從人工智能危害到CrowdStrike(CrowdStrike是一家美國(guó)網(wǎng)絡(luò)安全技術(shù)公司���,成立于2011年,總部位于美國(guó)加利福尼亞州���。主要產(chǎn)品是Falcon平臺(tái),這是一個(gè)基于云計(jì)算的端點(diǎn)保護(hù)平臺(tái)���,利用人工智能和機(jī)器學(xué)習(xí)技術(shù)來檢測(cè)��、預(yù)防和響應(yīng)網(wǎng)絡(luò)威脅)后果�����,日益嚴(yán)重的威脅形勢(shì)促使首席信息官制定復(fù)原計(jì)劃�����,以防止進(jìn)一步中斷并保持業(yè)務(wù)連續(xù)性�����。
圖片來源:PeopleImages.com - Yuri A / Shutterstock
今年出現(xiàn)了人工智能帶來的新風(fēng)險(xiǎn)����、CrowdStrike事件等災(zāi)難性中斷、克服軟件供應(yīng)鏈脆弱性�����,以及網(wǎng)絡(luò)攻擊和量子計(jì)算破壞當(dāng)今最先進(jìn)的加密算法的風(fēng)險(xiǎn)���。在當(dāng)今不確定的環(huán)境中���,所有企業(yè),無論規(guī)模大小�����,都容易受到干擾��。
Palo Alto Networks【Palo Alto Networks(派拓網(wǎng)絡(luò))是一家全球領(lǐng)先的網(wǎng)絡(luò)安全公司�����,成立于2005年��。公司的使命是成為首選的網(wǎng)絡(luò)安全合作伙伴,保護(hù)數(shù)字生活安全無憂���,覆蓋所有安全需求�����,通過提供全面的產(chǎn)品組合����,為不斷發(fā)展中的合作伙伴生態(tài)系統(tǒng)賦能��,在保護(hù)數(shù)以萬計(jì)的企業(yè)云�����、網(wǎng)絡(luò)和移動(dòng)設(shè)備安全方面�����,始終站在最前沿】首席信息官M(fèi)eerah Rajavel(梅拉·拉賈維爾)【Meerah Rajavel(梅拉·拉賈維爾)是Palo Alto Networks的首席信息官�。她負(fù)責(zé)領(lǐng)導(dǎo)全球IT團(tuán)隊(duì)�,推動(dòng)Palo Alto Networks的行業(yè)轉(zhuǎn)型,確保公司技術(shù)運(yùn)行的高效性】表示:“過去一年�����,風(fēng)險(xiǎn)管理的重點(diǎn)發(fā)生了重大變化。隨著網(wǎng)絡(luò)威脅日益復(fù)雜化以及數(shù)字化轉(zhuǎn)型步伐加快��,組織必須更加積極主動(dòng)地識(shí)別和降低風(fēng)險(xiǎn)�。”
為了應(yīng)對(duì)這一挑戰(zhàn),首席信息官們正在加倍重視組織彈性���?!斑@是企業(yè)的當(dāng)務(wù)之急��,”Salesforce(Salesforce是一家全球領(lǐng)先的云計(jì)算公司����,專注于提供客戶關(guān)系管理解決方案。Salesforce以其創(chuàng)新的軟件即服務(wù)模式而聞名�,這種模式允許客戶通過互聯(lián)網(wǎng)訪問軟件應(yīng)用,而無需安裝和維護(hù)傳統(tǒng)的本地軟件)首席信息官Juan Perez(胡安·佩雷斯)【Juan Perez(胡安·佩雷斯)是Salesforce的執(zhí)行副總裁兼首席信息官�。他于2022年4月加入Salesforce,在Salesforce負(fù)責(zé)領(lǐng)導(dǎo)公司的全球IT團(tuán)隊(duì)���,推動(dòng)數(shù)字戰(zhàn)略��,并負(fù)責(zé)新收購公司的技術(shù)整合】表示�����?���!笆紫畔⒐俦仨殞椥酝顿Y與數(shù)據(jù)保護(hù)、法規(guī)遵從性和AI準(zhǔn)備等切實(shí)成果聯(lián)系起來���?���!彼a(bǔ)充道�,彈性框架具有可衡量的投資回報(bào)率,但它們需要一種基于平臺(tái)的整體方法來減少威脅并指導(dǎo)AI的安全使用�。
