读数字时代的网络风险管理:策略、计划与执行05战略和执行(上)

读数字时代的网络风险管理:策略、计划与执行05战略和执行(上)

1. 战略和执行

1.1. 需要一个明确的战略,并根据该战略持续执行

1.2. 网络风险管理—在数字世界中平衡风险与回报的艺术—比以往任何时候都更具挑战性

1.3. 投资的风险很大,而且越来越大,商业环境和风险状况都在不断变化

1.4. 风险管理工作往往各自为政,安全组织、风险管理团队、风险所有者和其他重要利益相关者只是偶尔沟通,合作更是少之又少

1.5. 安全组织在基于风险的战略和执行中的作用是通过与风险所有者和其他利益相关者的密切合作来帮助他们

  • 1.5.1. 可以通过风险指引体系来实现,以确定风险偏好和容忍度

  • 1.5.2. 可以确定利用现有预算、人员和工具等资源是否可以达到这些风险偏好和容忍度

1.6. 在考虑了所有已知的风险因素后,资产所有者完全有可能决定接受较低的保护级别,即减少开支

1.7. 或者资产所有者可能会决定,系统太重要了,不能冒险,应该进行新的安全投资

1.8. 风险讨论不应该由某个人来承担,也不应该基于个人关系或偶然事件驱动的互动

  • 1.8.1. 风险讨论不应该由某个人来承担,也不应该基于个人关系或偶然事件驱动的互动

1.9. 在网络安全领域尤其如此,新的威胁和漏洞层出不穷,而企业所面临的相关风险却鲜为人知

  • 1.9.1. 在大多数情况下,资产所有者、首席信息安全官以及其他一些利益相关者需要为所有新资源制订一个使用案例

  • 1.9.2. 即使他们得出了相反的结论,认为可以接受更高的风险水平,这一决定也必须基于完整的企业背景

  • 1.9.3. 应对权衡利弊进行充分考虑

1.10. 安全组织在此过程中的作用是指导风险所有者—可能还有许多其他利益相关者,包括企业的治理机构—做出明智的风险决策

  • 1.10.1. 运用所有受影响的利益相关者的意见和可操作的风险信息,采取合作的方法做决策,将有可能确定与企业具体情况相适应的可接受的风险水平

1.11. 即使是最有经验的风险管理专业人士,也可能会被新技术的发展冲昏头脑

1.12. 每个安全组织都有自己的战略和执行模式

  • 1.12.1. 关键区别在于,基于风险的战略和执行模式通过使用风险指引体系来确定风险容忍度,并在预算、人力资源和技能组合的支持下推动业务发展

  • 1.12.2. 在可接受的风险偏好和容忍度范围内调整资源和执行优先级是一种持续的平衡行为,是融入企业战略愿景的动态过程,由网络安全风险管理计划的核心组成部分共同推动

1.13. 基于风险的系统及其执行的一个重要组成部分,是确定当风险环境发生变化时—当风险超出可承受范围时—具体的利益相关者应该做什么:需要做出什么决定,采取什么行动,由谁来做,需要通知企业内外的哪些人

