德勤公布2023年网络安全十大战略预测
网络安全并不容易。在过去的几个月里,包括Uber,Cisco,Twilio和Rockstar Games在内的组织都因网络攻击而成为数据泄露的受害者。最近,德勤的一些领先分析师与VentureBeat进行了交谈,分享了他们对2023年最重要的战略网络安全预测
德勤分析师揭示了一系列预测,包括网络安全、面向未来的准备和组织弹性在帮助企业更好地控制未来对威胁行为者的风险方面的重要性。
1.董事会网络安全准备将成为业务的当务之急
随着网络威胁形势的不断发展和变得越来越复杂,董事会在网络风险监督中的作用变得越来越重要。随着组织在持续增长的同时优先考虑客户信任,董事会可以帮助将网络定位为战略推动者,以在客户、供应商、员工和股东之间建立更牢固的关系。
认识到稳健的网络安全态势可以直接对财务影响产生价值,使董事会能够更有效地监督网络安全风险管理活动。美国证券交易委员会最近的提案强调治理、风险管理、战略和及时通知投资者,应鼓励领导者考虑以网络风险和董事会为核心来发展和塑造他们当前和未来的商业模式。
2.连接设备的可见性和安全性将是大多数组织关注的主要领域
(德勤美国网络危机管理主管合伙人玛丽·加利根)
多年来,大多数组织都部署了物联网连接设备,但通常没有足够的安全治理。随着连接设备数量的增加,它们所连接的网络和生态系统的攻击面也在增长,从而带来成倍增加的安全性、数据和隐私风险。
领先的组织将在未来一年专注于连接设备网络实践,建立或更新相关政策和程序,更新其物联网连接设备的清单,监控和修补设备,磨练设备采购和处置实践,同时考虑到安全性,关联物联网和IT网络,更密切地监控连接设备以进一步保护这些端点, 管理漏洞,并对事件做出响应。
3.新兴技术的安全性对于其采用至关重要
(德勤美国网络物联网主管合伙人温迪·弗兰克)
随着物联网、区块链、5G、量子和其他技术的应用不断加速,与这些技术相关的网络安全风险继续变得明显。
采用这些技术将有助于管理组织的战略增长计划,但是,它们的持续成功将基于组织导航和实施适当技术安全措施的能力。
4.以数据为中心的安全和隐私将成为建立品牌和客户信任的必要条件
(德勤美国网络与战略风险转型与新兴技术主管合伙人-Kieran Norton)
企业和客户之间的数字互动是一种新的生活方式——组织近 72%的客户互动是数字化的。这提高了客户对更好地控制其数据的期望,并提高了组织策略的透明度。
这提高了客户的期望,即更好地控制他们的数据,并提高组织围绕数据处理的政策的透明度 - 通常是为了换取共享更多数据的意愿,并在公司受到信任的情况下变得更加参与。
因此,组织越来越迫切地意识到,要实现信任维度,并将数据隐私、安全性和合规性作为加强传统方法以增强客户体验和品牌认知度的机制。
5.着眼于未来准备
(德勤网络与战略风险美国数据和隐私主管合伙人-Criss Bradbury)
回顾过去,过去几年向我们展示了变化发生的速度有多快——从行业动态到地缘政治气候、颠覆性技术和企业优先事项,这强调了为未来做好准备的必要性。变化是唯一不变的,它为我们带来了发展和创新网络风险管理实践的机会。
随着更多的技术突破和频繁变化的市场趋势,组织有巨大的机会利用网络为其客户引入更多价值和竞争优势,同时先发制人地解决即将出现的未开发的风险和威胁。
无论是规划近期市场创新还是遵守日益增加的监管和报告要求,组织都需要积极评估和构建统一的网络战略,以使业务足够敏捷,以便在未来机会出现之前抓住它们。
6.组织弹性仍将是重点