其他人也同意�����,不斷變化的威脅形勢(shì)令人擔(dān)憂���,需要采取新策略����。“風(fēng)險(xiǎn)管理越來越受到董事會(huì)和高管的關(guān)注���,甚至相當(dāng)現(xiàn)代的風(fēng)險(xiǎn)框架也被證明不夠充分����,”Lumentum(Lumentum是一家創(chuàng)新光學(xué)和光子產(chǎn)品的設(shè)計(jì)和制造商���。公司提供的產(chǎn)品組合在全球通信網(wǎng)絡(luò)中實(shí)現(xiàn)敏捷性�、靈活性和速度�,解決網(wǎng)絡(luò)中傳輸?shù)拇罅繑?shù)據(jù)問題,特別是在云計(jì)算��、互聯(lián)網(wǎng)��、高端制造等領(lǐng)域)���、Hewlett-Packard(惠普)【Hewlett-Packard(惠普)是一家全球性的信息科技公司����,成立于1939年����。主要專注于打印機(jī)��、數(shù)碼影像����、軟件��、計(jì)算機(jī)與資訊服務(wù)等業(yè)務(wù)】和Clorox(高樂氏)【Clorox(高樂氏)是一家全球領(lǐng)先的消費(fèi)品和專業(yè)產(chǎn)品的制造商和營(yíng)銷商�����。Clorox的產(chǎn)品通過大量跟單零售���、電子商務(wù)渠道�、分銷商和醫(yī)療供應(yīng)等方式銷售��,主要涉及漂白劑�、廚衛(wèi)清潔產(chǎn)品、家居護(hù)理產(chǎn)品等】公司等公司的前首席信息官兼高級(jí)副總裁Ralph Loura(拉爾夫·洛拉)【Ralph Loura(拉爾夫·洛拉)是一位經(jīng)驗(yàn)豐富的信息技術(shù)領(lǐng)導(dǎo)者����,曾在多家知名技術(shù)和消費(fèi)品公司擔(dān)任高級(jí)職位�。他的領(lǐng)導(dǎo)風(fēng)格強(qiáng)調(diào)謙遜和透明度,并且以人為中心���,這使他在技術(shù)轉(zhuǎn)型和業(yè)務(wù)成果方面取得了顯著成就】補(bǔ)充道�����?����!笆紫畔⒐俸褪紫畔踩俦仨毐3指叨染?�,積極采用新的框架和工具�����?�!?/span>
CIO正直面這些挑戰(zhàn)��,設(shè)計(jì)綜合彈性策略來確保組織的未來發(fā)展��。這包括為AI建立護(hù)欄�����、進(jìn)行災(zāi)難訓(xùn)練演習(xí)、減輕第三方威脅等����。然而,CIO仍必須展示可衡量的成果�,并將這些要求傳達(dá)給高層領(lǐng)導(dǎo),以確保投資���。
1.為什么風(fēng)險(xiǎn)管理至關(guān)重要
過去一年�,企業(yè)IT面臨的風(fēng)險(xiǎn)發(fā)生了顯著變化��,需要重視涵蓋多個(gè)領(lǐng)域的短期和長(zhǎng)期彈性計(jì)劃��。其中�����,人工智能是許多CIO最關(guān)心的問題���?�!叭斯ぶ悄苁且环N強(qiáng)大的工具��,可以推動(dòng)創(chuàng)新���、改善決策并簡(jiǎn)化運(yùn)營(yíng),”Rajavel(拉賈維爾)說���?!叭欢?�,隨著人工智能深度融入業(yè)務(wù)流程��,它也帶來了新的攻擊面和漏洞����。”2023年人工智能優(yōu)先級(jí)研究中�,四分之一的IT高管認(rèn)為他們的組織在部署新一代人工智能方面行動(dòng)過快,這也進(jìn)一步證實(shí)了這一說法�����。
