从人工智能危害到CrowdStrike(CrowdStrike是一家美国网络安全技术公司,成立于2011年,总部位于美国加利福尼亚州。主要产品是Falcon平台,这是一个基于云计算的端点保护平台,利用人工智能和机器学习技术来检测、预防和响应网络威胁)后果,日益严重的威胁形势促使首席信息官制定复原计划,以防止进一步中断并保持业务连续性。
图片来源:PeopleImages.com - Yuri A / Shutterstock
今年出现了人工智能带来的新风险、CrowdStrike事件等灾难性中断、克服软件供应链脆弱性,以及网络攻击和量子计算破坏当今最先进的加密算法的风险。在当今不确定的环境中,所有企业,无论规模大小,都容易受到干扰。
Palo Alto Networks【Palo Alto Networks(派拓网络)是一家全球领先的网络安全公司,成立于2005年。公司的使命是成为首选的网络安全合作伙伴,保护数字生活安全无忧,覆盖所有安全需求,通过提供全面的产品组合,为不断发展中的合作伙伴生态系统赋能,在保护数以万计的企业云、网络和移动设备安全方面,始终站在最前沿】首席信息官Meerah Rajavel(梅拉·拉贾维尔)【Meerah Rajavel(梅拉·拉贾维尔)是Palo Alto Networks的首席信息官。她负责领导全球IT团队,推动Palo Alto Networks的行业转型,确保公司技术运行的高效性】表示:“过去一年,风险管理的重点发生了重大变化。随着网络威胁日益复杂化以及数字化转型步伐加快,组织必须更加积极主动地识别和降低风险。”
为了应对这一挑战,首席信息官们正在加倍重视组织弹性。“这是企业的当务之急,”Salesforce(Salesforce是一家全球领先的云计算公司,专注于提供客户关系管理解决方案。Salesforce以其创新的软件即服务模式而闻名,这种模式允许客户通过互联网访问软件应用,而无需安装和维护传统的本地软件)首席信息官Juan Perez(胡安·佩雷斯)【Juan Perez(胡安·佩雷斯)是Salesforce的执行副总裁兼首席信息官。他于2022年4月加入Salesforce,在Salesforce负责领导公司的全球IT团队,推动数字战略,并负责新收购公司的技术整合】表示。“首席信息官必须将弹性投资与数据保护、法规遵从性和AI准备等切实成果联系起来。”他补充道,弹性框架具有可衡量的投资回报率,但它们需要一种基于平台的整体方法来减少威胁并指导AI的安全使用。
其他人也同意,不断变化的威胁形势令人担忧,需要采取新策略。“风险管理越来越受到董事会和高管的关注,甚至相当现代的风险框架也被证明不够充分,”Lumentum(Lumentum是一家创新光学和光子产品的设计和制造商。公司提供的产品组合在全球通信网络中实现敏捷性、灵活性和速度,解决网络中传输的大量数据问题,特别是在云计算、互联网、高端制造等领域)、Hewlett-Packard(惠普)【Hewlett-Packard(惠普)是一家全球性的信息科技公司,成立于1939年。主要专注于打印机、数码影像、软件、计算机与资讯服务等业务】和Clorox(高乐氏)【Clorox(高乐氏)是一家全球领先的消费品和专业产品的制造商和营销商。Clorox的产品通过大量跟单零售、电子商务渠道、分销商和医疗供应等方式销售,主要涉及漂白剂、厨卫清洁产品、家居护理产品等】公司等公司的前首席信息官兼高级副总裁Ralph Loura(拉尔夫·洛拉)【Ralph Loura(拉尔夫·洛拉)是一位经验丰富的信息技术领导者,曾在多家知名技术和消费品公司担任高级职位。他的领导风格强调谦逊和透明度,并且以人为中心,这使他在技术转型和业务成果方面取得了显著成就】补充道。“首席信息官和首席信息安全官必须保持高度警惕,积极采用新的框架和工具。”
