首席消息安保官(CISO)在2024年面临史无前例的压力。在过去,CISO的职责或者仅仅是包全企业的技术堆栈,但当天,他们的角色涵盖了危险控制、资源调配、法律合规、甚至推进业务开展等多个维度。以下是2024年CISO们最关注的十大应战:
1.要挟态势一直好转
网络要挟的数量和复杂性继续攀升。ISC2的CISO乔恩·弗朗斯示意,的要挟环境是过去五年来最具应战性的。随同着攻打面一直扩展,CISO们在应答这些要挟时往往被“拉向不同方向”,难以片面统筹。
2.包全灵活环境而不参与“数字摩擦”
CISO不只须要防范一直参与的要挟,还要防止对业务发生“数字摩擦”。BPM公司的CISO范迪·哈米迪指出,技术的极速变动要求CISO在降落危险的同时,还要防止给业务带来阻碍。这要求安保团队与其余部门亲密协作,以平衡安保和业务需求。
3.监管“雪崩”
随着法规数量的激增,CISO们面临越来越多的合规要求。Doodle的CISO尼尔·哈珀称之为“监管雪崩”,举例说明了NIS2指令和欧盟的数字运营韧性法案(DORA)。此外,各地域之间的法规差异也造成CISO们面临“监管不协调”的困境,这大大参与了合规的难度。
4.供应链和第三方危险
供应链安保成为CISO关注的焦点。因为公司对供应链安保的控制有限,攻打者日益瞄准第三方供应商。Equifax的CISO贾米尔·法什奇指出,企业与第三方的接触愈发频繁,且供应链攻打的成功率参与,迫使安保团队从新扫视供应商和软件组件的安保。
5.安保责任的参与
美国证券买卖委员会(SEC)对SolarWinds及其CISO的起诉标记着CISO团体责任的参与,许多CISO如今须要确保他们的决策合乎法律要求,并在董事和高管责任保险(D&O)笼罩下启动操作。
6.在企业外部确保AI安保
AI技术的兴起给安保团队带来新的应战。企业外部的AI运行须要在包全敏感数据的同时无阻碍翻新开展,许多CISO为此制订了严厉的AI控制政策,以确保数据安保与AI技术的极速开展之间的平衡。
7.防范AI驱动的网络攻打
AI不只减速了企业的翻新,同时也为攻打者提供了弱小的工具。生成式AI能够生成真切的虚伪内容,使得传统的诈骗和社交工程攻打更具蛊惑性。CISO们正经过AI技术来反制AI驱动的要挟,以遏制由AI允许的恶意优惠。
8.失掉充足资源
人才和估算资源充足是CISO常年面临的疑问。2024年ISC2的钻研显示,世界网络安保岗位需求缺口到达480万,这对企业网络安保团队的树立造成了渺小压力。CISO们不只须要填补这一充足,还须要吸引和造就多元化的人才。
9.提高安保在企业内的位置
安保文明的树立至关关键,许多CISO依然发现安所有门往往被孤立看待。随着更多企业推广DevSecOps通常以及CISO在初级控制层中的影响力参与,安保正逐渐被视为业务要求而非单纯的技术疑问。
10.成功“零摩擦”运营
在一直变动的要挟和技术环境中,坚持运营出色一直是CISO的**指标。安保团队须要无了解企业业务优惠的基础上,前瞻性地实施安保战略,而非主动应答。CISO们正努力于成功安保降级无缝融入现有系统,从而成功“零摩擦”运营。
在2024年,CISO面临的全新应战涵盖了从监管合规、技术翻新到团队资源等多个维度。面对这一系列应战,CISO们不只是安保防线的守护者,也是推进企业数字化改革的关键推进者。