安全风险管理领导者的3大战略重点

导语当前，CISO面临着一系列快速变化的优先事项、漏洞威胁、安全需求、监管压力和技术变革要求。因此，为应对这一安全形势，安全风险管理领导者需要采取下面这种结构化方法。步骤1：统一网络安全项目的战略重点。例如：适应因CISO来的运营模式的变化挖掘AI

步骤2：在您的网络安全项目愿景中体现这些战略重点。步骤3：确定为实现这些战略重点而需采取的行为举措。步骤4：更新您的网络安全战略，将这些行为举措包含在您的网络安全项目中。到到2027年，75%的员工将在IT部门之外获取、修改或开发技术，而2022年这一比例仅为41%。来源：Gartner2安全风险管理领导者可使用本指南，面向2024年及未来制定战略计划。2024年领导力前瞻：安全风险管理领导者的3大战略重点影响安全风险管理领导者的3大趋势网络安全决策权变更技术的获取、开发和交付持续从IT部门转向业务部门。在这种情况下，安全风险管理领导者的控制权和监管权逐渐削弱，安全风险管理领导者确保网络安全的难度进一步提升。除此之外，近一半的CIO表示，网络安全风险增加不利于数字化项目的执行。

AI带来安全挑战基于大型语言模型的ChatGPT和Bard等工具在早期就给出了生成式AI将如何塑造大多数业务流程的信号。但新兴的安全工具（例如其模型和提示）在确保生成式AI应用的安全性方面还不够成熟，无法应对生成式AI应用程序架构的动态变化。在这种背景下，企业很难制定最佳实践并提供相关的建议。

安全重点错误根据Gartner调研，93%的受访者表示，他们的行为会增加企业的网络安全风险，但他们还是这么做了。事实上，《Verizon数据泄露调查报告》显示，74%的安全漏洞与人为因素有关。不仅如此，在关注终端用户的安全项目中，大多数导致数据泄露的错误反而与开发人员和系统管理员直接相关。2024年领导力前瞻：安全风险管理领导者的3大战略重点安全风险管理领导者的三大战略重点及相应的行动措施适应变化的数字化运营模式1挖掘适应变化的数字化运营模式1挖掘AI风险与机遇2开展以人为本的网络安全工作3近四分之三的网络安全领导者都发现了过去12个月在风险决策权和职责方面的变化。

2025年，生成式AI将导致用于保障网络安全的资源大幅度激增，应用和数据安全方面的支出将增加15%以上。

超过90%的网络安全部门都制定了网络安全意识提高项目，但69%的员工表示他们会故意避开企业的网络安全指导。 行动措施行动措施将安全部门从阻碍创新的部门转变为推动安全的数字化创新的部门。

确保企业以安全的方式构建和使用生成式AI，控制生成式AI对网络安全的影响。

组建“老虎队”，评估当前和未来的网络安全战略。责成该团队发现、调查和报告新的网络安全机遇，在不带来不必要风险的同时提高企业的安全能力。来源：Gartner行动措施建议1

2024年领导力前瞻：安全风险管理领导者的3大战略重点了解当前的网络安全运营模式绩效表现决策权绩效表现决策权组织架构财务采购与联盟工作方式人才工具场所财务。技术和安全投资的预算权转移到业务和产品线负责人的手中。决策权。在协作式风险决策流程的支持下，决策权转移到业务负责人的手中。如此一来，安全策略的限制性、原则性就有所减少，业务部门在选择安全控制措施时就会拥有更多自主权。绩效管理。从使用业务安全指标转变为使用业务成果和业务价值驱动的指标。人才管理。生成式AI等新技术需要员工获得了解这些新技术风险的技能。为此，企业需要新的关系管理技能（如安全服务经理）和行为科学技能，来改变安全行为和文化。行动措施建议2了解生成式AI的影响

2024年领导力前瞻：安全风险管理领导者的3大战略重点防御攻击构建使用技术不成熟供应商大量涌入的风险隐私和效能挑战技能增强攻击自动化内容生成增量式推出在其他项目中重复使用多个选择影子AI数据隐私和版权获得授权，利用生成式AI机遇，改善安全风险管理，优化资源，抵御新兴的攻击技术，甚至降低成本。

使用不断发展的生成式AI工具和技术，应对恶意行为者不断演变的技术及新的攻击载体。

AI应用程序的攻击面扩大，带来了新的潜在风险，CISO需要更新现有的应用程序安全实践。首先是使用ChatGPT，然后是在现有的应用中嵌入生成式首先是使用ChatGPT，然后是在现有的应用中嵌入生成式AI助手。这些应用都有独特的安全要求，但这些安全要求是遗留的安全控制措施所无法满足的。行动措施建议3“安全左移”，改变安全行为改变安全行为必须关注整个数字“供应链”。这也就是说，行为改变举措的目标受众需要涵盖参与开发数字解决方案的所有角色，而不仅仅是终端用户。其中，CEO和董事会发挥明显的带头作用对推动行为和文化变革至关重要。CEO/业务变革C级高管/CIO业务流程负责人业务分析师解决方案架构师项目经理开发人员CEO/业务变革C级高管/CIO业务流程负责人业务分析师解决