在企業(yè)組織數(shù)字化轉型發(fā)展過程中，網(wǎng)絡安全合規(guī)運營一直發(fā)揮著重要的作用，是企業(yè)積極開展網(wǎng)絡安全建設的主要驅動因素之一。專家預測，網(wǎng)絡安全合規(guī)運營工作在2024年將會迎來巨大變革，原因如下：

· 數(shù)字信任正日益成為企業(yè)組織和政府機構的基本性發(fā)展訴求；

· 行業(yè)監(jiān)管機構對受監(jiān)管實體組織的監(jiān)管要求日益嚴格，但是對企業(yè)的合規(guī)運營能力缺乏信任；

· 企業(yè)對第三方供應商的風險管理歷來投入有限，但隨著供應鏈安全事件日益頻發(fā)，企業(yè)將重新評估對第三方供應商的合規(guī)要求；

· 隨著攻擊者開始大量使用人工智能（AI），公眾對AI技術的安全合規(guī)使用逐漸失去信任。

由此看來，2024年將是企業(yè)網(wǎng)絡安全合規(guī)運營的關鍵一年，企業(yè)應該加大對網(wǎng)絡安全合規(guī)運營的投入來建立數(shù)字信任，并為數(shù)字化業(yè)務發(fā)展建立競爭優(yōu)勢。以下是安全專家對2024年網(wǎng)絡安全合規(guī)運營發(fā)展變化的6個預測：

預測1. 網(wǎng)絡安全合規(guī)運營會成為企業(yè)業(yè)務發(fā)展的驅動因素

2023年，供應鏈安全和數(shù)據(jù)泄密對企業(yè)數(shù)字化業(yè)務運營的挑戰(zhàn)持續(xù)加大。因此在2024年，積極主動的企業(yè)需要在維護現(xiàn)有的網(wǎng)絡安全認證（比如SOC 2和ISO）基礎上，進一步擴大這些外部驗證的數(shù)量，以證明可信度。企業(yè)如果能夠通過有效的安全合規(guī)運營確保遵守行業(yè)公認的網(wǎng)絡安全框架來證明其可信度，就會更順暢地實現(xiàn)盈利。企業(yè)的合規(guī)審計委員會將與業(yè)務部門負責人更緊密合作，展示本企業(yè)值得信賴的網(wǎng)絡安全實踐。如果在銷售周期的早期主動分享這些細節(jié)，企業(yè)可以避免耗時的TPRM問卷調查，并加快合規(guī)進度。同時，遵守網(wǎng)絡安全實踐也是吸引和留住頂尖人才的關鍵因素。

預測2. 第三方供應商和服務提供商需要為企業(yè)分擔更多的網(wǎng)絡安全風險

2024年，企業(yè)應該將盡可能多的網(wǎng)絡安全風險合法轉移給供應商和服務提供商。這將包括與網(wǎng)絡安全和隱私相關的業(yè)務風險，特別是未經(jīng)授權披露、更改或銷毀企業(yè)的機密信息。這個策略將充當限制潛在法律責任和控制成本的一種手段。
在此背景下，企業(yè)會竭力將數(shù)據(jù)處理或存儲以及相關風險轉移給第三方供應商或服務商，盡量減少對自身的合規(guī)風險。由于國家監(jiān)管層面的數(shù)據(jù)法規(guī)數(shù)量激增，隱私法律層出不窮，試圖使用這種策略的企業(yè)可能會發(fā)現(xiàn)很復雜。盡管數(shù)字化發(fā)展中的安全風險無法從根本上消除，但可以降低到企業(yè)可以接受的程度。

預測3. 企業(yè)網(wǎng)絡安全信息披露程序需要重新評估

2023年，行業(yè)監(jiān)管機構對企業(yè)合規(guī)信息披露提出了一些新的要求，旨在進一步增強投資者對企業(yè)網(wǎng)絡安全成熟度的信任。在2024年，我們會看到企業(yè)向其合作伙伴傳達以上立場以及市場和監(jiān)管機構對此的反應。
2024年，企業(yè)組織需要重新評估網(wǎng)絡安全相關信息的披露程序，確保用于披露數(shù)據(jù)的完整性和來源。在企業(yè)內(nèi)部，組織必須隨時準備向內(nèi)部審計委員會展示其工作。在企業(yè)外部，組織則需要確保新的風險披露聲明與公認的相關行業(yè)術語相一致，這樣才可以方便利益相關者了解企業(yè)如何管理其獨特的安全和隱私風險及機會。

預測4. 企業(yè)對網(wǎng)絡安全合規(guī)運營的投入將繼續(xù)增加

2024年，企業(yè)需要繼續(xù)認識到對合規(guī)運營進行投入的必要性。由于收集和測試控制合規(guī)運營的證據(jù)可能很耗費人力，為了大范圍執(zhí)行，企業(yè)必須實現(xiàn)自動化。鑒于這些挑戰(zhàn)，對合規(guī)運營加大投入將是企業(yè)組織正確的選擇。為提升合規(guī)運營能力提供自動化技術支撐，可以博得投資者和公眾的信任，同時，自動化系統(tǒng)也可以比人工方法更高效地進行合規(guī)風險審計與防護。

預測5. CISO將被視為業(yè)務合規(guī)風險防護顧問，而不僅是網(wǎng)絡安全的責任人

2024年，CISO會在更多的組織中，被視為業(yè)務風險防護的顧問，而不僅僅是風險的管理者和責任人。企業(yè)會更嚴格地審視CISO如何就潛在的數(shù)字業(yè)務風險向業(yè)務系統(tǒng)所有者提供建議，并幫助他們?yōu)榻鉀Q這些風險做出決策。比如說，CISO的安全運營團隊需要能夠識別并強調與勒索軟件風險加大導致的相關潛在業(yè)務風險。然后向業(yè)務部門及時闡述，并與業(yè)務負責人一起量化描述該風險的潛在影響。然后，企業(yè)管理者需要決定采用額外的控制措施、接受風險，還是考慮將風險轉移給第三方或網(wǎng)絡保險企業(yè)。

預測6. 合規(guī)監(jiān)管或將把AI推向幻滅低谷

近年來，社會對AI的前景抱有過高的期望。Gartner炒作周期的下一個階段是“幻滅低谷”，這倒不是由于技術限制。數(shù)據(jù)顯示，企業(yè)組織的CISO們已經(jīng)普遍預測2024年的預算將持平或減少，而AI被一些人譽為可以花更少的錢做更多的事，這可能進一步引導企業(yè)將有限的資金用在像AI這樣的賦能技術上。但實際上，如果一家服務商聲稱其產(chǎn)品實現(xiàn)了神奇的AI應用，就需要準備向監(jiān)管部門解釋具體是什么類型的AI產(chǎn)品，而不只是貼上一個AI的標簽。AI技術號稱是網(wǎng)絡安全領域的下一大熱點，但CISO已經(jīng)厭倦了將AI作為產(chǎn)品推銷的噱頭，公共監(jiān)管部門也開始對各種AI噱頭展開調查，這些因素可能導致企業(yè)在2024年對AI技術應用幻想迅速破滅。
但這并不意味著AI投資將會枯竭，有效的AI技術會得到最終用戶和買家的信任。企業(yè)中適當使用AI還能帶來其他方面的好處。如果企業(yè)能夠負責任、切實地利用AI技術，2024年將大有可期。

原文來源：安全牛