2024网络安全重要趋势
2024网络安全重要趋势技术创新离不开务实战略毕马威国际kpmg.com/cyberconsiderations 这种愈演愈烈的威胁态势要求企业及其首席信息安全官必须从一种全新的、更为务实的角度来看待安全问题。如今,他们越发需要在数据安全、隐私与更宽泛的业务目标之间取得平衡。随着世界各地间的联系越来越紧密,全球范围内已经几乎不存在与世隔绝的区域。全球范围内的社会、经济、政治和监管变化对网络安全的影响也日趋一致。该趋势所带来的最显著的影响体现在全球供应链中。但是,世界各地的情况仍存在诸多细微差别。例如,世界各地的监管规定仍具有独特的区域性特征,如某些市场对个人数据的保护要求更为严格,或围绕人工智能、关键基础设施和供应链推出的全新法规要求。在网络安全领域,全球普遍关注网络安全的合规性,重点聚焦在监管管控要求以及报告要求的多样性。因此,企业在探究如何遵守各种跨境监管要求和制度时,更加重视隐私和安全因素。监管合规要求是企业在构建和管理人工智能系统、保障客户隐私以及围绕关键基础设施、供应链、智能产品和业务韧性制定指导方针时的重要参考。踏入2024年之际,企业的领导者们肩负着诸多责任,他们需努力应对各种挑战,包括推动企业持续增长、应对新兴技术带来的影响和风险,以及吸引和留住各类人才等。企业也意识到首席信息安全官(CISO )应积极参与达成这些业务要求,而非仅在危机时刻解决问题。毕马威全球各领域的网络安全专家共同探讨了企业首席信息官在2024年需优先聚焦的网络安全八项要素,并形成毕马威年度《网络安全趋势》报告,为企业首席信息安全官及网络安全团队提供网络安全趋势,以期通过减轻特定网络安全事件影响和降低整体网络风险敞口来帮助实现企业的业务增长目标。随着数字化时代的演进,全球各地的企业均面临许多网络安全挑战,企业需要实施控制措施以构建业务韧性,满足监管要求,并降低整体风险。而人工智能(AI) 作为一种战略工具,无论是用于合法目的还是不当目的,其影响正迅速上升。人工智能的普及(目前通常只需一张信用卡就可以通过云端使用这些先进的技术解决方案和模型)提供了价值创造的新途径,但与此同时也随之带来了大量的潜在风险。人工智能正成切实对企业的运营构成颠覆性影响,其中也包括安全团队。20242网络安全重要趋势©2024 () —( ) ——毕马威华振会计师事务所特殊普通合伙中国合伙制会计师事务所及毕马威企业咨询中国 有限公司中国有限责任公司,均是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有,不得转载。在中国印刷。前言谨慎挖掘人工智能潜力通过自动化增强安全性以个体而非机构的维度进行身份管理使网络安全与业务韧性保持一致2024年度网络安全战略实现供应链安全现代化满足客户期望,赢得更多信任将网络安全和隐私合规无缝融入企业应对日益模糊的全球边界 与此同时,由于企业面临着各种经济不确定因素,网络安全领域的预算必须更加客观合理。许多首席信息安全官认为相关预算将与之前大致持平,并非一定会被调降,因为其中部分费用将被用于企业创新,尤其是人工智能和自动化解决方案等领域。这一显著变化要求安全团队须进行技术合理化及预算优化,以期达到降本增效的目的。在经济下行给企业预算带来压力的情况下,越来越多的人认为,网络安全领域已趋于成熟,企业可以削减相关投资。此外,安全职能已被纳入其他信息技术和业务转型预算中,而不再是一个独立的预算项目。另外,企业转用基于云的安全即服务模式,也使安全成本以前所未见的方式纳入到涵盖范围更广的企业运营费用之中。有见及此,我们建议首席信息安全官应加强网络风险量化(CRQ )流程,通过数学建模利用可度量的变量1来阐明相关风险,以财务的维度揭示网络安全风险的影响。从网络风险量化的角度来审视风险,能够有效地向领导层和董事会展示投资回报和投资重点,以确保企业从技术和财务的双重角度了解相关威胁。本报告从多个角度探讨了企业领导者最为关心的问题,即如何确保企业韧性。