首页。 / 资源 / 新闻及趋势 / ISACA Now博客 / 2023 / 网络安全专业人员2024年要做的五件事

网络安全专业人员2024年要做的五件事

Sandeep Godbole
作者: Sandeep Godbole, CISM, CISA, CISSP, CGEIT,信息安全专家和作家
发表日期: 2023年12月13

编者按:ISACA Now博客展望了2024年,列出了ISACA专家为从事IT审计的专业人士提供的待办事项清单, 风险管理, 信息安全, 隐私和IT治理. 今天,桑迪普·戈德博尔分享了他2024年安全专业人员的待办事项清单. 查看ISACA提供的更多网络安全资源 在这里.

在新年前后, 网络安全澳门赌场官方下载对未来有很多讨论和期待. 我们继续经历技术变革的速度使我们几乎没有时间做好准备. 新的一年 is not an inflection point w在这里 the change is concentrated; rather, 这种变化在一年中是间隔的. 然而,新的一年提醒我们要考虑未来. 这些沉思帮助我们理解将会发生什么, 我们的准备程度和安全战略的优先次序.

安全风险, 长期以来,威胁和恶意行为者一直是互联技术世界的一部分. 恶意行为者和安全团队的意图是一样的. 是恶意行为者的行为发生了变异, 建筑取决于技术的变化和环境的变化.

人工智能(AI)领域, 生成式人工智能应用的快速部署, 接受云作为主要的IT部署结构和区块链技术的部署是更明显的技术趋势. 其中一些趋势还处于萌芽阶段,而另一些已经成熟. 超越技术进步, in 2023, 影响科技界的政治和战略发展也很重要. 世界上出现了军事侵略和国家间的冲突, 甚至和平国家也见证了大量针对数据保护和IT基础设施的立法. 这些动态结合在一起,给安全澳门赌场官方下载带来了巨大的压力.

许多机构在每年的这个时候都会发布他们的年度技术趋势和预测, 这也是安全专业人士为新年制定待办事项清单的时候. 在我看来, 安全澳门赌场官方下载可以通过将这五件事列入2024年的待办事项清单中来获益:建立人工智能知识, 为云架构安全性, 将安全的焦点重新放在人的因素上, 构建安全治理,做好那些无聊的事情.

1. 构建AI知识

当今安全专业人士的流行词是AI(或GenAI)。. 许多组织正在经历应用程序的大量堆积, 利用某种形式的人工智能的实用程序和模型. 作为安全专家, 您可能被期望或已经被要求就此类解决方案的安全性提供建议. 而为特定解决方案做出贡献的安全架构师需要对集成的人工智能解决方案有更深入的了解, 所有的安全专业人员都需要对 与人工智能相关的安全方面. 这需要对AI的理解,以及审查与实施相关的AI方面的能力, 包括解决方案架构, 安全控制, 数据保护, 以及非技术方面, 比如合同.

2. 云架构安全

云计算不再是一个新鲜事物,因为大多数服务已经提供了十多年. 然而, 云采用和各种服务的激增使得安全专业人员对与云部署相关的体系结构方面进行指导变得非常重要. 基于云服务的性质, 安全专业人员在设计或推动与数据保护相关的安全控制的实现方面可以发挥作用, 保护数据流, 用户管理控制, 检测和响应, 服务结束义务, 等. 服务提供者可能提供安全监视接口和实用程序. 安全团队可以通过最大限度地利用这一点来提供支持.

3. 重新将安全重点放在人的因素上

这是一个永远不会过时的优先事项. 新技术带来了新的风险和新的攻击载体,其中许多攻击的目标都是用户. 从用户角度看, 重要的是要认识到,从安全的角度来看,他们需要解决的事情太多了, 而且这个名单不是一成不变的. 例如, 自大型机时代以来,与密码保密相关的用户意识就一直存在, 从那时起, 随着新服务和新产品的推出,还会增加更多的功能. 基于云的源代码管理系统需要专业知识来确保安全使用并避免代码凭据嵌入.

更一般地说,需要定期修订与用户安全意识有关的元素. 安全事件分析, 以及采用新技术的计划, 能否帮助确定与安全中的人为因素相关的其他领域.

4. 构建安全治理

工作在一个动态的环境中,工具, 流程, 风险和优先级的不断变化不是一件容易的事. 与风险、工具和控制相关的多样性带来了治理挑战. 适当的安全治理支持对齐, 多个安全方面的集成和管理. 安全治理需要组织, 在不同的层次上, 回顾, 评估并引导组织达到适当的安全级别. 确保将技术变更作为治理范围的一部分来处理是非常重要的. 安全专业人员,利用相关框架,如 COBIT在这个过程中扮演着重要的角色.

5. 把无聊的事情做好

在新的一年里,不要让所有的新趋势和新技术分散了你对基本面的关注. 新奇的事物总是能吸引人们的兴趣,而常规的活动很少能吸引人们的目光. 然而,在保护任何组织时,基本的安全控制是最重要的. 无论采用何种技术,做好基础工作都是至关重要的. 数据分类等控制, 加密, 多因素身份验证, 端点检测, 云安全相关解决方案, 外部机构安全评分和组织特定的暗网情报在保护组织方面有很长的路要走. 不管是什么技术, 基本安全控制在保护组织方面保持其重要性.

不同的组织将有不同的优先级和不同的风险概况. 上述讨论提供了可被认为适用于各种组织的输入. 保安专业人士, 与组织优先级和活动保持一致可以产生最佳价值,并导致有效的风险管理. 了解技术趋势和当前的安全环境有助于提供最佳的安全风险管理. 新的一年, 2024, 对于安全专业人员来说,这将是一个令人兴奋的消息, 我相信你会喜欢这次旅行的.

额外的资源

维罗妮卡罗斯
博客

审计专业人员2024年待办事项清单上的五件事

优先upskilling, 参与指导计划和与利益相关者的真实接触是可以让IT审计人员在2024年有一个良好开端的方法之一.

2023年12月11日
玛丽卡迈克尔
博客

风险专业人士2024年待办事项清单上的五件事

接受风险管理在支持业务战略增长方面可以发挥的作用,是风险专业人士应该列入2024年待办事项清单的项目之一.

2023年12月12日
网络安全
网页

网络安全意识资源

ISACA提供跨审计的信息网络安全资源 & 保证、治理、澳门赌场官方下载、信息安全和风险主题.
CISM
博客

在过去的20年里,信息安全变得越来越具有挑战性

为了纪念ISACA认证信息安全管理器(CISM)问世一周年,我们采访了20位认证信息安全管理器持有者,收集他们对自2002年CISM问世以来信息安全领域出现的最大挑战的评论.

2022年4月27日

ISACA年度报告

2024
复选标记

2023
复选标记

2022
复选标记

2021
复选标记

2020
复选标记