ISACA Journal | 如何应对新兴技术带来的安全隐患
在信息技术领域,交互、信息和计算这三个要素一直在稳步演进。可以合理地认为,信息技术的未来将沿着这三个轨道的向前推动,朝着三个特定的、趋于融合的终极目标迈进:简单性、智能性和丰富性。组织领导者的任务不是简单、傲慢地为未来技术做好准备,因为这是不可能的,今天开创性的进步有一天可能被视为过时的方法。相反,领导者必须驾驭新技术,同时降低组织面临新技术带来的风险。
新兴风险
人工智能(AI)、物联网(IoT)和量子计算等领域的进步推动着技术变革的步伐不断加快。IT的进步有望带来新的产品、服务和工作方式,这些产品、服务将不断重塑企业格局。新技术也在应对气候变化和人口结构变化等社会挑战时不断涌现,这将推动技术创新和变革。组织需要及时了解这些变化并进行调整,以保持在市场竞争中的优势。
尽管技术趋势可以带来积极的变化,但也存在负面影响。技术变革的速度可能会引发新兴风险。随着新技术的快速发展和应用,新的技术风险也随之涌现,人类可能难以充分理解风险和其带来的潜在影响。
技术风险指的是由于技术的使用或滥用可能产生的负面后果。技术风险的一些例子包括数据泄露、网络攻击、系统故障和对敏感信息的未经授权访问。这些风险领域可能对个人、组织和社会产生重大影响。组织可以通过实施安全措施、制定应急事件响应计划,并向员工宣贯以安全和负责任的方式应用技术的最佳实践以管理技术风险。
关键IT发展趋势
了解主流的IT发展趋势对企业领导者和技术人员至关重要,这样他们就可以评估这些趋势对特定战略的潜在影响,比如增加收入、加速数字化发展、数据价值最大化以及保护和建设品牌。这些趋势可以体现组织的风险或机会,并可用于创建技术路线图,以在一系列战略目标上产生影响。
数字免疫系统
数字免疫系统(DIS)是一个网络安全概念,旨在以同人类免疫系统保护身体免受疾病侵害的方式来保护数字系统和网络。DIS通过监控数字环境中的攻击或感染迹象,并采取对策来防止或减轻损害。它不是单一的产品或解决方案,而是一种综合性方法,涵盖人员、流程和技术,以保护组织的数字资产。
DIS通常包括硬件和软件解决方案的组合,如防火墙、入侵检测系统(IDS)和安全信息与事件管理(SIEM)工具。这些系统共同工作,提供实时威胁检测、事件响应和自动化修复能力。
DIS的一个关键优势是其能够随着威胁环境的不断变化进行适应和演进。随着新的威胁和漏洞被发现,可以更新DIS以纳入新的对策和防御措施。DIS可以与AI、机器学习和大数据技术结合使用,创建主动、适应性和自愈的网络防御机制。
应用可观测性
应用可观测性是在生产环境中使用可观测性技术来理解和优化复杂系统的性能和行为的实践。可观测性是一组技术,用于在没有访问系统内部逻辑的情况下理解系统的内部状态。相反,系统行为是通过其输入和输出以及从不同来源(如日志文件、跟踪和度量)收集和分析数据来观察的。
应用可观测性不仅仅是一组工具,而是一种文化和思维方式。它强调通过系统的可见性来实现理解,并基于数据做出决策。
人工智能信任、风险和安全管理
人工智能信任、风险和安全管理(AI TRiSM)是一种用于管理风险并确保人工智能系统安全性的框架。AI TRiSM旨在提供一种结构化方法,用于识别、评估和减轻与人工智能系统相关的风险,并确保这些系统值得信赖和安全。
行业云平台
行业云平台是为特定行业或企业部门设计的平台。它们提供一系列针对特定行业需求量身定制的服务,如软件、基础设施和数据管理。
例如,医疗保健行业云平台可以提供电子病历管理、远程医疗和人口健康管理等服务。金融行业云平台可以提供会计、银行和证券交易等服务。
平台工程
平台工程涉及设计、构建和维护支持软件应用程序开发和部署的基础设施和技术。平台工程关注构成平台的硬件、操作系统、数据库、网络和其他组件。它还涉及安全和合规方面,如确保平台配置安全,并满足合规要求。
无线技术价值实现
无线技术价值实现是在组织中识别、捕获和实现无线技术价值的过程,包括为无线技术识别新的用例和应用、优化现有的无线部署,以及开发新的无线产品和服务。
无线技术,如5G、物联网和边缘计算,为组织提供了改善效率、降低成本和创造新的收入来源的机会。成功实现无线技术价值需要清楚了解业务需求和目标,此外,还需要采用结构化方法来识别和捕获这些技术的价值。
超级应用超级应用是将多个类别的广泛功能和服务整合到统一平台的移动应用程序,例如亚洲的微信、Go-Jek和Grab。它们旨在满足大多数人的日常需求,从订餐到打车、与朋友沟通、支付账单和在线购物。它们也被称为超级平台或一体化应用。