畢竟���,人工智能帶來了新的風(fēng)險(xiǎn)���,需要對(duì)人工智能代理進(jìn)行更多評(píng)估和更明確的界限����。據(jù)Salesforce的Perez(佩雷斯)稱�,盡管人工智能帶來了很多機(jī)會(huì),但它也給CIO帶來了復(fù)雜性����,包括安全性、治理和合規(guī)性方面的考慮�。“CIO的工作是優(yōu)先考慮數(shù)據(jù)隱私和道德使用��,并確保創(chuàng)新不會(huì)超過保障措施��,”他說����。“這讓我想起了網(wǎng)絡(luò)安全的早期����,當(dāng)時(shí)嚴(yán)格的評(píng)估確保軟件符合公司標(biāo)準(zhǔn)。人工智能評(píng)估也將效仿�。”
另一個(gè)不可否認(rèn)的因素是全球事件的不可預(yù)測(cè)性��。“疫情進(jìn)一步凸顯了韌性的重要性,促使首席信息官不僅要優(yōu)先考慮即時(shí)風(fēng)險(xiǎn)管理����,還要優(yōu)先考慮長(zhǎng)期韌性戰(zhàn)略�����,”Rajavel(拉賈維爾)表示���?!斑@種轉(zhuǎn)變確保企業(yè)能夠抵御中斷并無縫繼續(xù)運(yùn)營(yíng)��,在不確定時(shí)期保持信任和穩(wěn)定��?��!?/span>
此外����,軟件供應(yīng)鏈也面臨越來越大的威脅��?�!敖衲辏?span style="font-size: 18px; font-family: 黑體, SimHei; color: rgb(64, 118, 0);">安全和技術(shù)領(lǐng)導(dǎo)者更加關(guān)注與第三方供應(yīng)商和供應(yīng)鏈利益相關(guān)者相關(guān)的風(fēng)險(xiǎn)��,”ProcessUnity(ProcessUnity是一家提供基于云的治理�、風(fēng)險(xiǎn)和合規(guī)管理軟件的公司,旨在幫助組織自動(dòng)化風(fēng)險(xiǎn)和合規(guī)程序��。該公司的平臺(tái)提供第三方風(fēng)險(xiǎn)管理���、政策和程序管理�����、合規(guī)管理以及產(chǎn)品和服務(wù)提供管理��,使組織能夠評(píng)估�、衡量和緩解風(fēng)險(xiǎn)�����,從而實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)流程的最優(yōu)性能)的首席信息安全官Dave Stapleton(戴夫·斯臺(tái)普爾頓)【Dave Stapleton(戴夫·斯臺(tái)普爾頓)是ProcessUnity的首席信息安全官和安全運(yùn)營(yíng)副總裁�����。他是一位經(jīng)驗(yàn)豐富的首席信息安全官��,擁有在公共和私營(yíng)部門網(wǎng)絡(luò)安全項(xiàng)目中工作的長(zhǎng)期歷史】表示。這些風(fēng)險(xiǎn)主要源于易受攻擊的代碼和源自第三方依賴項(xiàng)的中斷����。
就他的觀點(diǎn)而言,Sonatype(Sonatype是一家美國(guó)的開源DevOps服務(wù)供應(yīng)商����,專注于軟件供應(yīng)鏈的自動(dòng)化和安全性����。Sonatype的產(chǎn)品和服務(wù)被全球超過150,000個(gè)組織所信任��,用于管理和構(gòu)建工件�,是智能軟件開發(fā)領(lǐng)域的領(lǐng)導(dǎo)者)的第10份年度軟件供應(yīng)鏈狀況報(bào)告發(fā)現(xiàn)惡意軟件包數(shù)量同比增長(zhǎng)了156%�����。盡管99%的軟件包都有可用的更新版本,但80%的應(yīng)用程序依賴項(xiàng)一年多來仍未升級(jí)��。因此���,第三方風(fēng)險(xiǎn)管理【第三方風(fēng)險(xiǎn)管理(TPRM)是指識(shí)別�����、評(píng)估和緩解與將任務(wù)外包給第三方供應(yīng)商或服務(wù)提供商相關(guān)的風(fēng)險(xiǎn)的過程�。