CIO正直面这些挑战,设计综合弹性策略来确保组织的未来发展。这包括为AI建立护栏、进行灾难训练演习、减轻第三方威胁等。然而,CIO仍必须展示可衡量的成果,并将这些要求传达给高层领导,以确保投资。
1.为什么风险管理至关重要
过去一年,企业IT面临的风险发生了显著变化,需要重视涵盖多个领域的短期和长期弹性计划。其中,人工智能是许多CIO最关心的问题。“人工智能是一种强大的工具,可以推动创新、改善决策并简化运营,”Rajavel(拉贾维尔)说。“然而,随着人工智能深度融入业务流程,它也带来了新的攻击面和漏洞。”2023年人工智能优先级研究中,四分之一的IT高管认为他们的组织在部署新一代人工智能方面行动过快,这也进一步证实了这一说法。
毕竟,人工智能带来了新的风险,需要对人工智能代理进行更多评估和更明确的界限。据Salesforce的Perez(佩雷斯)称,尽管人工智能带来了很多机会,但它也给CIO带来了复杂性,包括安全性、治理和合规性方面的考虑。“CIO的工作是优先考虑数据隐私和道德使用,并确保创新不会超过保障措施,”他说。“这让我想起了网络安全的早期,当时严格的评估确保软件符合公司标准。人工智能评估也将效仿。”
另一个不可否认的因素是全球事件的不可预测性。“疫情进一步凸显了韧性的重要性,促使首席信息官不仅要优先考虑即时风险管理,还要优先考虑长期韧性战略,”Rajavel(拉贾维尔)表示。“这种转变确保企业能够抵御中断并无缝继续运营,在不确定时期保持信任和稳定。”
此外,软件供应链也面临越来越大的威胁。“今年,安全和技术领导者更加关注与第三方供应商和供应链利益相关者相关的风险,”ProcessUnity(ProcessUnity是一家提供基于云的治理、风险和合规管理软件的公司,旨在帮助组织自动化风险和合规程序。该公司的平台提供第三方风险管理、政策和程序管理、合规管理以及产品和服務提供管理,使组织能够评估、衡量和缓解风险,从而实现关键业务流程的最优性能)的首席信息安全官Dave Stapleton(戴夫·斯台普尔顿)【Dave Stapleton(戴夫·斯台普尔顿)是ProcessUnity的首席信息安全官和安全运营副总裁。他是一位经验丰富的首席信息安全官,拥有在公共和私营部门网络安全项目中工作的长期历史】表示。这些风险主要源于易受攻击的代码和源自第三方依赖项的中断。
就他的观点而言,Sonatype(Sonatype是一家美国的开源DevOps服务供应商,专注于软件供应链的自动化和安全性。Sonatype的产品和服务被全球超过150,000个组织所信任,用于管理和构建工件,是智能软件开发领域的领导者)的第10份年度软件供应链状况报告发现恶意软件包数量同比增长了156%。尽管99%的软件包都有可用的更新版本,但80%的应用程序依赖项一年多来仍未升级。因此,第三方风险管理【第三方风险管理(TPRM)是指识别、评估和缓解与将任务外包给第三方供应商或服务提供商相关的风险的过程。在日益互联和外包的世界中,TPRM是一项重要的业务策略,它可以帮助组织识别并缓解因与外部供应商或服务提供商合作而面临的风险,这些风险包括财务、环境、声誉和安全风险】和供应链风险管理【供应链风险管理(SCRM)是一种系统方法,用于识别和评估公司整条供应链中日常和异常的风险和漏洞,制定缓解策略以应对这些威胁,并确保业务连续性。它涉及对供应链中可能出现的意外事件或变化所带来的风险的管理,包括多供应商策略、供应风险等。SCRM的目的是最大限度地减少这些风险对公司运营、声誉和财务业绩的影响】市场预计在未来几年的复合年增长率将达到10%至15%。
