团队必须着手探究大型语言模型的工作原理，训练方法和编程方法等。此外，还需要了解并熟练掌握与云技术、物联网和人工智能相关的安全概念。 措施建议 制定企业自动化的初始愿景和战略。明确企业的短期和长期安全目标，确保其与企业的业务优先级保持一致，并确定这些目标所需的安全保护类型。 Empowering security（《增强安全性》） 通过安全编排和自动化响应，为未来保驾护航。 识别企业可集中访问的数据，并制定自动化的持续控制监测计划，以提高企业三道防线的效率。 Building trust in cloud environments（《在云环境中建立信任》） 确定应自建或需要采购的工具，了解供应链合作伙伴如何通过自动化技术提高企业间的信任度，并在适当的情况下运用此类经验。 2023年毕马威云转型调查 Mastering a multi-cloud environment（《掌握多云环境》） 看到向联合式身份模型发展的趋势，这意味着，在不同领域需使用不同数字身份确保安全性的情况会逐步减少。 在当前环境下，正确识别与企业有业务往来之人的身份是安全领导者们最为关心的问题，这也是一个不断变化的目标。在过去的10到20年里，大部分企业均设计并实施了身份管理程序。安全专业人员的想法是：“如果自己实施这些管理程序，那么我就掌握了完全的控制权。”此类身份管理程序一定程度上施加了控制措施，但这种做法会导致权限控制的割裂，并增加了需要管理的身份的数量。从客户的角度来看，他们最终会拥有数十个或数百个与不同业务一一对应的身份。 与消费者互动的企业都会为消费者分配唯一的数字身份，如用户名和密码不同一样，数字身份的验证方法也不相同。从网络安全的角度来看，身份识别模型正在不断发生演变。大多数身份和访问管理（IAM）模型最初是为单个企业管理数字身份和用户访问权限而设计的。许多IAM模型当前正被重新构建，以涵盖联合、私有、公共或多重云端计算环境所需的弹性。此举将使个人用户，无论是作为客户还是员工，每次与新机构互动时，都无需再进行繁琐、费时的身份验证流程。 如今，B2C和B2B业务安全性之间的界线已逐渐变得模糊。虽然B2B用户访问的网络资源通常比B2C更多，但是这些用户都属于外部用户，这就使得企业在许多情况下会将两者进行合并以进行身份管理。 随着业务模式的不断扩大，企业已不能割裂地看待身份问题，而应从整体角度出发。这推动了身份模型的发展，使供应商和终端客户可以灵活地与多个部门开展互动，而不必每次都要经历复杂的身份验证流程。 消费者应对自身的数字身份具有控制权，使其数字身份能够在消费者和员工之间互相转换。 开发出一个数字身份具有高度保障的模型将使企业减少收集 、存储和处理更少的个人身份信息， 这对消费者而言无疑是一个积极的结果。 的情况会逐步减少。 密码模式的消失可能还需要数年时间才能实现，但我们正在朝着这个方向发展。 身份识别模型发展到以具备高保障水平的数字身份作为标准时，将使企业减少收集、存储和处理个人身份信息（PII），这对消费者而言无疑是一件好事。 深度伪造技术正在改变身份认证的格局 值得一提的是，区块链在身份管理方面所体现的价值。 分布式账本系统正越来越多地被用于开发有效的联合式身份模型。企业将安全基础设施与区块链技术相结