2025年网络安全考量

在由人工智能主导的商业环境中，网络安全的基础原则变得更加关键。 ：kpmg.com/cyberconsiderations 技术格局正在迅速演变，每天都有新的威胁出现。 近乎实时地作出回应。最重要的是，必须强调网络安全已变得无处不在，其范围已超越技术风险，涵盖更广泛商业威胁，同样影响行业和社会。 随着COVID-19大流行和远程工作安排的常态化，关注云和人工智能安全已成为首席信息安全官（CISO）的关键目标。 人才，以及始终悬而未决的技能差距，长期以来一直是关键，鉴于新兴技术以及所需的新颖且多样的技能。 身份认证已从传统IAM（身份与访问管理）这一重要但相对独立的职能，转变为零信任战略的核心，并成为识别数字身份和深度伪造（deepfakes）的手段。 弹性已成为一项贯穿始终且未来将保持至关重要的目标。 CISO们持续努力加强（安全防护），尤其是随着网络威胁已转变为影响广泛的企业威胁，这些威胁有潜力扰乱行业并对社会造成损害。 CISO已成为一个可信赖的内部顾问和运营领导者。 随着网络空间安全日益普及， 快速实现战略性和有效性的安全保障。 该组织，对首席信息安全官（CISO）的压力实现增长。 CISO的预算日益与风险挂钩业务减少。 网络存在的目的是支持而非阻碍 — 从组织执行者到影响者 网络技能差距仍然存在——人工智能或许能提供一些可行的解决方案，但劳动力 关键资源，具有相关声音的策略表。 需要新技能来适应和采纳。 将网络安全融入组织结构。 新的虚拟基础设施模型和协作工具。 通过自动化增强安全性。 对网络安全的AI投资正变得更加战略性和前瞻性的。 基因人工智能的快速发展创造围绕网络用例的兴奋。 企业范围内的成本节约，效率，安全与创新（尤其是人工智能）实施)驱动平台 （至COVID-19）但安全是一个afterthought. 将身份置于零信任的核心。 数字身份的崛起和深度伪造。 网络和隐私法规的焦点在于业务优先事项和责任 —信任的重要性。 数字信任是一项共同的责任 随着人工智能渗透所有层面，将信任嵌入其中在商业和社会中——专注于 that starts with the business and涉及多个利益相关方， 安全、隐私、安全、伦理等。 例如：首席信息安全官、数据保护官、首席数据官、首席信息官等。 从场景到影响式——聚焦在关键性和监管方面。 CISOs继续加强弹性建设作为 网络威胁已从技术风险演变而来。 to business and industry threats, with po-对社会潜在的危害。 点击每个考量项以了解更多。 多种因素正在重塑网络安全领域，并显著改变信息安全 CISOs过去通常首先尝试识别、保护和确保组织的“皇冠之宝”——关键数据、知识产权、商业机密等。但如今，CISOs确实需要重点关注业务的安全性和弹性。 为降低这一风险，组织必须建立正式的治理流程，赋予首席信息安全官（CISO）在事件发生时采取必要行动且无需担心后果的权力。这包括向CISO明确其权限以及在何种范围内可以运作。有了这些，他们可以迅速且自信地做出关键决策。 此外，大型组织可能拥有多个首席信息安全官（CISO），每个C ISO负责不同的业务领域，例如供应链网络或商业在线存在。这种职责的细分认识到，单一个人可能难以在有效管理整体网络安全格局的同时，在所有领域保持详细的知识。 CISO的汇报线也决定了有效管理网络安全风险的能力。虽然与高管层、总法律顾问和董事会直接沟通的渠道很重要，但CISO们也必须拥有 了解监管变化，与董事会沟通，明确授权范围以减轻个人责任风险。 持续通过设计在DevSecOps流程中构建安全性，此外将专注于网络安全的团队成员嵌入业务职能中。 KPMG 2024 CEO Outlook 请准备好首席信息安全官（CISO）角色的演变，这是由人工智能自动化和向云服务的转变所驱动的。 