网络安全公司Rubrik(Rubrik是一家提供全方位数据安全解决方案的公司,专注于网络安全和数据弹性领域。Rubrik的使命是保护全球数据的安全。公司提供的数据安全解决方案旨在帮助组织实现网络恢复能力,包括网络态势和网络恢复)联合创始人兼首席技术官Arvind Nithrakashyap(阿尔温德·尼特拉卡西亚普)【Arvind Nithrakashyap(阿尔温德·尼特拉卡西亚普)是Rubrik的联合创始人兼首席技术官。作为Rubrik的联合创始人和CTO,Arvind利用他的技术专长、领导力和执行力,帮助构建了这家快速成长的企业公司。他的影响范围覆盖了公司多个功能领域,包括支持、销售、市场营销以及产品和工程】表示,除了这些风险之外,数据泄露、勒索软件攻击和意外的全球中断都可能对关键任务计划造成严重损害,无论公司规模或垂直行业如何。“为了解决这些问题,组织显然应该专注于网络弹性。”
2.做好未来准备,增强韧性
就像鼓励房主准备防灾工具包一样,组织也应该为灾难做好计划并练习如何应对。“如果还没有,CIO应该优先考虑灾难情景规划,”Nithrakashyap(尼特拉卡西亚普)说。这其中的一部分涉及在事件发生时制定强大的数据安全策略和补救协议。
他补充道,当组织面临意外停机时,IT和业务主管应将其视为大规模网络攻击的预演。“讨论不应该只关注预防,而应该关注如何通过采用正确的技术和流程来提高弹性,以便在不可避免的事件发生时限制损害。”
为了抵御即将到来的人工智能风险,首席信息官认为,综合安全策略对于增强IT稳健性必不可少。“考虑到超过一半的技术提供商计划在2026年之前将研发和投资分配给人工智能和自动化,建立IT弹性至关重要,”Rajavel(拉贾维尔)说。“首席信息官需要根据这些新用例调整运营,同时确保他们的团队能够支持整个企业的数字化转型。”
弹性规划还需要及时了解新的NIST安全框架,并与安全领导层保持持续合作。“在这里,没有人能孤军奋战取得成功,”Loura(洛拉)说道,她鼓励CIO与同行和安全供应商建立联系,并随着威胁形势的发展积极应对变化。
3.CIO如何采取行动
CIO们正在倡导采取具体举措来增强组织内部的弹性。例如,Salesforce的内部AI委员会由跨职能领导组成,召开会议讨论AI投资和道德考量。Perez(佩雷斯)说:“委员会定期开会评估业务需求,员工可以提出新的AI想法供考虑。”他补充说,这有助于Salesforce在创新与负责任的AI工具采用之间取得平衡。
其他CIO则加倍努力改造安全运营和内部测试工具,以增强对潜在风险的可见性。Rajavel(拉贾维尔)分享说,Palo Alto Networks已采取了一项重要的以弹性为重点的举措,通过利用机器学习支持持续威胁检测来改造其安全运营中心【安全运营中心(SOC)是一个集中化的设施,负责监控、评估、协调和响应组织的信息安全事件和漏洞。SOC的目标是保护组织的信息系统和资产免受攻击、数据泄露和其他安全威胁】。
Rajavel(拉贾维尔)表示:“我们的SOC致力于保护我们自己的员工和基础设施,并负责威胁监控、威胁搜寻和事件响应,保护数千名用户、数十万个服务器端点以及庞大的云和本地基础设施。”这些改进有助于通过自动警报处理紧急事件,并使分析师能够进行更主动的威胁搜寻。
