本文來自微信公眾號“GoUpSec”。
首席信息安全官(CISO)在2024年面臨前所未有的壓力。在過去,CISO的職責可能僅僅是保護企業(yè)的技術(shù)堆棧,但今天,他們的角色涵蓋了風險管理、資源分配、法律合規(guī)、甚至推動業(yè)務(wù)發(fā)展等多個維度。以下是2024年CISO們最關(guān)注的十大挑戰(zhàn):
1.威脅態(tài)勢不斷惡化
網(wǎng)絡(luò)威脅的數(shù)量和復(fù)雜性持續(xù)攀升。ISC2的CISO喬恩·弗朗斯表示,當前的威脅環(huán)境是過去五年來最具挑戰(zhàn)性的。伴隨著攻擊面不斷擴大,CISO們在應(yīng)對這些威脅時往往被“拉向不同方向”,難以全面兼顧。
2.保護動態(tài)環(huán)境而不增加“數(shù)字摩擦”
CISO不僅需要防范不斷增加的威脅,還要避免對業(yè)務(wù)產(chǎn)生“數(shù)字摩擦”。BPM公司的CISO范迪·哈米迪指出,技術(shù)的快速變化要求CISO在降低風險的同時,還要避免給業(yè)務(wù)帶來阻礙。這要求安全團隊與其他部門密切合作,以平衡安全和業(yè)務(wù)需求。
3.監(jiān)管“雪崩”
隨著法規(guī)數(shù)量的激增,CISO們面臨越來越多的合規(guī)要求。Doodle的CISO尼爾·哈珀稱之為“監(jiān)管雪崩”,舉例說明了NIS2指令和歐盟的數(shù)字運營韌性法案(DORA)。此外,各地區(qū)之間的法規(guī)差異也導(dǎo)致CISO們面臨“監(jiān)管不協(xié)調(diào)”的困境,這大大增加了合規(guī)的難度。
4.供應(yīng)鏈和第三方風險
供應(yīng)鏈安全成為CISO關(guān)注的焦點。由于公司對供應(yīng)鏈安全的控制有限,攻擊者日益瞄準第三方供應(yīng)商。Equifax的CISO賈米爾·法什奇指出,企業(yè)與第三方的接觸愈發(fā)頻繁,且供應(yīng)鏈攻擊的成功率增加,迫使安全團隊重新審視供應(yīng)商和軟件組件的安全。
5.安全責任的增加
美國證券交易委員會(SEC)對SolarWinds及其CISO的起訴標志著CISO個人責任的增加,許多CISO如今需要確保他們的決策符合法律要求,并在董事和高管責任保險(D&O)覆蓋下進行操作。
6.在企業(yè)內(nèi)部確保AI安全
AI技術(shù)的興起給安全團隊帶來新的挑戰(zhàn)。企業(yè)內(nèi)部的AI應(yīng)用需要在保護敏感數(shù)據(jù)的同時不阻礙創(chuàng)新發(fā)展,許多CISO為此制定了嚴格的AI治理政策,以確保數(shù)據(jù)安全與AI技術(shù)的快速發(fā)展之間的平衡。
7.防范AI驅(qū)動的網(wǎng)絡(luò)攻擊
AI不僅加速了企業(yè)的創(chuàng)新,同時也為攻擊者提供了強大的工具。生成式AI能夠生成逼真的虛假內(nèi)容,使得傳統(tǒng)的詐騙和社交工程攻擊更具迷惑性。CISO們正通過AI技術(shù)來反制AI驅(qū)動的威脅,以遏制由AI支持的惡意活動。
8.獲取充足資源
人才和預(yù)算資源短缺是CISO長期面臨的問題。2024年ISC2的研究顯示,全球網(wǎng)絡(luò)安全崗位需求缺口達到480萬,這對企業(yè)網(wǎng)絡(luò)安全團隊的建設(shè)構(gòu)成了巨大壓力。CISO們不僅需要填補這一短缺,還需要吸引和培養(yǎng)多元化的人才。
9.提高安全在企業(yè)內(nèi)的地位
安全文化的建立至關(guān)重要,許多CISO依然發(fā)現(xiàn)安全部門往往被孤立對待。隨著更多企業(yè)推行DevSecOps實踐以及CISO在高級管理層中的影響力增加,安全正逐漸被視為業(yè)務(wù)要求而非單純的技術(shù)問題。
10.實現(xiàn)“零摩擦”運營
在不斷變化的威脅和技術(shù)環(huán)境中,保持運營卓越始終是CISO的核心目標。安全團隊需要在理解企業(yè)業(yè)務(wù)活動的基礎(chǔ)上,前瞻性地實施安全策略,而非被動應(yīng)對。CISO們正致力于實現(xiàn)安全更新無縫融入現(xiàn)有系統(tǒng),從而實現(xiàn)“零摩擦”運營。
在2024年,CISO面臨的全新挑戰(zhàn)涵蓋了從監(jiān)管合規(guī)、技術(shù)創(chuàng)新到團隊資源等多個維度。面對這一系列挑戰(zhàn),CISO們不僅是安全防線的守護者,也是推動企業(yè)數(shù)字化變革的關(guān)鍵推動者。
參考鏈接:
https://www.csoonline.com/article/3587231/the-10-biggest-issues-cisos-and-cyber-teams-face-today.html