随着基于云和人工智能服务的个人与企业数据边界逐渐模糊，对第三方供应商进行彻底的调查以确保证书义务明确，并与组织的整体数据治理框架保持一致。 在讨论人工智能等颠覆性技术的应用方面领先，并解释风险及缓解措施。 KPMG全球科技报告2024 从根本上讲，降低攻击概率始于对环境的理解。你无法保护你不知道的东西。首席信息安全官必须了解整个网络安全版图：其组织的关键业务应用和服务、面向公众的部分、已部署的管控措施、如何更加主动、其安全态势以及恶意行为者倾向于使用的攻击向量，仅举几例。所有这些都是基础。只有在此基础上，他们才能确定如何降低坏事发生的可能性。 首席信息安全官（CISO）如何帮助启动生成式人工智能项目 副总裁—安全产品 ServiceNow 随着对经验丰富的网络安全专业人员的需求持续超过可用人才，CIS O们必须制定策略来吸引和留住多元化员工。这需要包括与人力资源（HR）合作，以理解和满足跨代际员工群体的独特需求。 解决网络安全技能差距和人才保留问题 在网络安全领导者的诸多挑战中，劳动力技能差距尤为突出。人类因素在对抗网络威胁方面持续是关键因素。新的复杂技术和快速演变的威胁正加剧这一已经扩大的技能差距。为应对这些挑战并保障其数字资产，组织必须采取整体性方法，认识人在构建具有韧性的网络安全生态系统中的力量。赋能人才必要的工具 根据世界经济论坛，超过一半（52%）的公共组织将资源和技术匮乏视为实施有效网络弹性计划的最大挑战。 据报道，由于缺乏经验丰富的网络安全人才和技能差距，导致员工流失率比其他职位高近8个百分点，使得团队稳定性难以维持。此时此刻，网络安全作为一门专业的快速增长，以及持续对专业知识的需 例如，Z世代和千禧一代，是劳动力中最年轻且增长最快的群体，他们特别重视工作与生活的平衡、认可以及职业流动性。通过提供灵活的工作安排、明确的职业发展路径和专业发展机会，组织可以为网络安全人才创造一个有吸引力的环境。 包容性、多元化与公平性（IDE）举措也将对于解决网络安全技能差距至关重要。通过积极鼓励和支持女性及多样化群体参与网络安全领域，组织能够吸引更广泛的人才库，并受益于独特的视角和创新能力。然而，促进多元化并不足够；雇主还必须创造支持性且包容性的环境，使多元化员工能够蓬勃发展，特别是那些属于神经多样性谱系的人。 应认为网络并非旨在中断业务运营并充当阻碍，而是为了快速、安全地解决问题，并与内部和外部利益相关者建立信任。 工智能赋能领域应成为主要关注焦点。 从意识到行动：培养积极主动的网络空间安全文化 这也有助于减轻人员不足团队的负担。人工智能将成为安全团队解决技能差距的真正赋能者——在大多数情况下，并非人类工人的替代品。事实上，根据KPMG SOC调查，至少六分之五的安全领导者认为人工智能是所有安全职能（包括身份和访问管理、威胁检测与 当组织内的每个个体积极参与有效管理网络风险时，便会建立起强大的网络空间安全文化。首席信息安全官必须认识到，人并非最薄弱的环节，而是当被正确调动时最强的网络防御能力。若不以风险管理文化为优先并使其贯穿整个组织，那么防御威胁和主动识别风险的重担将完全落在网络安全团队的肩上。这不仅是不可持续的，而且会使组织暴露于潜在的安全漏洞风险中。 KPMG美国网络安全与技术风险管理总监 要创建一个真正有弹性的网络安全生态系统，CISO们必须专注于弥合安全团队与更广泛员工之间的差距。 这涉及积极与团队成员和高管层互动，向他们阐述网络安全的重要性，并赋予他们保护组织数字资产的责任。 打动人心、启迪思想，并就网络风险形成共同理解，能够转变整个组织对网络安全的应对方式。因此，网络安全不再被视为另一个独立的职能，而是一项集体责任。这就要求首席信息安全官（CISO）成为能够连接技术及非技术利益相关者的有影响力的领导者。 采用这种方法，首席信息安全官（CISO）可以为员工创造更直观、干扰更小的安全体验，从而强化合规文化和共同责任的文化氛围。