除了威胁检测之外,衡量潜在中断的影响也至关重要。Stapleton(斯台普尔顿)分享说,ProcessUnity正在与高管和高级领导团队进行年度业务影响评估,深入了解关键业务流程、人力资源和技术。“这个过程迫使我们探索不同类型的中断的可能性、它们对我们的组织和客户的潜在影响,并确定我们可以采取的任何措施来最大限度地降低由此产生的风险,”他说。
Rubrik内部采用了全面的数据安全策略,不断监控并确保遵循安全编码实践,跟踪敏感信息以及访问这些信息。“我们还建立了明确的流程,以防万一受到攻击,”Nithrakashyap(尼特拉卡西亚普)说道。
4.恢复力的关键策略
一些新兴方法和技术正在帮助CIO提供更好的风险缓解和恢复措施。Palo Alto Networks的Rajavel(拉贾维尔)建议制定集成安全策略,使用整合的安全平台并以结果为导向。“采用基于平台的方法可以降低复杂性,使CIO能够在不牺牲速度或灵活性的情况下保持强大的安全态势,”她说。
Nithrakashyap(尼特拉卡西亚普)强调了数据安全态势管理【数据安全态势管理(DSPM)是一种网络安全技术,它用于识别多个云环境和服务中的敏感数据,评估其对安全威胁的脆弱性和不合规风险。DSPM提供洞察力和自动化功能,使安全团队能够更好地管理和保护组织内的数据资产】,他将其描述为一种通过保护企业数据资产来评估、监控和管理企业网络安全准备情况和有效性的整体方法。“通过实施DPSM,组织可以专注于其数据优先级,了解所有数据的存放位置以及如何保护这些数据,”他说。他补充说,这可以帮助CIO解决数据治理问题。
CIO鼓励持续监控和始终在线的方法来改进安全最佳实践,尤其是在处理敏感信息时。根据Loura(洛拉)的说法,一个关键领域是确保对某些敏感记录(如银行账户或地址)的重大更改进行多因素和多人验证。他还建议使用特定技术,例如数据屏蔽、监控、自动修补、纵深防御方法和恢复策略。
5.衡量效益
Rajavel(拉贾维尔)表示,强大的弹性策略可以带来诸多好处,其中之一就是提高生产力。“通过制定强大的应急计划和备份系统,组织可以最大限度地减少干扰并保持生产力,让团队专注于创新和增长,”她说。她补充说,主动风险管理也有助于降低违规的可能性,有助于保护敏感信息并赢得客户和利益相关者的信任。
弹性策略还可以将单个故障与直接的财务影响联系起来。“除此之外,弹性实践有助于识别单个或集中的故障点,了解与停电和中断相关的潜在财务影响,并建立和测试恢复能力,”Stapleton(斯台普尔顿)说。从这些实践中获得的见解可以为预算优先级提供信息,并影响围绕业务伙伴关系和产品轨迹的规划。
CIO还可以通过各种方式衡量弹性的好处。Perez(佩雷斯)强调了减少安全事故、遵守合规性以及数据治理改进等指标。他补充说,通过监控数据访问模式,CIO可以发现治理政策是否有效或需要改进。“这些指标不仅可以保障运营,还可以使组织能够快速转型——无论是应对市场变化还是抓住新的AI机遇,”他说。
6.制定商业案例
为了倡导对弹性的投资,量化风险并说明弹性对于稳定和长期增长的重要性非常重要。这是CIO可以发挥巨大影响的地方。Rajavel(拉贾维尔)说:“CIO不仅应该在公司战略方向上占有一席之地,还应该推动关于弹性如何释放业务增长并改善员工体验的讨论。”
例如,投资于弹性可以简化检测和恢复时间,从而最大限度地减少停机时间或完全避免中断。Rajavel(拉贾维尔)特别建议划分中断对运营、收入和声誉的潜在影响,并清楚地展示节省的成本。“展示切实的好处,例如减少停机时间、避免违规带来的成本节省以及提高运营效率,这是一个令人信服的论点。”