在日益互聯(lián)和外包的世界中�����,TPRM是一項(xiàng)重要的業(yè)務(wù)策略���,它可以幫助組織識(shí)別并緩解因與外部供應(yīng)商或服務(wù)提供商合作而面臨的風(fēng)險(xiǎn)���,這些風(fēng)險(xiǎn)包括財(cái)務(wù)�����、環(huán)境、聲譽(yù)和安全風(fēng)險(xiǎn)】和供應(yīng)鏈風(fēng)險(xiǎn)管理【供應(yīng)鏈風(fēng)險(xiǎn)管理(SCRM)是一種系統(tǒng)方法,用于識(shí)別和評(píng)估公司整條供應(yīng)鏈中日常和異常的風(fēng)險(xiǎn)和漏洞�,制定緩解策略以應(yīng)對(duì)這些威脅�,并確保業(yè)務(wù)連續(xù)性���。它涉及對(duì)供應(yīng)鏈中可能出現(xiàn)的意外事件或變化所帶來的風(fēng)險(xiǎn)的管理�,包括多供應(yīng)商策略、供應(yīng)風(fēng)險(xiǎn)等����。SCRM的目的是最大限度地減少這些風(fēng)險(xiǎn)對(duì)公司運(yùn)營(yíng)、聲譽(yù)和財(cái)務(wù)業(yè)績(jī)的影響】市場(chǎng)預(yù)計(jì)在未來幾年的復(fù)合年增長(zhǎng)率將達(dá)到10%至15%�����。
網(wǎng)絡(luò)安全公司Rubrik(Rubrik是一家提供全方位數(shù)據(jù)安全解決方案的公司���,專注于網(wǎng)絡(luò)安全和數(shù)據(jù)彈性領(lǐng)域。Rubrik的使命是保護(hù)全球數(shù)據(jù)的安全��。公司提供的數(shù)據(jù)安全解決方案旨在幫助組織實(shí)現(xiàn)網(wǎng)絡(luò)恢復(fù)能力,包括網(wǎng)絡(luò)態(tài)勢(shì)和網(wǎng)絡(luò)恢復(fù))聯(lián)合創(chuàng)始人兼首席技術(shù)官Arvind Nithrakashyap(阿爾溫德·尼特拉卡西亞普)【Arvind Nithrakashyap(阿爾溫德·尼特拉卡西亞普)是Rubrik的聯(lián)合創(chuàng)始人兼首席技術(shù)官。作為Rubrik的聯(lián)合創(chuàng)始人和CTO�����,Arvind利用他的技術(shù)專長(zhǎng)�����、領(lǐng)導(dǎo)力和執(zhí)行力,幫助構(gòu)建了這家快速成長(zhǎng)的企業(yè)公司���。他的影響范圍覆蓋了公司多個(gè)功能領(lǐng)域���,包括支持�����、銷售、市場(chǎng)營(yíng)銷以及產(chǎn)品和工程】表示,除了這些風(fēng)險(xiǎn)之外����,數(shù)據(jù)泄露���、勒索軟件攻擊和意外的全球中斷都可能對(duì)關(guān)鍵任務(wù)計(jì)劃造成嚴(yán)重?fù)p害,無論公司規(guī)?��;虼怪毙袠I(yè)如何����?����!盀榱私鉀Q這些問題��,組織顯然應(yīng)該專注于網(wǎng)絡(luò)彈性?���!?/span>
2.做好未來準(zhǔn)備��,增強(qiáng)韌性
就像鼓勵(lì)房主準(zhǔn)備防災(zāi)工具包一樣���,組織也應(yīng)該為災(zāi)難做好計(jì)劃并練習(xí)如何應(yīng)對(duì)���。“如果還沒有���,CIO應(yīng)該優(yōu)先考慮災(zāi)難情景規(guī)劃,”Nithrakashyap(尼特拉卡西亞普)說����。這其中的一部分涉及在事件發(fā)生時(shí)制定強(qiáng)大的數(shù)據(jù)安全策略和補(bǔ)救協(xié)議���。
他補(bǔ)充道�,當(dāng)組織面臨意外停機(jī)時(shí),IT和業(yè)務(wù)主管應(yīng)將其視為大規(guī)模網(wǎng)絡(luò)攻擊的預(yù)演���。“討論不應(yīng)該只關(guān)注預(yù)防�����,而應(yīng)該關(guān)注如何通過采用正確的技術(shù)和流程來提高彈性�,以便在不可避免的事件發(fā)生時(shí)限制損害����?���!?/span>