这有助于促进对网络安全的积极认知，并鼓励员工积极参与其中。从更宏观的网络人力资源管理的角度来看，CISO可以在衡量员工群体中的安全知识、态度和行为方面发挥至关重要的跨职能作用，以揭示以人为中心的风险潜在驱动因素，并将网络安全的认知从限制性职能转变为关键能力与业务赋能工具。 除了早期教育和意识培养外，政府和行业领导者必须共同努力，为个人进入网络安全劳动力队伍开发替代途径。 尽管计算机科学及相关领域的传统大学学位仍然有价值，但它们往往无法跟上快速变化的威胁态势以及雇主所需的具体技能。 公私合作可以支持网络作为功能，并将其推广为一种职业。 作为回应，对短期认证项目和专业培训课程的投入可以帮助快速提升和重新培训来自不同背景的专业人士。通过更具灵活性和包容性 一个新的网络安全文化时代 KPMG 2024网络安全调查 组织持续探索人工智能如何为其业务运营增加价值。 无论公司依赖自己的数据还是第三方数据来生成和训练其人工智能模型，已经很明显的是，糟糕的数据质量会产生表现不佳的人工智能模型。 美国及全球信赖领导者、KPMG美国董事长 仅依赖首席信息安全官（CISO）或首席产品官（CPO）来应对人工智能风险，可能意味着忽视透明度、可靠性等关键问题，甚至可能忽视安全问题。 产品中，许多组织，即使是预算有限的中小企业，也正转向第三方供应商以获取AI能力。虽然这可以带来成本节约和快速部署，但也引入了新的风险。组织可能对AI系统的内部运作缺乏了解，例如模型所使用的数据、算法及其潜在偏见。 应对人工智能应用风险的地雷区 AI的采用伴随着广泛的风险，组织必须谨慎应对；运营、技术、法律、合规和人类安全只是其中一部分。AI系统可能引入新的漏洞和失效 许多公司已经长期搁置了数据项目，因为他们未必能看到其价值。但它们将不得不意识到需要清理数据，并使用相关且准确的信息来训练大型语言模型（LLMs）。不幸的是，在许多情况下，首席信息安全官（CISO）未必是数据所有者。 一个关键的外部考量因素是AI相关法规的潜在影响，例如2024年8月生效的欧盟AI法案（该法案）。该法案对任何在欧盟运营并提供可在欧盟使用的人工智能产品、服务或系统的企业具有广泛的影响。 确实，为建立并维持对人工智能系统的信任，组织必须将包括客户、员工和社会在内的利益相关者的利益置于人工智能决策之中。组织领导者，包括首席信息安全官（CISO）、数据保护官员和隐私官员，在将安全性和隐私嵌入人工智能开发生命周期方面起着至关重要的作用。 为了建立这些桥梁并加强数据团队与安全团队之间的关系，需要共享数据分类定义和共同的参与规则，尤其是在与人工智能相关的情况下。归根结底，坏数据会导致坏决策。 虽然这或许是最著名且影响最广的规则，但该法案是全球范围内监管指南日益增长的更大趋势的一部分。世界各地的许多政策制定者都在以该法案为参照，寻求在安全、安全、隐私、治理和合规性以及公平、透明度和可信度等方面与其视角达成一定程度的协调。为欧盟提供任何类型服务的公司的首席信息安全官需要评估该法案的适用性并采取措施进行合规。 此外，领导者必须保持对AI各项业务案例的可见性，并明确识别AI在组织内具体的应用位置和方式。这有助于指导安全且合乎道德的数据管理实践以及在更广泛的范围内采取适当的控制措施。人工智能安全框架。 组织必须密切关注所有监管发展，并主动调整其人工智能治理实践，以在减轻人工智能的风险和挑战的同时，与利益相关者建立信任，并实现人工智能的全部潜力。 巩固信任并监控外部风险 当谈及与人工智能相关的风险时，组织需要一种前瞻性的方法，不仅要简单地应对问题，还要尽早解决潜在风险。建立人工智能安全框架并非一项具有明确终点的工作；它必须是持续性的，并得到现有安全领域的支持，通过身份和访问管理、多因素认证以及危机响应和恢复计划等因素来实现。 网络安全咨询主管——北美SAP 确定并建立必要控制