但要保持領先地位，不僅僅需要實施下一套尖端工具或技術，這需要轉變思維方式——即將網絡安全不僅僅視為一項技術職能，而是視為業務韌性的戰略推動者。

為了幫助您在未來道路上導航，以下是每位網絡安全領導者都應考慮采納的12項新年決議。

了解AI是否與您的業務相關

GenAI的崛起已成為各行業的游戲規則改變者，包括網絡安全領域，但并非總是帶來積極影響。技術和網絡安全研究人員Erik J. Huffman警告說：“我們知道AI可能非常有幫助，但我們都在屏住呼吸，想知道它將如何被用來對付我們。我們為善而開發的任何東西，攻擊者都會拿過來，反其道而行之用于惡。他們在‘壞家伙’方面的創造力遠遠超過我們‘好家伙’。”

Huffman指出，WormGPT就是一個早期例子，它如何讓威脅行為者的編碼變得更容易。“它是ChatGPT，但用于惡意目的。它會為你創建勒索軟件。它會為你開發惡意代碼和漏洞……它承擔了威脅行為者的編碼工作，并使其變得非常容易，尤其是對于非英語母語者、非漢語母語者或非意大利語母語者。你現在可以用任何語言編寫釣魚郵件，而且讀起來相當不錯。”

他建議CISO們在新的一年里花時間弄清楚AI是否適合他們的業務。“問問自己，‘你真的需要它嗎?’不要僅僅因為別人都在做就隨波逐流，也不要僅僅因為首席執行官說‘嘿，我們這里需要一些AI’就在你的組織中部署AI解決方案。”

提升AI技能并學習如何將其用于善途

仍然在AI的話題上，7Rules Cyber的創始人兼CISO Chirag Joshi認為，AI不僅是攻擊者的工具，也是防御者的強大盟友。他指出，如何智能地利用AI可以降低數據泄露的成本和持續時間。

“意識和培訓計劃，以及AI在人力風險管理方面的應用必須不斷發展。如果你的培訓和意識工作沒有考慮到這些變化，那就是一個缺口，”他說。“智能地使用它可以幫助防御并產生重大影響——無論是在數據泄露的成本方面，還是在減少響應事件和控制事件所需的時間方面。我認為這需要被納入響應和檢測計劃中。”

Joshi還敦促CISO們探索AI在風險評估和政策指導等領域的潛力。“你不能消除人為監督;它絕對必須存在，但你能增強它并使其更有效嗎?”

側重于以身份為中心的安全

隨著惡意行為者利用AI和深度偽造技術進行攻擊，SafeBreach的CISO Avishai Avivi強調了以身份為中心的安全在應對這些威脅方面日益重要。

“意識到惡意行為者正在利用相同的技術來增強他們的能力，以身份為中心的安全以及深度偽造技術所帶來的風險，將意味著我們將更加關注那些能夠幫助識別、減少或消除這些風險的安全控制。”他說。

加強非人類身份的安全

雖然確保人類身份的安全是優先事項，但正如Avivi所強調的，解決對API和機器對機器通信日益增長的依賴同樣至關重要，因為這帶來了其自身的風險。

“這些機器對機器連接的安全性變得越來越關鍵，這是我們需要考慮的另一個風險類別。”他說。

確保安全投資合理

隨著組織應對不斷演變的威脅，Joshi強調了采用“合理且相稱”的方法進行安全投資的重要性。他指出，最近的一些監管行動，如因澳大利亞Medibank和Optus數據泄露而設計的監管行動，就強化了這一點。

“什么是真正合理、無懈可擊的安全?我們進行的投資和付出的努力需要及時。這就是董事會正在關注的地方，因為這對他們來說不僅是核心問題，對CISO來說也是責任所在。”他解釋道。

獲得董事和高管責任保險

CISO還必須考慮個人保護措施。FTI Consulting的高級董事總經理兼澳大利亞網絡安全負責人Wouter Veugelen預測，2025年對CISO個人責任的審查將更加嚴格。隨著涉及CISO的法律案件越來越頻繁，他認為現在是CISO考慮購買董事和高管責任保險的時候了。

“擔任CISO角色的人面臨的風險增加，他們未來可能會受到與[首席執行官]相同的審查。傳統上，CISO并不包含在組織的[保險]套餐中……所以擁有這種類型的保險肯定會在我的考慮之列。”Veugelen說。

提前了解網絡安全法規

在法律準備方面，技術研究和咨詢公司ISG的CISO David Hull強調了CISO提前了解即將出臺的網絡立法的重要性。“仍有大量立法即將出臺，”他說，并指出新出臺的法律并不總是最清晰的。

然而，他承認，網絡安全領域的一個優勢在于其緊密聯系的社區，這個社區經常團結起來，共同理清和理解新法律。“你會看到社區團結起來，每個人都提出相同的問題，然后大家一起想辦法解讀。”他說。

教育高管了解數據泄露的成本

但不僅僅是CISO需要關注。雖然許多高管都了解數據泄露的直接影響，但往往忽視了其長期成本。Veugelen指出了2022年發生的、至今仍在法庭上的案件。

“CISO應該繼續教育高管們了解這些成本的重要性。因此，他們應該尋求優化網絡安全預算，用于主動的網絡安全防御，以降低整體風險暴露和遭受如此重大網絡安全和數據泄露的可能性。”他說。

使用商業語言

但正如Joshi所言，CISO面臨的最大挑戰之一是如何將技術風險轉化為商業術語。他強調了CISO在幫助更廣泛的業務彌補這一差距方面需要發揮的作用。

“你真的需要了解業務是如何賺錢的……作為CISO，你必須了解，否則你就會與正在發生的事情脫節，”Joshi說。“如果你不能就C級高管最關心的拓展新領域、新產品或新戰略等首要問題，以一定的能力或權威性進行交談……你就無法進行風險對話。如果不結合商業風險，你根本無法進行網絡風險評估。”

與企業的其他部門合作

網絡安全孤立運作的日子已經一去不復返了。2025年，有效的網絡安全將取決于與多個業務部門建立持久的關系，從法律和采購到營銷和運營。

“確保網絡安全目標與業務高管保持一致，”Veugelen警告說。“我仍然經常看到網絡安全被視為阻礙者或延緩項目的職能，但最終網絡安全應該被視為一種業務推動者，它有助于以安全的方式交付新的數字創新。”

正面應對第三方風險

根據Joshi的說法，第三方供應商仍然是許多組織網絡安全策略中最薄弱的環節之一，他以Crowdstrike的中斷為例。他建議CISO“想出更好的方法來管理供應鏈風險，尤其是供應商風險評估”。

“我認為他們需要超越這些問卷調查，開始采用一些更領先的實踐，而更好的方法是實際合作，”他說。“合作不僅僅是圍坐圓桌討論，它還意味著要專注于進行更深入的對話……關于這對他們意味著什么，并實際地將對話情境化、個性化。”

將網絡恢復重新置于議程之首

雖然這不是一個新概念，但最近的網絡攻擊強調了將組織的恢復能力與防御策略并重的重要性。正如Hull所解釋的那樣，“CISO需要睜開眼睛，說，‘我們可能需要在那里做得更好，并重新將注意力集中在恢復上’。”

Huffman表示贊同，并強調恢復速度對于在攻擊后留住客戶至關重要。“如果你需要兩到三周才能恢復，那你現在就是個異類。重點正轉向你能否在三天或一周內恢復。你對網絡攻擊有多準備?你能否在社會可接受的時間內恢復?”