内容摘要
在当前数字化和高度互联的商业环境中,企业正在积极采纳人工智能技术(Artificial Intelligence, AI),尽管伴随而来的是新的风险挑战,但同时也为企业带来了优化运营和效率,增强竞争优势的广阔机遇。在这一趋势下,前瞻性的组织正将人工智能融入网络安全策略中。人工智能在强化企业网络安全文化方面的巨大潜力,正成为探索的热点。
毕马威与麻省理工斯隆管理学院的网络安全部门合作,于2024年对来自不同行业和论坛的大约40名网络安全领导者、主题专家和跨行业高管进行了调研,对于AI如何影响组织网络安全文化进行了探讨。
网络安全文化的特征
安全的行为:安全的行为是网络安全文化的基础。组织应培育网络安全文化,涵盖企业从领导层到团队再到个人层面的价值观、态度和信念,这对于管理网络风险及促进安全行为至关重要。
当前成熟度:网络安全文化成熟度的五个层次分别为:Level 1 – 临时的,Level 2 – 已定义的,Level 3 – 有管理的, Level 4 – 已开发的,Level 5 – 动态的。在此次调查中,大多数受访者将其组织的网络安全文化自我评价为Level 3 以下。当进一步调查AI目前是否被用于改善网络安全文化时,许多组织似乎正处在“试验”阶段,比如将AI用于实施钓鱼攻击模拟等比较明显且直接的应用场景来测试和学习。
建设网络安全文化的障碍与挑战
企业网络文化建设面临的障碍和挑战主要有四种:
人员行为因素:无法完全约束员工行为和整体文化塑造,以及根据多元化的工作模式采取个性化策略。
新兴技术的出现 :无法防范勒索软件和高级持续威胁、日益互联的物联网(IoT)设备中的网络安全风险。
互联系统:无法确保供应链与外部服务提供商及合作伙伴日益互联的生态系统免受网络风险。
网络安全文化的衡量:不清楚如何衡量其网络安全文化和评估行为的变化。
人工智能可通过五个关键主题协助组织建立强大的网络安全文化——可见的、高效的、可量化的、个性化的和可扩展的,帮助组织建立强大的网络安全文化。
可见的
基础设施使组织能够实时监控组织活动,如敏感信息外泄和关键系统访问,从而及时发现可能导致安全问题的行为。AI还能揭示以前不可见的模式,帮助管理者进行识别和解释。通过将AI整合到工作流程和通信中,可以在网络漏洞出现时迅速进行调查。
可量化的
AI可在短时间内处理和分析海量数据,为组织提供建立网络人力资源风险管理(Cyber HRM)能力所需的度量标准和洞察。有助于更好地量化风险,支持领导层做出基于数据的投资决策,并实施有效的政策和控制措施。
个性化的
AI区分不同风险级别的用户,为个人定制安全措施,降低风险。同时支持行为分析与定制,分析团队成员的行为和能力,提供个性化的安全培训和强化,提升整体安全意识。
可扩展的
AI加快了安全措施的扩展,能够快速分析数据并转化为控制措施,保护多样化的群体和流程,长远来看,这有助于在整个供应链中提升网络安全文化,支持资源较少的组织。
高效的
AI可通过自动化减少重复性任务和耗时活动的负担,实现从设计到防御的全面安全整合,自动提升网络安全防护的质量和数量。
通过考虑以下内容,企业可在AI的支持下建立更强大的网络安全文化:
明确愿景
深入了解当前的网络安全文化,设定目标和未来发展的期望。
获得支持
寻求组织中已具备发展和整合AI能力部门的支持,以促进跨职能的资源投入。
探索与实验
识别现有能力的不足,通过定义应用场景来探索AI的使用途径。
优先实施
专注于能显著增强网络安全文化并降低风险的AI应用场景的实施。
关注重要事项的收集和衡量
初期就注重数据的质量,这能最大化AI应用场景的效益,确保模型的准确性不受影响。
警惕新风险
全面评估AI工具和技术的能力界限及伴随的风险。
优先考虑员工变革之旅
通过正确的沟通、培训和认可,在整个变革过程中优先考虑员工福祉。
请扫描下方二维码或点击文末左下方“阅读原文”获取报告完整内容。
毕马威网络安全服务
随着中国网络安全市场规模的不断扩大,相关制度也在持续完善,网络安全行业已进入全新发展阶段。企业网络安全文化的持续维护和提升,是企业提升网络安全管理成熟度不可或缺的一环。
毕马威中国网络安全和数据保护团队已在网络安全咨询领域深耕多年,我们由具备多年专业经验的网络安全专家、信息技术专家、风险管理专家、法律专家组成,致力于金融、制造、能源、零售和消费品、生命科学、医疗健康等行业提供全方位的网络安全评估、规划、设计、实施、运维等服务。