2. 资产所有者与利益相关者的区别

2.1. 资产所有者和利益相关者是两种不同的角色,各有其特定的责任和利益

2.2. 资产所有者是对特定资产的健康和有效运行负有最终责任的个人或实体,他们要确保资产得到妥善维护、保护和运营

  • 2.2.1. 该个人或团体直接对与该资产相关的所有风险负责

2.3. 利益相关者是指所有可能受特定网络风险或资产影响、与之有利害关系或有权影响相关决策或结果的个人、团体或组织

  • 2.3.1. 利益相关者不一定对资产有直接控制权,但他们对资产的安全性有既得利益

2.4. 安全组织在基于风险的战略和执行中的作用是指导风险所有者做出明智的风险决策

3. ChatGPT

3.1. 企业业务环境中需要考虑的持续变化可能包括商业模式的重大转变、来自意想不到或非常规竞争对手的新竞争挑战、颠覆性的新技术—或者三者同时出现

3.2. ChatGPT是一款人工智能工具,它使用大语言模型、开放和专有信息服务,以及监督和强化学习技术,以高度易用的方式响应请求

3.3. 人们对ChatGPT的接受速度和热情或许仅次于手机

3.4. ChatGPT从一开始就将对世界(包括商业世界)的工作方式产生极大的改变和不可预知的影响

  • 3.4.1. 将解放工作者,让他们专注于更有附加值的项目,并通过提供对大型数据集的详细分析和对结果的明智预测,帮助人们决策

4. 人工智能风险

4.1. 微软本来就是OpenAI的投资者,在ChatGPT推出后,它又追加了数十亿美元的资金

  • 4.1.1. 微软在搜索市场位居第二,但距离第一名非常遥远,必应的份额不到9%

4.2. 谷歌并没有立即向公众推出自己的人工智能搜索产品

  • 4.2.1. 谷歌是全球领先的搜索引擎,几乎占据了搜索市场85%的份额

4.3. 两家公司都拥有雄厚的资金、看似无限的技术资源,而且显然都希望把用户引向自己的搜索引擎

4.4. 多年来,谷歌一直在使用人工智能和机器学习技术,搜索引擎的搜索能力被广泛认为是目前最好的,该公司的商业模式在很大程度上依赖于不失去这一声誉

4.5. 微软的大部分收入都来自与搜索完全无关的领域,它可能认为,引入人工智能为必应带来的所有流量都只能是有益的—而且很可能不会对公司造成重大损害

5. 华尔街

5.1. 数字化(尤其是人工智能)从根本上加速了这种风险—替代风险

5.2. 在数字时代,企业可能因为承担了不该承担的风险而倒闭,也可能因为没有承担应该承担的风险而倒闭

5.3. 旧企业的毁灭和新企业的建立是一个永无止境的过程,其结果必然是网络风险和其他风险的加速和扩大,其中大多数风险是无法准确预测的

5.4. 具有执行成熟的网络风险计划以及任何与此相关的风险计划的能力都是一种战略优势

5.5. 如果安全团队能够告知高管潜在的风险,并凭借执行能力提供洞见,传达如何快速识别这些风险并采取应对措施(踩下刹车)​,同时了解这些“刹车”的延迟效应,那么公司就能在风险和回报之间取得适当的平衡,从而比竞争对手走得更快

6. 数字游戏变革者

6.1. 流程自动化和虚拟化

  • 6.1.1. 机器人、自动化、3D打印、工业物联网(IIoT)以及其他技术将从根本上改变工作的性质

6.2. 互联互通的未来

  • 6.2.1. 5G和物联网带来的更快的数字连接和更高的网络可用性,将提高经济活动的数字化和去中心化程度

6.3. 分布式基础设施

  • 6.3.1. 云计算,尤其是混合云和多云计算,将使企业运营更快、更灵活、更为经济

6.4. 下一代计算技术

  • 6.4.1. 这一趋势以包括量子计算和自动驾驶汽车在内的一系列技术为基础,将大大提高企业的数字化能力

6.5. 应用AI

6.6. 未来编程技术

  • 6.6.1. 神经网络和机器学习等技术将使编写代码的过程越来越自动化,这将使软件的创建速度更快、成本更低、可扩展性更强

6.7. 信任架构

  • 6.7.1. 将用于提高敏感信息的安全性

6.8. 生物革命

  • 6.8.1. 生命科学的进步,包括DNA测序和基因疗法,将对农业和医疗保健等行业产生重大影响

6.9. 新一代材料

  • 6.9.1. 材料科学的新发展正在产生比以往任何已知材料都更强、更轻、导电性更好的新材料

  • 6.9.2. 将给能源、半导体、交通和制造业等许多领域带来翻天覆地的变化

6.10. 清洁技术

  • 6.10.1. 清洁技术—可再生能源、节能建筑和电动汽车等—的成本正在急剧下降,推动了更广泛的使用和对传统技术模式的颠覆
posted @ 2026-02-02 06:43  躺柒  阅读(0)  评论(0)    收藏  举报