(德勤美国网络与战略风险主管合伙人黛博拉·戈尔登-Deborah Golden)
随着业务数字化的继续,组织在全球市场中的联系越来越紧密,从而扩大了攻击面,增加了中断的频率和影响。众多供应链、地缘政治、环境和网络攻击事件组织正面临着传统风险计划的挑战,并受到越来越多的监管审查。
通过对威胁核心业务运营的场景进行综合分析,组织可以采用新技术和新技术,培养对新威胁的态势感知能力,并提高其应对中断的能力。
7.复杂的供应链安全风险将持续显现
(德勤网络风险服务基础设施业务美国技术弹性主管合伙人Pete Renneker)
当今高度互联的全球经济促使组织严重依赖其供应链 - 从物理和数字产品中的组件到日常运营所需的服务。
这种关键的相互依存关系使得供应链安全和风险转型成为当今全球互联企业的当务之急。
组织现在需要一种整体方法,其中包括从时间点第三方评估转向实时监控入站打包软件和固件组件中的第三方风险和漏洞。
例如,这包括围绕引入软件物料清单 (SBOM) 实施领先的实践技术,并将输出与新出现的漏洞相关联,识别风险指标(如底层组件的地理来源),并提供对传递依赖项的可见性。
组织还专注于部署和操作身份和访问管理 (IAM) 以及零信任功能,以更好地实施授权的第三方对系统和数据的访问,并减少第三方受损的后果。
引入供应链的威胁在复杂性、规模和频率方面不断演变,因此组织需要继续保持这一势头,创新和成熟其供应链安全和风险转型能力。
8.由于严重的网络人才短缺和劳动力成本的增加,组织人才整合和外包将不断发展
德勤美国网络安全供应链主管合伙人陈莎朗
随着网络安全风险的广度、复杂性和频率与日俱增,以及利益相关者(监管部门、董事会和员工)管理网络安全风险的压力越来越大,组织对熟练且经验丰富的网络人才有着巨大的需求。
这种需求加上网络人才市场短缺,特别是训练有素的专业技能短缺,使得吸引和培训利基、难以找到的人才变得极其困难。组织正在争先恐后地填补所需的职位,这影响了他们管理网络风险的能力。
随着人才短缺的持续增长,越来越多的组织将考虑外包和管理核心网络安全职能等替代方案。为了保持敏捷性并优化运营流程,组织将需要专注于招聘和留住利基网络人才以及外包策略。
9.云安全方法、产品和技术将加速成熟
(德勤美国网络与战略风险主管合伙人黛博拉·戈尔登-Deborah Golden)
云服务的激增和DevOps等新开发方法的出现正在创造前所未有的可能性,推动许多组织迁移到云并对现有应用程序进行现代化改造。这种演变通过加速开发、增强的可扩展性和协作、新的收入流、业务敏捷性和更大的技术弹性为业务增长提供了机会。
随着这些部署的成熟以及更多的数据和业务功能托管在云中,人们越来越意识到,如果不将安全性融入转型过程,代价高昂的监管失误和破坏性的网络攻击可能会抹去好处。
通过将安全性和数字化转型结合起来,并利用基于云的架构的交叉性、现代化的“安全设计”流程来增强开发人员体验和采用零信任原则,组织可以实现敏捷的安全转型,从而增强信心。
10.制造业和其他环境中对运营技术不断变化的威胁
(德勤美国网络云主管合伙人Vikram Kunchala)
网络攻击者越来越多地将运营技术(OT)环境武器化,以攻击控制工业流程和安全OT网络的硬件和软件。熟练的劳动力短缺以及重叠的 IT 和 OT 环境可能会使网络事件难以遏制。
组织可以实施网络威胁识别、检测和预防控制,以解决 OT 安全风险,方法是采取措施,包括提高设备的可见性、实施 OT 网络分段、为 OT 环境实施安全工具、关联来自 OT 和 IT 网络的安全信息,以及建立解决两者的安全运营中心 (SOC)。