ReliaQuest指数客户会议是一个令人兴奋和引人入胜的事件,每年聚集数百名安全专业人士和ReliaQuest客户讨论安全问题.
这次会议最大的一个方面是来自众多行业和规模的思想的多样性. 在任何时候,我周围都是来自不同背景的专业人士. 例如, 在一个30分钟的时间段内, 我和一名海豹突击队队员聊天, NFL后卫, 大型零售商的首席信息安全官, 而我的对手, 一家全球制造公司的事件响应主管. 听到我们每个人对安全的独特看法,同时发现我们有多少共同点,这是令人着迷的.
今年,我主持了一场vns6060威尼斯城官网数字风险的圆桌讨论. 在政策部门有些生疏, 我采用了我从教中学到的一个行之有效的技巧:问好, 开放式的问题. 因此,有了来自互联网的数字风险的“官方”定义, 我问参与者他们如何定义“数字风险”,然后我们就开始了比赛! 经过一番讨论,小组最终同意了以下定义:
数字风险:与系统、数据和网络相关的任何风险.
基于这个定义, 每个人都同意,数字风险涵盖了一个巨大的领域,而且只会继续增长. 在现代社会, 几乎不可能找到一个不受数字风险影响的业务流程. 结果是, 一个有效的数字风险管理程序对于任何规模或垂直行业的组织都是必不可少的.
风险登记册被破坏
接下来,我们将深入探讨组织如何发现、跟踪和量化数字风险. 所有人都同意管理数字风险, 我们必须有一种方法来量化和跟踪它. 一个共同的主题围绕着数字风险的管理, 虽然很讨厌吗, 传统的风险登记仍然存在,并且在各个行业都很好,但大多数人都认为,实施和维护传统的风险登记存在一些挑战.
主要挑战包括:
- 保持风险记录的更新,特别是在较小的组织中;
- Disconnects between the risk register and strategic business objectives; and
- 对不同类型的风险进行量化,这使得很难进行比较.
除了风险登记本身的挑战, 该小组讨论了执行不当的风险登记如何弊大于利. 例如, 未能有效地量化组织中的数字风险, 管理层不可能定义风险偏好或做出基于风险的决策,从而导致潜在的严重战略陷阱.
新兴科技效应
带着清晰的瞄准镜, 常用术语和主要痛点, 我们讨论了新兴技术——以及新兴威胁——如何影响风险格局. 除了量子密码学等更切实的问题,还会威胁到我们的静态和传输数据, 我们很快转向了每个人都在思考的技术:人工智能(AI)。.
现在, 我在网络安全领域工作了很长时间, 我接触过很多vns6060威尼斯城官网人工智能的信息. 然而,在这次圆桌会议上出现的独特观点让我感到惊讶. 除了讨论人工智能威胁我们组织的所有传统方式之外, 在事件响应业务中,我花了很多时间思考这个话题, 当话题很快从人工智能的厄运和阴霾中转移出来时,我既惊讶又高兴, 如何利用人工智能来加强数字风险管理.
寻找更好的管理方法
正如该集团先前建立的那样, 跟踪是必要的, 记录和量化风险, 但风险登记存在一些困难, 尤其是在较小的组织中. 在这里, 我让小组成员集思广益,想办法增强遗留风险记录或完全取代它们.
这次讨论中出现了一个有趣的想法,即使用人工智能来帮助模拟可能难以客观量化的数字风险. 大家都认为这是一个很有前途的主意, 但谨慎是有必要的,因为人工智能的“幻觉”可能会导致人们难以理解的结果. 简而言之,在基于AI模型做出决策之前,要充分理解它.
另一个重点是,风险管理过程必须与公司的高层领导战略保持联系. 这意味着在数字风险管理的所有阶段,从绘制地图到确定优先次序再到减轻风险,以及在数字风险管理方案的定期管理和实施中,包括高级领导,以确保其继续识别, 确定优先级并降低风险.
总而言之,要管理数字风险,组织必须首先采取措施来规划具体的风险. 从那里, 应制定标准,确定需要立即采取行动的风险的优先次序,然后开始减轻风险的进程. 虽然没有发现终止风险登记做法的灵丹妙药, 出现了一些值得注意的想法,以加强我们当前的流程.