首席信息安全官（CISO）在2024年面臨前所未有的壓力。在過去，CISO的職責(zé)可能僅僅是保護(hù)企業(yè)的技術(shù)堆棧，但今天，他們的角色涵蓋了風(fēng)險(xiǎn)管理、資源分配、法律合規(guī)、甚至推動(dòng)業(yè)務(wù)發(fā)展等多個(gè)維度。以下是2024年CISO們最關(guān)注的十大挑戰(zhàn)：

1.威脅態(tài)勢不斷惡化

網(wǎng)絡(luò)威脅的數(shù)量和復(fù)雜性持續(xù)攀升。ISC2的CISO喬恩·弗朗斯表示，當(dāng)前的威脅環(huán)境是過去五年來最具挑戰(zhàn)性的。伴隨著攻擊面不斷擴(kuò)大，CISO們?cè)趹?yīng)對(duì)這些威脅時(shí)往往被“拉向不同方向”，難以全面兼顧。

2.保護(hù)動(dòng)態(tài)環(huán)境而不增加“數(shù)字摩擦”

CISO不僅需要防范不斷增加的威脅，還要避免對(duì)業(yè)務(wù)產(chǎn)生“數(shù)字摩擦”。BPM公司的CISO范迪·哈米迪指出，技術(shù)的快速變化要求CISO在降低風(fēng)險(xiǎn)的同時(shí)，還要避免給業(yè)務(wù)帶來阻礙。這要求安全團(tuán)隊(duì)與其他部門密切合作，以平衡安全和業(yè)務(wù)需求。

3.監(jiān)管“雪崩”

隨著法規(guī)數(shù)量的激增，CISO們面臨越來越多的合規(guī)要求。Doodle的CISO尼爾·哈珀稱之為“監(jiān)管雪崩”，舉例說明了NIS2指令和歐盟的數(shù)字運(yùn)營韌性法案（DORA）。此外，各地區(qū)之間的法規(guī)差異也導(dǎo)致CISO們面臨“監(jiān)管不協(xié)調(diào)”的困境，這大大增加了合規(guī)的難度。

4.供應(yīng)鏈和第三方風(fēng)險(xiǎn)

供應(yīng)鏈安全成為CISO關(guān)注的焦點(diǎn)。由于公司對(duì)供應(yīng)鏈安全的控制有限，攻擊者日益瞄準(zhǔn)第三方供應(yīng)商。Equifax的CISO賈米爾·法什奇指出，企業(yè)與第三方的接觸愈發(fā)頻繁，且供應(yīng)鏈攻擊的成功率增加，迫使安全團(tuán)隊(duì)重新審視供應(yīng)商和軟件組件的安全。

5.安全責(zé)任的增加

美國證券交易委員會(huì)（SEC）對(duì)SolarWinds及其CISO的起訴標(biāo)志著CISO個(gè)人責(zé)任的增加，許多CISO如今需要確保他們的決策符合法律要求，并在董事和高管責(zé)任保險(xiǎn)（D&O）覆蓋下進(jìn)行操作。

6.在企業(yè)內(nèi)部確保AI安全

AI技術(shù)的興起給安全團(tuán)隊(duì)帶來新的挑戰(zhàn)。企業(yè)內(nèi)部的AI應(yīng)用需要在保護(hù)敏感數(shù)據(jù)的同時(shí)不阻礙創(chuàng)新發(fā)展，許多CISO為此制定了嚴(yán)格的AI治理政策，以確保數(shù)據(jù)安全與AI技術(shù)的快速發(fā)展之間的平衡。

7.防范AI驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊

AI不僅加速了企業(yè)的創(chuàng)新，同時(shí)也為攻擊者提供了強(qiáng)大的工具。生成式AI能夠生成逼真的虛假內(nèi)容，使得傳統(tǒng)的詐騙和社交工程攻擊更具迷惑性。CISO們正通過AI技術(shù)來反制AI驅(qū)動(dòng)的威脅，以遏制由AI支持的惡意活動(dòng)。

8.獲取充足資源

人才和預(yù)算資源短缺是CISO長期面臨的問題。2024年ISC2的研究顯示，全球網(wǎng)絡(luò)安全崗位需求缺口達(dá)到480萬，這對(duì)企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)的建設(shè)構(gòu)成了巨大壓力。CISO們不僅需要填補(bǔ)這一短缺，還需要吸引和培養(yǎng)多元化的人才。

9.提高安全在企業(yè)內(nèi)的地位

安全文化的建立至關(guān)重要，許多CISO依然發(fā)現(xiàn)安全部門往往被孤立對(duì)待。隨著更多企業(yè)推行DevSecOps實(shí)踐以及CISO在高級(jí)管理層中的影響力增加，安全正逐漸被視為業(yè)務(wù)要求而非單純的技術(shù)問題。

10.實(shí)現(xiàn)“零摩擦”運(yùn)營

在不斷變化的威脅和技術(shù)環(huán)境中，保持運(yùn)營卓越始終是CISO的核心目標(biāo)。安全團(tuán)隊(duì)需要在理解企業(yè)業(yè)務(wù)活動(dòng)的基礎(chǔ)上，前瞻性地實(shí)施安全策略，而非被動(dòng)應(yīng)對(duì)。CISO們正致力于實(shí)現(xiàn)安全更新無縫融入現(xiàn)有系統(tǒng)，從而實(shí)現(xiàn)“零摩擦”運(yùn)營。

在2024年，CISO面臨的全新挑戰(zhàn)涵蓋了從監(jiān)管合規(guī)、技術(shù)創(chuàng)新到團(tuán)隊(duì)資源等多個(gè)維度。面對(duì)這一系列挑戰(zhàn)，CISO們不僅是安全防線的守護(hù)者，也是推動(dòng)企業(yè)數(shù)字化變革的關(guān)鍵推動(dòng)者。