為了抵御即將到來的人工智能風(fēng)險(xiǎn)����,首席信息官認(rèn)為�,綜合安全策略對(duì)于增強(qiáng)IT穩(wěn)健性必不可少��。“考慮到超過一半的技術(shù)提供商計(jì)劃在2026年之前將研發(fā)和投資分配給人工智能和自動(dòng)化���,建立IT彈性至關(guān)重要��,”Rajavel(拉賈維爾)說。“首席信息官需要根據(jù)這些新用例調(diào)整運(yùn)營(yíng),同時(shí)確保他們的團(tuán)隊(duì)能夠支持整個(gè)企業(yè)的數(shù)字化轉(zhuǎn)型�?�!?/span>
彈性規(guī)劃還需要及時(shí)了解新的NIST安全框架,并與安全領(lǐng)導(dǎo)層保持持續(xù)合作���。“在這里,沒有人能孤軍奮戰(zhàn)取得成功,”Loura(洛拉)說道�,她鼓勵(lì)CIO與同行和安全供應(yīng)商建立聯(lián)系�,并隨著威脅形勢(shì)的發(fā)展積極應(yīng)對(duì)變化�。
3.CIO如何采取行動(dòng)
CIO們正在倡導(dǎo)采取具體舉措來增強(qiáng)組織內(nèi)部的彈性�����。例如,Salesforce的內(nèi)部AI委員會(huì)由跨職能領(lǐng)導(dǎo)組成�,召開會(huì)議討論AI投資和道德考量�。Perez(佩雷斯)說:“委員會(huì)定期開會(huì)評(píng)估業(yè)務(wù)需求���,員工可以提出新的AI想法供考慮?�!彼a(bǔ)充說,這有助于Salesforce在創(chuàng)新與負(fù)責(zé)任的AI工具采用之間取得平衡。
其他CIO則加倍努力改造安全運(yùn)營(yíng)和內(nèi)部測(cè)試工具,以增強(qiáng)對(duì)潛在風(fēng)險(xiǎn)的可見性�。Rajavel(拉賈維爾)分享說,Palo Alto Networks已采取了一項(xiàng)重要的以彈性為重點(diǎn)的舉措����,通過利用機(jī)器學(xué)習(xí)支持持續(xù)威脅檢測(cè)來改造其安全運(yùn)營(yíng)中心【安全運(yùn)營(yíng)中心(SOC)是一個(gè)集中化的設(shè)施���,負(fù)責(zé)監(jiān)控�、評(píng)估��、協(xié)調(diào)和響應(yīng)組織的信息安全事件和漏洞����。SOC的目標(biāo)是保護(hù)組織的信息系統(tǒng)和資產(chǎn)免受攻擊、數(shù)據(jù)泄露和其他安全威脅】。
Rajavel(拉賈維爾)表示:“我們的SOC致力于保護(hù)我們自己的員工和基礎(chǔ)設(shè)施�����,并負(fù)責(zé)威脅監(jiān)控����、威脅搜尋和事件響應(yīng),保護(hù)數(shù)千名用戶、數(shù)十萬個(gè)服務(wù)器端點(diǎn)以及龐大的云和本地基礎(chǔ)設(shè)施����?����!边@些改進(jìn)有助于通過自動(dòng)警報(bào)處理緊急事件�����,并使分析師能夠進(jìn)行更主動(dòng)的威脅搜尋。
除了威脅檢測(cè)之外����,衡量潛在中斷的影響也至關(guān)重要�。Stapleton(斯臺(tái)普爾頓)分享說�����,ProcessUnity正在與高管和高級(jí)領(lǐng)導(dǎo)團(tuán)隊(duì)進(jìn)行年度業(yè)務(wù)影響評(píng)估,深入了解關(guān)鍵業(yè)務(wù)流程、人力資源和技術(shù)��。“這個(gè)過程迫使我們探索不同類型的中斷的可能性��、它們對(duì)我們的組織和客戶的潛在影響��,并確定我們可以采取的任何措施來最大限度地降低由此產(chǎn)生的風(fēng)險(xiǎn)�,”他說�。
