在企業(yè)組織數(shù)字化轉(zhuǎn)型發(fā)展過程中，網(wǎng)絡(luò)安全合規(guī)運營一直發(fā)揮著重要的作用，是企業(yè)積極開展網(wǎng)絡(luò)安全建設(shè)的主要驅(qū)動因素之一。專家預(yù)測，網(wǎng)絡(luò)安全合規(guī)運營工作在2024年將會迎來巨大變革，原因如下：

• 數(shù)字信任正日益成為企業(yè)組織和政府機構(gòu)的基本性發(fā)展訴求；
• 行業(yè)監(jiān)管機構(gòu)對受監(jiān)管實體組織的監(jiān)管要求日益嚴(yán)格，但是對企業(yè)的合規(guī)運營能力缺乏信任；
• 企業(yè)對第三方供應(yīng)商的風(fēng)險管理歷來投入有限，但隨著供應(yīng)鏈安全事件日益頻發(fā)，企業(yè)將重新評估對第三方供應(yīng)商的合規(guī)要求；
• 隨著攻擊者開始大量使用人工智能（AI），公眾對AI技術(shù)的安全合規(guī)使用逐漸失去信任。

由此看來，2024年將是企業(yè)網(wǎng)絡(luò)安全合規(guī)運營的關(guān)鍵一年，企業(yè)應(yīng)該加大對網(wǎng)絡(luò)安全合規(guī)運營的投入來建立數(shù)字信任，并為數(shù)字化業(yè)務(wù)發(fā)展建立競爭優(yōu)勢。以下是安全專家對2024年網(wǎng)絡(luò)安全合規(guī)運營發(fā)展變化的6個預(yù)測：

預(yù)測1. 網(wǎng)絡(luò)安全合規(guī)運營會成為企業(yè)業(yè)務(wù)發(fā)展的驅(qū)動因素

2023年，供應(yīng)鏈安全和數(shù)據(jù)泄密對企業(yè)數(shù)字化業(yè)務(wù)運營的挑戰(zhàn)持續(xù)加大。因此在2024年，積極主動的企業(yè)需要在維護現(xiàn)有的網(wǎng)絡(luò)安全認(rèn)證（比如SOC 2和ISO）基礎(chǔ)上，進一步擴大這些外部驗證的數(shù)量，以證明可信度。企業(yè)如果能夠通過有效的安全合規(guī)運營確保遵守行業(yè)公認(rèn)的網(wǎng)絡(luò)安全框架來證明其可信度，就會更順暢地實現(xiàn)盈利。

企業(yè)的合規(guī)審計委員會將與業(yè)務(wù)部門負(fù)責(zé)人更緊密合作，展示本企業(yè)值得信賴的網(wǎng)絡(luò)安全實踐。如果在銷售周期的早期主動分享這些細(xì)節(jié)，企業(yè)可以避免耗時的TPRM問卷調(diào)查，并加快合規(guī)進度。同時，遵守網(wǎng)絡(luò)安全實踐也是吸引和留住頂尖人才的關(guān)鍵因素。

預(yù)測2. 第三方供應(yīng)商和服務(wù)提供商需要為企業(yè)分擔(dān)更多的網(wǎng)絡(luò)安全風(fēng)險

2024年，企業(yè)應(yīng)該將盡可能多的網(wǎng)絡(luò)安全風(fēng)險合法轉(zhuǎn)移給供應(yīng)商和服務(wù)提供商。這將包括與網(wǎng)絡(luò)安全和隱私相關(guān)的業(yè)務(wù)風(fēng)險，特別是未經(jīng)授權(quán)披露、更改或銷毀企業(yè)的機密信息。這個策略將充當(dāng)限制潛在法律責(zé)任和控制成本的一種手段。

在此背景下，企業(yè)會竭力將數(shù)據(jù)處理或存儲以及相關(guān)風(fēng)險轉(zhuǎn)移給第三方供應(yīng)商或服務(wù)商，盡量減少對自身的合規(guī)風(fēng)險。由于國家監(jiān)管層面的數(shù)據(jù)法規(guī)數(shù)量激增，隱私法律層出不窮，試圖使用這種策略的企業(yè)可能會發(fā)現(xiàn)很復(fù)雜。盡管數(shù)字化發(fā)展中的安全風(fēng)險無法從根本上消除，但可以降低到企業(yè)可以接受的程度。

