2024年网络安全合规建设的6个发展预测

2024年将是企业网络安全合规运营的关键一年,企业应该加大对网络安全合规运营的投入来建立数字信任,并为数字化业务发展建立竞争优势。

640-13
出处:安全牛

在企业组织数字化转型发展过程中,网络安全合规运营一直发挥着重要的作用,是企业积极开展网络安全建设的主要驱动因素之一。专家预测,网络安全合规运营工作在2024年将会迎来巨大变革,原因如下:

  • 数字信任正日益成为企业组织和政府机构的基本性发展诉求;
  • 行业监管机构对受监管实体组织的监管要求日益严格,但是对企业的合规运营能力缺乏信任;
  • 企业对第三方供应商的风险管理历来投入有限,但随着供应链安全事件日益频发,企业将重新评估对第三方供应商的合规要求;
  • 随着攻击者开始大量使用人工智能(AI),公众对AI技术的安全合规使用逐渐失去信任。

由此看来,2024年将是企业网络安全合规运营的关键一年,企业应该加大对网络安全合规运营的投入来建立数字信任,并为数字化业务发展建立竞争优势。以下是安全专家对2024年网络安全合规运营发展变化的6个预测:

预测1. 网络安全合规运营会成为企业业务发展的驱动因素

2023年,供应链安全和数据泄密对企业数字化业务运营的挑战持续加大。因此在2024年,积极主动的企业需要在维护现有的网络安全认证(比如SOC 2和ISO)基础上,进一步扩大这些外部验证的数量,以证明可信度。企业如果能够通过有效的安全合规运营确保遵守行业公认的网络安全框架来证明其可信度,就会更顺畅地实现盈利。

企业的合规审计委员会将与业务部门负责人更紧密合作,展示本企业值得信赖的网络安全实践。如果在销售周期的早期主动分享这些细节,企业可以避免耗时的TPRM问卷调查,并加快合规进度。同时,遵守网络安全实践也是吸引和留住顶尖人才的关键因素。

预测2. 第三方供应商和服务提供商需要为企业分担更多的网络安全风险

2024年,企业应该将尽可能多的网络安全风险合法转移给供应商和服务提供商。这将包括与网络安全和隐私相关的业务风险,特别是未经授权披露、更改或销毁企业的机密信息。这个策略将充当限制潜在法律责任和控制成本的一种手段。

在此背景下,企业会竭力将数据处理或存储以及相关风险转移给第三方供应商或服务商,尽量减少对自身的合规风险。由于国家监管层面的数据法规数量激增,隐私法律层出不穷,试图使用这种策略的企业可能会发现很复杂。尽管数字化发展中的安全风险无法从根本上消除,但可以降低到企业可以接受的程度。

预测3. 企业网络安全信息披露程序需要重新评估

2023年,行业监管机构对企业合规信息披露提出了一些新的要求,旨在进一步增强投资者对企业网络安全成熟度的信任。在2024年,我们会看到企业向其合作伙伴传达以上立场以及市场和监管机构对此的反应。

2024年,企业组织需要重新评估网络安全相关信息的披露程序,确保用于披露数据的完整性和来源。在企业内部,组织必须随时准备向内部审计委员会展示其工作。在企业外部,组织则需要确保新的风险披露声明与公认的相关行业术语相一致,这样才可以方便利益相关者了解企业如何管理其独特的安全和隐私风险及机会。

预测4. 企业对网络安全合规运营的投入将继续增加

2024年,企业需要继续认识到对合规运营进行投入的必要性。由于收集和测试控制合规运营的证据可能很耗费人力,为了大范围执行,企业必须实现自动化。鉴于这些挑战,对合规运营加大投入将是企业组织正确的选择。为提升合规运营能力提供自动化技术支撑,可以博得投资者和公众的信任,同时,自动化系统也可以比人工方法更高效地进行合规风险审计与防护。

预测5. CISO将被视为业务合规风险防护顾问,而不仅是网络安全的责任人

2024年,CISO会在更多的组织中,被视为业务风险防护的顾问,而不仅仅是风险的管理者和责任人。企业会更严格地审视CISO如何就潜在的数字业务风险向业务系统所有者提供建议,并帮助他们为解决这些风险做出决策。比如说,CISO的安全运营团队需要能够识别并强调与勒索软件风险加大导致的相关潜在业务风险。然后向业务部门及时阐述,并与业务负责人一起量化描述该风险的潜在影响。然后,企业管理者需要决定采用额外的控制措施、接受风险,还是考虑将风险转移给第三方或网络保险企业。

预测6. 合规监管或将把AI推向幻灭低谷

近年来,社会对AI的前景抱有过高的期望。Gartner炒作周期的下一个阶段是“幻灭低谷”,这倒不是由于技术限制。数据显示,企业组织的CISO们已经普遍预测2024年的预算将持平或减少,而AI被一些人誉为可以花更少的钱做更多的事,这可能进一步引导企业将有限的资金用在像AI这样的赋能技术上。

但实际上,如果一家服务商声称其产品实现了神奇的AI应用,就需要准备向监管部门解释具体是什么类型的AI产品,而不只是贴上一个AI的标签。AI技术号称是网络安全领域的下一大热点,但CISO已经厌倦了将AI作为产品推销的噱头,公共监管部门也开始对各种AI噱头展开调查,这些因素可能导致企业在2024年对AI技术应用幻想迅速破灭。

但这并不意味着AI投资将会枯竭,有效的AI技术会得到最终用户和买家的信任。企业中适当使用AI还能带来其他方面的好处。如果企业能够负责任、切实地利用AI技术,2024年将大有可期。

参考链接:https://hyperproof.io/resource/6-compliance-operations-predictions-2024/