Rubrik內(nèi)部采用了全面的數(shù)據(jù)安全策略,不斷監(jiān)控并確保遵循安全編碼實(shí)踐,跟蹤敏感信息以及訪問這些信息��。“我們還建立了明確的流程�����,以防萬一受到攻擊�,”Nithrakashyap(尼特拉卡西亞普)說道。
4.恢復(fù)力的關(guān)鍵策略
一些新興方法和技術(shù)正在幫助CIO提供更好的風(fēng)險(xiǎn)緩解和恢復(fù)措施����。Palo Alto Networks的Rajavel(拉賈維爾)建議制定集成安全策略����,使用整合的安全平臺(tái)并以結(jié)果為導(dǎo)向�。“采用基于平臺(tái)的方法可以降低復(fù)雜性�����,使CIO能夠在不犧牲速度或靈活性的情況下保持強(qiáng)大的安全態(tài)勢(shì)���,”她說����。
Nithrakashyap(尼特拉卡西亞普)強(qiáng)調(diào)了數(shù)據(jù)安全態(tài)勢(shì)管理【數(shù)據(jù)安全態(tài)勢(shì)管理(DSPM)是一種網(wǎng)絡(luò)安全技術(shù),它用于識(shí)別多個(gè)云環(huán)境和服務(wù)中的敏感數(shù)據(jù)�,評(píng)估其對(duì)安全威脅的脆弱性和不合規(guī)風(fēng)險(xiǎn)。DSPM提供洞察力和自動(dòng)化功能�,使安全團(tuán)隊(duì)能夠更好地管理和保護(hù)組織內(nèi)的數(shù)據(jù)資產(chǎn)】�����,他將其描述為一種通過保護(hù)企業(yè)數(shù)據(jù)資產(chǎn)來評(píng)估����、監(jiān)控和管理企業(yè)網(wǎng)絡(luò)安全準(zhǔn)備情況和有效性的整體方法。“通過實(shí)施DPSM����,組織可以專注于其數(shù)據(jù)優(yōu)先級(jí)��,了解所有數(shù)據(jù)的存放位置以及如何保護(hù)這些數(shù)據(jù)��,”他說��。他補(bǔ)充說�,這可以幫助CIO解決數(shù)據(jù)治理問題。
CIO鼓勵(lì)持續(xù)監(jiān)控和始終在線的方法來改進(jìn)安全最佳實(shí)踐���,尤其是在處理敏感信息時(shí)�����。根據(jù)Loura(洛拉)的說法�,一個(gè)關(guān)鍵領(lǐng)域是確保對(duì)某些敏感記錄(如銀行賬戶或地址)的重大更改進(jìn)行多因素和多人驗(yàn)證。他還建議使用特定技術(shù)���,例如數(shù)據(jù)屏蔽���、監(jiān)控、自動(dòng)修補(bǔ)���、縱深防御方法和恢復(fù)策略���。
5.衡量效益
Rajavel(拉賈維爾)表示,強(qiáng)大的彈性策略可以帶來諸多好處���,其中之一就是提高生產(chǎn)力��。“通過制定強(qiáng)大的應(yīng)急計(jì)劃和備份系統(tǒng)����,組織可以最大限度地減少干擾并保持生產(chǎn)力�,讓團(tuán)隊(duì)專注于創(chuàng)新和增長(zhǎng),”她說。她補(bǔ)充說��,主動(dòng)風(fēng)險(xiǎn)管理也有助于降低違規(guī)的可能性���,有助于保護(hù)敏感信息并贏得客戶和利益相關(guān)者的信任����。
彈性策略還可以將單個(gè)故障與直接的財(cái)務(wù)影響聯(lián)系起來�。“除此之外���,彈性實(shí)踐有助于識(shí)別單個(gè)或集中的故障點(diǎn)�,了解與停電和中斷相關(guān)的潛在財(cái)務(wù)影響�����,并建立和測(cè)試恢復(fù)能力�,”Stapleton(斯臺(tái)普爾頓)說�����。從這些實(shí)踐中獲得的見解可以為預(yù)算優(yōu)先級(jí)提供信息��,并影響圍繞業(yè)務(wù)伙伴關(guān)系和產(chǎn)品軌跡的規(guī)劃。