其他人也同意,证明韧性的依据在于量化与降低成本相关的明确投资回报率。“与任何风险一样,考虑发生的可能性,以及在事件发生时减轻、隔离或限制爆炸半径的策略,然后你可以估算可能的影响成本,并以此作为投资的依据,”Loura(洛拉)说。“改善这些因素的投资可以降低影响成本,从而产生投资回报率。”
投资于弹性就是投资于业务连续性。因此,为了证明这一点,首席信息官应该强调它对补救措施的影响。“一家具有数字弹性的公司应该能够在几分钟内从网络攻击或中断中恢复过来,而不是几小时或几天,”Nithrakashyap(尼特拉卡西亚普)说。“通过将网络弹性作为优先事项,IT和安全领导者可以缩短事件响应时间,减少整体业务中断,并防止对公司利润造成打击。”
当然,对于必须遵守法规的企业来说,弹性的论点很简单。Stapleton引用了《数字运营弹性法案》【《数字运营弹性法案》(DORA)是欧盟的一项新法规,旨在为欧盟金融行业创建具有约束力的全面信息和通信技术风险管理框架】作为一个例子。欧盟法规将于2025年初开始实施,其中包括供应链审计、业务连续性规划、内部培训和针对常见威胁的测试等基本弹性要求。除了合规性之外,他还强调了潜在的收入损失、基于中断的SLA甚至客户流失,以及管理不善的中断造成的声誉损失,这些都是弹性工作的关键业务驱动因素。
7.为最坏的情况做准备
韧性的核心在于制定主动措施来管理风险,实际上有助于预测不可预测的情况。“强大的韧性策略可以帮助您的团队采取主动而不是被动的态度,”Rajavel(拉贾维尔)说。“这使您和您的团队能够领先于潜在威胁,确保业务连续性。”
在当今互联互通的数字世界中,小规模的中断可能会造成大规模的后果。因此,对最坏情况做出妥善的响应对于保持正常运转变得越来越重要。“IT和安全领导者必须继续合作,在数字系统中建立信任和可靠性,以应对最坏的情况——并且能够在最坏的情况发生时恢复业务,”Nithrakashyap(尼特拉卡西亚普)说。
作者:Bill Doerrfeld(比尔·多尔菲尔德)
译者:穿山甲
【睿观:在人工智能、网络攻击等威胁日益严峻的背景下,企业CIO们必须加强组织的弹性,以应对各种潜在风险,确保业务连续性。
(一)主要论点:
风险的复杂性: 人工智能、软件供应链脆弱性、网络攻击等多重威胁交织,使得企业面临前所未有的挑战。
弹性的重要性: 弹性是企业应对风险、保持业务连续性的关键能力。
CIO的角色: CIO在构建弹性组织中扮演着核心角色,需要制定综合的弹性策略。
(二)具体行动建议:
加强风险管理: 建立全面的风险管理体系,关注人工智能风险、软件供应链风险等。
提升安全防护: 加强网络安全防护,采用先进的安全技术,如机器学习、数据安全态势管理等。
制定应急预案: 制定详细的应急预案,定期进行演练,提高应对突发事件的能力。
培养弹性文化: 在组织内部营造重视弹性的文化,鼓励员工积极参与到风险管理中。
衡量弹性效益: 建立衡量弹性的指标体系,通过数据分析评估弹性策略的效果。
在日益复杂的威胁环境下,企业必须加强组织弹性。
风险的复杂性
人工智能带来的新风险
软件供应链脆弱性
网络攻击威胁
弹性的重要性
应对风险
保障业务连续性
CIO的角色
制定弹性策略
领导组织应对风险
加强风险管理
建立全面的风险管理体系
关注人工智能风险
关注软件供应链风险
提升安全防护
加强网络安全防护
采用先进安全技术
制定应急预案
制定详细的应急预案
定期进行演练
培养弹性文化
在组织内部营造重视弹性的文化
鼓励员工参与
衡量弹性效益
建立衡量指标体系
数据分析评估效果
建立AI委员会
改造安全运营中心
进行业务影响评估
采用数据安全态势管理
加强多因素认证
量化风险影响
展示投资回报率】