当发生数据泄露或网络安全事件时,企业如何迅速恢复正常运作,以及如何将对客户的影响降至最低。许多近期出台的法规,特别是与关键基础设施领域相关的法规更多的提及了企业韧性。与传统安全视角相比,安全事件的响应和恢复以及减轻对客户造成的损害成为当下企业的侧重点。网络安全是一项不断变化的持续性工作。企业提高“网络安全事件不可避免但可管理“概念的认知度,将更好的协助企业在网络安全防护及网络安全事件响应和恢复之间取得平衡。AkhileshTuteja网络安全全球主管毕马威国际1 Forrester,《2022年第4季度网络风险量化概览》(The Cyber Risk Quantification Landscape, Q4 2022),2022年11月 29日©2024 () —( ) ——毕马威华振会计师事务所特殊普通合伙中国合伙制会计师事务所及毕马威企业咨询中国 有限公司中国有限责任公司,均是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有,不得转载。在中国印刷。2024网络安全重要趋势3谨慎挖掘人工智能潜力通过自动化增强安全性以个体而非机构的维度进行身份管理使网络安全与业务韧性保持一致2024年度网络安全战略实现供应链安全现代化满足客户期望,赢得更多信任将网络安全和隐私合规无缝融入企业应对日益模糊的全球边界 2024年应聚焦网络安全方面八个关键词请点击各项了解详情©2024 () —( ) ——毕马威华振会计师事务所特殊普通合伙中国合伙制会计师事务所及毕马威企业咨询中国 有限公司中国有限责任公司,均是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有,不得转载。在中国印刷。2024网络安全重要趋势4满足客户期望,赢得更多信任随着网络威胁和数据隐私问题愈发严峻,首席信息安全官应积极寻求与企业各利益相关者密切合作的机会,确保在发生事故时保持运营弹性,从而维护客户信任。0102将网络安全和隐私合规无缝融入企业将安全融入企业整体应被视为推动企业卓越运营的一项举措。应对日益模糊的全球边界对企业而言,应重点关注如何最有效地应对日益复杂的全球化业务环境,以确保具备业务韧性和连续性。0304实现供应链安全现代化尽管面临各种挑战和重点工作之争,但不应使保障供应商及合作伙伴业务生态体系安全成为制约因素,而应将其作为业务的推动因素。谨慎挖掘人工智能潜力安全和隐私领域的领导者应积极支持以人工智能为依托的各种业务目标,并关注如何有效及负责任地利用这项颠覆性技术。0506通过自动化增强安全性随着企业的数字化转型,安全团队必须对其流程进行自动化和升级,以跟上发展的步伐。08使网络安全与业务韧性保持一致企业应建立安全韧性的企业文化,并与所有利益相关者达成共识。以个体而非机构的维度进行身份管理随着业务模式的不断扩展,企业应从总体角度考虑身份管理,而不应进行割裂管理。07 当前存在利用视频和音频制作深度伪造文件的情况,这个问题可能会对隐私甚至民主产生重大影响,因此增强信任应成为网络安全工作的重要事项。MikaLaaksonen合伙人ESG 网络安全全球主管毕马威芬兰满足客户期望,赢得更多信任企业的利益相关者,包括消费者、员工、供应商在内的每一位均期望企业追求增长和利润。 然而,如今越来越多的企业也面临着以对社会负责任的方式运作的要求。企业应加强安全和隐私与环境、社会和治理(ESG )因素之间的联系。这种联系在整个业务生态系统中正日益得到重视,尤其是ESG评级机构,他们致力于寻求更高的透明度对企业进行衡量和比较。聚焦事项一©2024 () —( ) ——毕马威华振会计师事务所特殊普通合伙中国合伙制会计师事务所及毕马威企业咨询中国 有限公司中国有限责任公司,均是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有,不得转载。在中国印刷。