CIO還可以通過各種方式衡量彈性的好處�����。Perez(佩雷斯)強(qiáng)調(diào)了減少安全事故��、遵守合規(guī)性以及數(shù)據(jù)治理改進(jìn)等指標(biāo)�����。他補(bǔ)充說�����,通過監(jiān)控?cái)?shù)據(jù)訪問模式���,CIO可以發(fā)現(xiàn)治理政策是否有效或需要改進(jìn)?���!斑@些指標(biāo)不僅可以保障運(yùn)營(yíng)����,還可以使組織能夠快速轉(zhuǎn)型——無論是應(yīng)對(duì)市場(chǎng)變化還是抓住新的AI機(jī)遇����,”他說���。
6.制定商業(yè)案例
為了倡導(dǎo)對(duì)彈性的投資�����,量化風(fēng)險(xiǎn)并說明彈性對(duì)于穩(wěn)定和長(zhǎng)期增長(zhǎng)的重要性非常重要�����。這是CIO可以發(fā)揮巨大影響的地方����。Rajavel(拉賈維爾)說:“CIO不僅應(yīng)該在公司戰(zhàn)略方向上占有一席之地���,還應(yīng)該推動(dòng)關(guān)于彈性如何釋放業(yè)務(wù)增長(zhǎng)并改善員工體驗(yàn)的討論?!?/span>
例如���,投資于彈性可以簡(jiǎn)化檢測(cè)和恢復(fù)時(shí)間��,從而最大限度地減少停機(jī)時(shí)間或完全避免中斷��。Rajavel(拉賈維爾)特別建議劃分中斷對(duì)運(yùn)營(yíng)、收入和聲譽(yù)的潛在影響����,并清楚地展示節(jié)省的成本�?�!罢故厩袑?shí)的好處,例如減少停機(jī)時(shí)間��、避免違規(guī)帶來的成本節(jié)省以及提高運(yùn)營(yíng)效率�,這是一個(gè)令人信服的論點(diǎn)�����?!?/span>
其他人也同意���,證明韌性的依據(jù)在于量化與降低成本相關(guān)的明確投資回報(bào)率��。“與任何風(fēng)險(xiǎn)一樣,考慮發(fā)生的可能性�,以及在事件發(fā)生時(shí)減輕��、隔離或限制爆炸半徑的策略�����,然后你可以估算可能的影響成本��,并以此作為投資的依據(jù)���,”Loura(洛拉)說?���!案纳七@些因素的投資可以降低影響成本��,從而產(chǎn)生投資回報(bào)率?���!?/span>
投資于彈性就是投資于業(yè)務(wù)連續(xù)性。因此���,為了證明這一點(diǎn),首席信息官應(yīng)該強(qiáng)調(diào)它對(duì)補(bǔ)救措施的影響�����。“一家具有數(shù)字彈性的公司應(yīng)該能夠在幾分鐘內(nèi)從網(wǎng)絡(luò)攻擊或中斷中恢復(fù)過來�,而不是幾小時(shí)或幾天,”Nithrakashyap(尼特拉卡西亞普)說�����?���!?span style="font-size: 18px; font-family: 黑體, SimHei; color: rgb(64, 118, 0);">通過將網(wǎng)絡(luò)彈性作為優(yōu)先事項(xiàng),IT和安全領(lǐng)導(dǎo)者可以縮短事件響應(yīng)時(shí)間����,減少整體業(yè)務(wù)中斷,并防止對(duì)公司利潤(rùn)造成打擊���。”
當(dāng)然��,對(duì)于必須遵守法規(guī)的企業(yè)來說��,彈性的論點(diǎn)很簡(jiǎn)單����。Stapleton引用了《數(shù)字運(yùn)營(yíng)彈性法案》【《數(shù)字運(yùn)營(yíng)彈性法案》(DORA)是歐盟的一項(xiàng)新法規(guī),旨在為歐盟金融行業(yè)創(chuàng)建具有約束力的全面信息和通信技術(shù)風(fēng)險(xiǎn)管理框架】作為一個(gè)例子����。歐盟法規(guī)將于2025年初開始實(shí)施�,其中包括供應(yīng)鏈審計(jì)����、業(yè)務(wù)連續(xù)性規(guī)劃�����、內(nèi)部培訓(xùn)和針對(duì)常見威脅的測(cè)試等基本彈性要求。除了合規(guī)性之外�����,他還強(qiáng)調(diào)了潛在的收入損失�、基于中斷的SLA甚至客戶流失����,以及管理不善的中斷造成的聲譽(yù)損失,這些都是彈性工作的關(guān)鍵業(yè)務(wù)驅(qū)動(dòng)因素。