預(yù)測3. 企業(yè)網(wǎng)絡(luò)安全信息披露程序需要重新評估

2023年，行業(yè)監(jiān)管機構(gòu)對企業(yè)合規(guī)信息披露提出了一些新的要求，旨在進一步增強投資者對企業(yè)網(wǎng)絡(luò)安全成熟度的信任。在2024年，我們會看到企業(yè)向其合作伙伴傳達(dá)以上立場以及市場和監(jiān)管機構(gòu)對此的反應(yīng)。

2024年，企業(yè)組織需要重新評估網(wǎng)絡(luò)安全相關(guān)信息的披露程序，確保用于披露數(shù)據(jù)的完整性和來源。在企業(yè)內(nèi)部，組織必須隨時準(zhǔn)備向內(nèi)部審計委員會展示其工作。在企業(yè)外部，組織則需要確保新的風(fēng)險披露聲明與公認(rèn)的相關(guān)行業(yè)術(shù)語相一致，這樣才可以方便利益相關(guān)者了解企業(yè)如何管理其獨特的安全和隱私風(fēng)險及機會。

預(yù)測4. 企業(yè)對網(wǎng)絡(luò)安全合規(guī)運營的投入將繼續(xù)增加

2024年，企業(yè)需要繼續(xù)認(rèn)識到對合規(guī)運營進行投入的必要性。由于收集和測試控制合規(guī)運營的證據(jù)可能很耗費人力，為了大范圍執(zhí)行，企業(yè)必須實現(xiàn)自動化。鑒于這些挑戰(zhàn)，對合規(guī)運營加大投入將是企業(yè)組織正確的選擇。為提升合規(guī)運營能力提供自動化技術(shù)支撐，可以博得投資者和公眾的信任，同時，自動化系統(tǒng)也可以比人工方法更高效地進行合規(guī)風(fēng)險審計與防護。

預(yù)測5. CISO將被視為業(yè)務(wù)合規(guī)風(fēng)險防護顧問，而不僅是網(wǎng)絡(luò)安全的責(zé)任人

2024年，CISO會在更多的組織中，被視為業(yè)務(wù)風(fēng)險防護的顧問，而不僅僅是風(fēng)險的管理者和責(zé)任人。企業(yè)會更嚴(yán)格地審視CISO如何就潛在的數(shù)字業(yè)務(wù)風(fēng)險向業(yè)務(wù)系統(tǒng)所有者提供建議，并幫助他們?yōu)榻鉀Q這些風(fēng)險做出決策。比如說，CISO的安全運營團隊需要能夠識別并強調(diào)與勒索軟件風(fēng)險加大導(dǎo)致的相關(guān)潛在業(yè)務(wù)風(fēng)險。然后向業(yè)務(wù)部門及時闡述，并與業(yè)務(wù)負(fù)責(zé)人一起量化描述該風(fēng)險的潛在影響。然后，企業(yè)管理者需要決定采用額外的控制措施、接受風(fēng)險，還是考慮將風(fēng)險轉(zhuǎn)移給第三方或網(wǎng)絡(luò)保險企業(yè)。

預(yù)測6. 合規(guī)監(jiān)管或?qū)袮I推向幻滅低谷

近年來，社會對AI的前景抱有過高的期望。Gartner炒作周期的下一個階段是“幻滅低谷”，這倒不是由于技術(shù)限制。數(shù)據(jù)顯示，企業(yè)組織的CISO們已經(jīng)普遍預(yù)測2024年的預(yù)算將持平或減少，而AI被一些人譽為可以花更少的錢做更多的事，這可能進一步引導(dǎo)企業(yè)將有限的資金用在像AI這樣的賦能技術(shù)上。

但實際上，如果一家服務(wù)商聲稱其產(chǎn)品實現(xiàn)了神奇的AI應(yīng)用，就需要準(zhǔn)備向監(jiān)管部門解釋具體是什么類型的AI產(chǎn)品，而不只是貼上一個AI的標(biāo)簽。AI技術(shù)號稱是網(wǎng)絡(luò)安全領(lǐng)域的下一大熱點，但CISO已經(jīng)厭倦了將AI作為產(chǎn)品推銷的噱頭，公共監(jiān)管部門也開始對各種AI噱頭展開調(diào)查，這些因素可能導(dǎo)致企業(yè)在2024年對AI技術(shù)應(yīng)用幻想迅速破滅。

但這并不意味著AI投資將會枯竭，有效的AI技術(shù)會得到最終用戶和買家的信任。企業(yè)中適當(dāng)使用AI還能帶來其他方面的好處。如果企業(yè)能夠負(fù)責(zé)任、切實地利用AI技術(shù)，2024年將大有可期。

參考鏈接：https://hyperproof.io/resource/6-compliance-operations-predictions-2024/