2024网络安全重要趋势5应对日益模糊的全球边界实现供应链安全现代化谨慎挖掘人工智能潜力通过自动化增强安全性以个体而非机构的维度进行身份管理使网络安全与业务韧性保持一致2024年度网络安全战略将网络安全和隐私合规无缝融入企业满足客户期望,赢得更多信任 ESG 的重要性以及如何将安全和隐私纳入整体框架根据《毕马威2023 年全球首席执行官展望》所载,69% 的首席执行官已将ESG融入其业务,作为创造价值的一种方式,50%的首席执行官预计这方面的努力和投入将在未来三到五年内带来巨大回报。相较于ESG中与环境因素的备受关注,网络安全和隐私等治理因素却较少得到充分构建。随着网络威胁和数据隐私问题的日益严峻,首席信息安全官需要与ESG相关人员携手合作,以确保在发生安全事故时,企业运营具有良好的韧性,能够随时启动业务连续性计划确保业务的正常运行。通过将网络安全和隐私安全纳入社会责任计划并保护客户数据,企业能够更好地维护其声誉及客户信任,即便是在发生重大事故之时。对于向公共和私人服务提供商提供其个人信息的消费者而言,他们希望自己的个人信息受到保护,且不会被用于其他目的。与此同时,人们亦期望企业在追求业务目标的过程中,能够采取对社会负责任的措施减少其碳足迹,为当地社区提供帮助,完善劳工政策、并确保员工多样性及平等性。切实解决网络安全和隐私问题,广泛应对ESG 问题,已成为企业及企业首席信息安全官的重点工作。不同的地区和行业面临不同的监管规定,这些规定需要与消费者间建立信任。从合规性的角度来看,这一点十分重要,须加以重视,因为无论是B2B还是B2C,消费者的期望值均受到各种规定的直接影响因而各不相同。如果个人消费者对产品或服务提供商在个人信息、隐私数据以及违规处罚等方面的处理结果不满意,则可能选择购买其他产品或服务。实际上,82%的消费者更青睐与其价值观相一致的品牌;75%的消费者则表示会因为与品牌的价值观不合而放弃该品牌。2 在有选择的情况下,大多数消费者更倾向于选择那些遵守ESG 准则,优先考虑安全、隐私和可持续发展的企业。这一点在B2B领域尤为明显,这是因为企业客户非常重视保护其机密数据和知识产权。越来越多的行业被提出了网络安全和数据隐私相关的监管要求,能够遵循这些要求的企业更受利益相关方的青睐。3 对于许多B2B行业企业而言,这并非仅是“加分项”,更重要的是,监管义务会直接从受监管行业的企业扩大至供应商,如果企业遭遇重大网络安全事件,供应商因为合作关系亦可能会因此而蒙受损失。2Google Cloud,《新研究表明消费者比以往更关注品牌价值》(New research shows consumers more interested in brands’ values than ever ),2022年4月27日。3 毕马威,《ESG 领域的网络安全》(Cybersecurity in ESG ),2023年。4First Insight/ 宾夕法尼亚大学沃顿商学院,《消费者与零售企业高管的可持续发展分歧》(The Sustainability Disconnect Between Consumers and Retail Executives),2022年1月。事实上,大约有三分之二的消费者愿意为可持续产品支付更高的费用,尽管三分之二的零售企业高管对消费者是否真会如此持怀疑态度。4虽然消费者可能愿意为安全、隐私和社会责任支付额外费用,但这些因素目前仍是“筹码”(即成本),这些“筹码”将很快初级消费者的底线。对于涉及私募股权或风险投资的案例中,企业看待投资的道德视角尤为值得注意。如今,许多投资者注重于企业对于网络安全和隐私管理的能力,其原因是,投资者担心网络安全问题可能会对他们所投资的企业造成品牌损害。网络安全在人工智能和数据伦理方面发挥着越来越重要的作用。确保用于训练人工智能算法的数据准确无误、未被篡改且不存在偏见是一项艰巨的任务,也或许最终成为不可能完成的任务,但仍然非常值得我们为之付出努力。Caroli