7.為最壞的情況做準(zhǔn)備
韌性的核心在于制定主動(dòng)措施來管理風(fēng)險(xiǎn)����,實(shí)際上有助于預(yù)測(cè)不可預(yù)測(cè)的情況。“強(qiáng)大的韌性策略可以幫助您的團(tuán)隊(duì)采取主動(dòng)而不是被動(dòng)的態(tài)度����,”Rajavel(拉賈維爾)說��?����!斑@使您和您的團(tuán)隊(duì)能夠領(lǐng)先于潛在威脅����,確保業(yè)務(wù)連續(xù)性?��!?/span>
在當(dāng)今互聯(lián)互通的數(shù)字世界中��,小規(guī)模的中斷可能會(huì)造成大規(guī)模的后果���。因此,對(duì)最壞情況做出妥善的響應(yīng)對(duì)于保持正常運(yùn)轉(zhuǎn)變得越來越重要?�!癐T和安全領(lǐng)導(dǎo)者必須繼續(xù)合作���,在數(shù)字系統(tǒng)中建立信任和可靠性�,以應(yīng)對(duì)最壞的情況——并且能夠在最壞的情況發(fā)生時(shí)恢復(fù)業(yè)務(wù)���,”Nithrakashyap(尼特拉卡西亞普)說。
作者:Bill Doerrfeld(比爾·多爾菲爾德)
譯者:穿山甲
【睿觀:在人工智能��、網(wǎng)絡(luò)攻擊等威脅日益嚴(yán)峻的背景下��,企業(yè)CIO們必須加強(qiáng)組織的彈性����,以應(yīng)對(duì)各種潛在風(fēng)險(xiǎn),確保業(yè)務(wù)連續(xù)性����。
(一)主要論點(diǎn):
風(fēng)險(xiǎn)的復(fù)雜性:?人工智能、軟件供應(yīng)鏈脆弱性���、網(wǎng)絡(luò)攻擊等多重威脅交織�,使得企業(yè)面臨前所未有的挑戰(zhàn)。
彈性的重要性:?彈性是企業(yè)應(yīng)對(duì)風(fēng)險(xiǎn)�����、保持業(yè)務(wù)連續(xù)性的關(guān)鍵能力���。
CIO的角色:?CIO在構(gòu)建彈性組織中扮演著核心角色����,需要制定綜合的彈性策略�。
(二)具體行動(dòng)建議:
加強(qiáng)風(fēng)險(xiǎn)管理:?建立全面的風(fēng)險(xiǎn)管理體系,關(guān)注人工智能風(fēng)險(xiǎn)��、軟件供應(yīng)鏈風(fēng)險(xiǎn)等��。
提升安全防護(hù):?加強(qiáng)網(wǎng)絡(luò)安全防護(hù)�,采用先進(jìn)的安全技術(shù),如機(jī)器學(xué)習(xí)�����、數(shù)據(jù)安全態(tài)勢(shì)管理等�。
制定應(yīng)急預(yù)案:?制定詳細(xì)的應(yīng)急預(yù)案,定期進(jìn)行演練�����,提高應(yīng)對(duì)突發(fā)事件的能力。
培養(yǎng)彈性文化:?在組織內(nèi)部營(yíng)造重視彈性的文化,鼓勵(lì)員工積極參與到風(fēng)險(xiǎn)管理中�����。
衡量彈性效益:?建立衡量彈性的指標(biāo)體系�����,通過數(shù)據(jù)分析評(píng)估彈性策略的效果���。
第一層:核心論點(diǎn)
第二層:支撐論點(diǎn)
風(fēng)險(xiǎn)的復(fù)雜性
人工智能帶來的新風(fēng)險(xiǎn)
軟件供應(yīng)鏈脆弱性
網(wǎng)絡(luò)攻擊威脅
彈性的重要性
CIO的角色
第三層:具體行動(dòng)建議
第四層:具體措施和案例
