Five Things for 网络安全 Professionals to Put on Their 2024 To Do List

Sandeep Godbole
作者: Sandeep Godbole, CISM, CISA, CISSP, CGEIT,信息安全专家和作家
发表日期: 2023年12月13

编者按:ISACA Now博客展望了2024年,列出了ISACA专家为从事IT审计的专业人士提供的待办事项清单, 风险管理, 信息安全, 隐私和IT治理. Today, Sandeep Godbole shares his 2024 to-do list for security professionals. See more cybersecurity resources from ISACA 在这里.

在新年前后, 网络安全365买球网站下载对未来有很多讨论和期待. 我们继续经历技术变革的速度使我们几乎没有时间做好准备. 新的一年 is not an inflection point w在这里 the change is concentrated; rather, the change is spaced throughout the year. 新的一年, however, reminds us to think about the future. These ruminations help us understand what to expect, 我们的准备程度和安全战略的优先次序.

安全风险, 长期以来,威胁和恶意行为者一直是互联技术世界的一部分. The intents of malicious actors and the security team remain the same. It is the actions of the malicious actors that mutate, building upon the technology change and changes to the environment.

The field of artificial intelligence (AI), the rapid deployment of generative AI applications, 接受云作为主要的IT部署结构和区块链技术的部署是更明显的技术趋势. Some of these trends are in their nascent stages, while others have matured. Beyond technology advancements, in 2023, 影响科技界的政治和战略发展也很重要. The world has seen military aggression and conflict among nations, 甚至和平国家也见证了大量针对数据保护和IT基础设施的立法. 这些动态结合在一起,给安全365买球网站下载带来了巨大的压力.

许多机构在每年的这个时候都会发布他们的年度技术趋势和预测, 这也是安全专业人士为新年制定待办事项清单的时候. 在我看来, 安全365买球网站下载可以通过将这五件事列入2024年的待办事项清单中来获益:建立人工智能知识, architect security for the cloud, refocus security on the human element, build security governance and do your boring stuff well.

1. 构建AI知识

The buzzword today for security professionals is AI (or GenAI). Many organizations are experiencing a heavy build-up of applications, utilities and models that leverage some form of AI. 作为安全专家, 您可能被期望或已经被要求就此类解决方案的安全性提供建议. 而为特定解决方案做出贡献的安全架构师需要对集成的人工智能解决方案有更深入的了解, all security professionals need to gain a solid understanding of the security aspects relevant to the AI. 这需要对AI的理解,以及审查与实施相关的AI方面的能力, including the solution architecture, 安全控制, 数据保护, as well as non-technical aspects, 比如合同.

2. Architect Security for the Cloud

云计算不再是一个新鲜事物,因为大多数服务已经提供了十多年. 然而, 云采用和各种服务的激增使得安全专业人员对与云部署相关的体系结构方面进行指导变得非常重要. Based on the nature of the cloud services, 安全专业人员在设计或推动与数据保护相关的安全控制的实现方面可以发挥作用, 保护数据流, 用户管理控制, 检测和响应, 服务结束义务, 等. Service providers may offer security monitoring interfaces and utilities. The security team can support by leveraging this to the maximum extent.

3. Refocus Security on the Human Element

This is a priority that will never cease to be out of fashion and relevance. 新技术带来了新的风险和新的攻击载体,其中许多攻击的目标都是用户. 从用户角度看, 重要的是要认识到,从安全的角度来看,他们需要解决的事情太多了, 而且这个名单不是一成不变的. 例如, 自大型机时代以来,与密码保密相关的用户意识就一直存在, 从那时起, 随着新服务和新产品的推出,还会增加更多的功能. 基于云的源代码管理系统需要专业知识来确保安全使用并避免代码凭据嵌入.

更一般地说,需要定期修订与用户安全意识有关的元素. Analysis of security incidents, as well as plans for new technology adoption, 能否帮助确定与安全中的人为因素相关的其他领域.

4. 构建安全治理

Operating in a dynamic environment w在这里 tools, 流程, risks and priorities continuously evolve is no easy task. 与风险、工具和控制相关的多样性带来了治理挑战. Appropriate security governance enables alignment, integration and management of multiple security aspects. Security governance requires the organization, 在不同的层次上, 回顾, evaluate and steer the organization to an appropriate level of security. 确保将技术变更作为治理范围的一部分来处理是非常重要的. Security professionals, leveraging relevant frameworks such as COBIT, have a big role to play in this process.

5. 把无聊的事情做好

在新的一年里,不要让所有的新趋势和新技术分散了你对基本面的关注. 新奇的事物总是能吸引人们的兴趣,而常规的活动很少能吸引人们的目光. 然而,在保护任何组织时,基本的安全控制是最重要的. No matter what the technology, doing the basics right is essential. Controls like data classification, 加密, multi-factor authentication, 端点检测, cloud security-related solutions, 外部机构安全评分和组织特定的暗网情报在保护组织方面有很长的路要走. No matter what the technology, 基本安全控制在保护组织方面保持其重要性.

不同的组织将有不同的优先级和不同的风险概况. 上述讨论提供了可被认为适用于各种组织的输入. 保安专业人士, 与组织优先级和活动保持一致可以产生最佳价值,并导致有效的风险管理. 了解技术趋势和当前的安全环境有助于提供最佳的安全风险管理. 新的一年, 2024, promises to be an exciting one for security professionals, and I am sure you will enjoy the journey.
