德勤发布2023年网络安全的十大战略预测
德勤公司的分析师提出了一系列预测,并指出了网络安全、未来的前瞻性以及业务弹性在帮助企业更好地控制未来威胁行为者的风险方面发挥的重要作用。
1.企业董事会的网络安全准备将成为企业的当务之急
德勤公司美国网络危机管理负责人Mary Galligan:随着网络威胁形势的持续发展和日益复杂,企业董事会在网络风险监管方面发挥的作用变得越来越重要。随着企业将客户信任与持续增长放在一起,企业董事会将网络定位为战略推动者,以在客户、供应商、员工和股东之间建立更牢固的关系。
认识到稳健的网络安全态势对财务影响的直接价值,使企业董事会能够更有效地监督网络安全风险管理活动。美国证券交易委员会最近的建议强调了治理、风险管理、战略和及时通知投资者,这应该鼓励领导者考虑以网络风险和企业董事会为中心,发展和塑造他们当前和未来的业务模式。
2.物联网设备可见性和安全性将是大多数企业关注的主要领域
德勤公司美国网络物联网主管Wendy Fran:多年来,大多数企业都部署了物联网设备,但往往缺乏足够的安全治理。随着物联网设备数量的增长,它们所连接的网络和生态系统受到的网络攻击面也在增长,从而带来了更多的安全、数据和隐私风险。
在未来的一年里,行业领先的企业将通过建立或更新相关的政策和程序,更新其物联网设备的清单,监控和修补设备,在考虑到安全的情况下完善设备采购和处置实践,将物联网和IT网络相关联,更密切地监控连接设备,以进一步确保这些端点的安全,管理漏洞,并响应事件。
3.新兴技术的安全性对其采用至关重要
德勤公司美国转型与新兴技术网络与战略风险负责人Kieran Norton:随着物联网、区块链、5G、量子计算和其他技术的应用继续加速,与这些技术相关的网络安全风险将变得更加明显。
采用这些技术将有助于管理企业的战略增长计划,然而,它们的持续成功将基于企业导航和实施适当的技术安全措施的能力。
4.以数据为中心的安全和隐私对于建立品牌和客户信任至关重要
德勤公司美国数据与隐私网络与战略风险负责人Criss Bradbury:企业和客户之间的数字互动是一种新的生活方式,企业中将近72%的客户互动是数字的。
这提高了客户对自己的数据有更大控制权的期望,也提高了企业数据处理政策的透明度——这通常是为了获得更多的共享数据的意愿,如果企业值得信任,他们会更积极地参与进来。
因此,企业越来越迫切需要实现信任的维度,并将数据隐私、安全和合规纳入机制,以支持加强客户体验和品牌感知的方法。
5.为未来的安全做好准备
德勤美国网络与战略风险主管Deborah Golden:当回顾过去的几年,我们看到变化发生得有多快——从行业动态到地缘政治气候、颠覆性技术和企业优先事项,这强调了为未来安全做好准备的必要性。变化是唯一不变的,它带来了发展和创新网络风险管理实践的机会。
随着更多的技术突破和不断变化的市场趋势,企业有很多的机会利用网络为客户带来更多价值和竞争优势,同时预先应对尚未发现的风险和威胁。
无论是规划近期的市场创新,还是遵守日益增加的监管和报告要求,企业都需要积极评估并建立统一的网络战略,使业务足够敏捷,在机会出现时抓住它们。
6.企业的弹性将仍然是重点
德勤公司美国网络风险服务基础设施业务技术弹性主管Pete Renewer:随着业务数字化的继续,企业在全球市场中的联系越来越紧密,从而扩大了网络攻击面,增加了中断的频率和影响。大量的供应链、地缘政治、环境和网络攻击事件正挑战着传统的风险程序,并吸引着越来越多的监管审查。
通过对威胁核心业务运营的场景进行综合分析,企业可以采用新的技术,对新出现的威胁进行态势感知,提高对中断的响应能力。
7.复杂的供应链安全风险将继续存在
德勤公司美国网络风险安全供应链负责人Sharon Chand:当今全球经济的超级互联已经促使企业严重依赖其供应链——从实体和数字产品中的组件到日常运营所需的服务。
这种关键的相互依赖使得供应链安全成为当今全球互联企业的当务之急。
企业现在需要一种全面的方法,包括从实时的第三方评估转向对入站打包软件和固件组件中的第三方风险和漏洞的实时监控。
例如,这包括围绕软件材料清单(SBOM)实施行业领先的实践技术,并将输出与新出现的漏洞相关联,识别风险指标,如底层组件的地理来源,以及提供可传递依赖性的可见性。
企业也在关注部署和操作身份和访问管理(IAM)和零信任功能,以更好地管理授权第三方访问系统和数据,并减少第三方泄露的后果。
引入供应链的威胁在复杂性、规模和频率上持续发展,因此企业需要继续创新并完善其供应链安全和降低风险的能力。
8.由于网络人才严重短缺和劳动力成本不断上升,企业人才整合和外包将不断演变
德勤公司美国网络与战略风险主管Deborah Golden:随着网络安全风险的广度、复杂性和频率与日俱增,以及来自利益相关方(监管机构、董事会和员工)管理网络安全风险的压力越来越大,企业对熟练和有经验的网络人才有着巨大的需求。
网络人才市场的短缺,尤其是训练有素的专业技能的短缺,使这种需求更加强烈,这使得吸引和培养难以找到的人才变得极其困难。企业争相填补所需职位,影响了他们管理网络风险的能力。
9.云安全方法、产品和技术将加速成熟
德勤公司美国网络云计算业务负责人Vikram Kunchala:云计算服务的普及和像Devops这样的新开发方法的出现正在创造前所未有的可能性,推动许多企业将业务迁移到云平台上,并使现有的应用程序现代化。这种发展通过加速开发、增强可扩展性和协作、新的收入流、业务敏捷性和更强的技术弹性为业务增长提供了机会。
随着这些部署的成熟,越来越多的数据和业务功能被托管在云中,人们越来越意识到,如果不将安全纳入转型过程,成本高昂的监管失误和破坏性的网络攻击可能会让这些好处化为乌有。
通过将安全和数字化转型结合起来,利用基于云计算的架构的交叉性,现代化的“设计安全”流程来增强开发人员的体验,并采用零信任原则,企业可以实现敏捷的安全转型,以提高信心。
10.在制造和其他环境中对运营技术的不断演变的威胁
德勤公司美国和全球网络OT负责人Ramsey Hajj:网络攻击者越来越多地将运营技术(OT)环境武器化,以攻击控制工业过程的硬件和软件。熟练劳动力短缺以及IT和OT环境重叠,将会使控制网络事件变得困难。
企业可以通过采取一些步骤来实施网络威胁识别、检测和预防控制,以降低安全风险。企业可以通过提高设备的可见性、实施OT网络分割、实施OT环境的安全工具、关联OT和IT网络的安全信息,以及建立安全运营中心(SOC)来解决OT问题。