超级应用通常使用户能够在同一个应用程序中访问各种服务和功能,如消息传递、社交媒体、电子商务、支付和交通。超级应用利用移动技术的力量,为用户提供无缝、便利和个性化的体验。
然而,超级应用也带来风险。挑战包括监管问题、数据隐私和安全性,以及市场集中的潜在问题。
自适应人工智能自适应人工智能指的是能够根据新数据、经验和反馈进行适应和改进的人工智能系统。这些系统也被称为学习型人工智能或自适应人工智能。
自适应人工智能系统使用机器学习算法不断改进其性能和决策过程。它们从新数据中学习,调整其参数,并随着时间的推移改进其预测或行动。
自适应人工智能的目标是创建能够在动态和不确定的环境中运行,并在获取更多经验和知识时改善其性能和决策能力的系统。然而,自适应人工智能系统也面临一些挑战,如数据偏见、可解释性和安全性。
元宇宙
"元宇宙"是一个用来描述由虚拟现实、增强现实和互联网融合而成的虚拟世界或宇宙的术语。它是一个共享的、持久的、沉浸式的数字空间,人们可以在其中相互交互、沟通和进行交易,与数字实体和物体互动。
元宇宙的概念在科幻小说和视频游戏中被广泛应用,但随着虚拟和增强现实、5G网络和边缘计算等技术的进步,它正在迅速成为现实,创造出更加沉浸和互动的数字体验。
元宇宙有潜力彻底改变社会的许多方面,如娱乐、教育和商业。它可以实现新形式的社交互动,如虚拟派对、音乐会和聚会。它还可以为远程工作、学习和培训创造新的机会。元宇宙目前仍处于早期发展阶段,建立标准和协议以确保不同平台和生态系统之间的互操作性和兼容性将至关重要。
可持续技术
可持续技术指的是利用技术促进环境和社会的可持续发展。它涉及设计、开发和实施环境友好、社会责任和经济可行的技术。可持续技术的例子包括:
-
可再生能源技术,如太阳能、风能和水力发电等产生清洁和可再生能源的技术。
-
能源效率技术,如LED灯、智能家电和自动化建筑系统等减少能源消耗的技术。
-
可持续交通技术,如电动车辆和公共交通系统等减少排放和改善空气质量的技术。
-
可持续农业技术,如精准农业和垂直农业等使用较少的水和农药,并可在城市地区种植的技术。
-
回收和废物管理技术,如堆肥、生物气体发电和3D打印等减少废物和污染的技术。
可持续技术可以帮助组织和个人减少其环境足迹,降低能源成本,并改善其社会影响。它还可以在不断增长的可持续技术领域创造新的商机和就业机会。
联合国所有成员国在2015年通过的《2030年可持续发展议程》为人类和地球的和平与繁荣描绘了共同的蓝图,是全球伙伴关系中所有国家迫切行动的呼吁。可持续技术的采用对于实现这些可持续发展目标以及应对气候变化、环境退化和社会不平等等全球挑战至关重要。
管理新兴技术风险
组织可以通过实施各种策略和最佳实践来管理与不断变化的技术相关的风险,例如:
-
了解业务战略——确定组织面临的业务驱动因素和关键问题是第一步,继而可以研究新兴技术创新,将问题与合适的技术解决方案相匹配。重要的是,IT部门要了解更广泛的战略、驱动因素和问题。
-
制定技术战略——清楚了解正在应用的技术以及未来如何应用这些技术。包括确定对组织运营至关重要的关键技术,并制定实施和管理这些技术的战略。
-
定期进行风险评估——定期评估技术部署所涉及的风险,并制定减轻或管理风险的计划。包括识别潜在的漏洞和攻击路径,并实施安全控制来防范它们。
-
实施事件响应计划——制定强大的事件响应计划,以快速有效地应对安全漏洞和其他与技术相关的事件。这些计划应包括识别和控制安全事件的程序,以及恢复正常运营的方法。
-
及时了解技术趋势——及时了解最新的技术趋势和发展,以及它们可能对组织产生的影响。包括监测最新的威胁和漏洞,并了解可能为组织提供机会的新技术。
-
投资培训和教育——投资培训和教育,确保每个人都了解安全和负责任地应用技术的最佳实践。包括提供安全意识培训和特定技术应用培训。
-
建立合作伙伴关系和合作——与其他组织和技术提供商建立合作伙伴关系和合作。这可以促进知识共享和最佳实践,并提供对新技术和解决方案的访问。
总结
技术变化的速度可能会给组织带来多个风险因素。随着新技术的快速发展和应用,跟上技术的步伐并充分了解风险和潜在影响可能会很困难,导致人们缺乏应对新技术后果的准备,例如数据隐私问题或网络安全威胁。
此外,技术的迅速变化可能导致工作岗位流失,因为某些行业角色正变得自动化或被淘汰。它可能超越法规和法律,形成法律和伦理的灰色地带。例如,人工智能和生物技术等新兴技术引发了现有法规可能无法解决的新的伦理问题。
为了减轻与技术变化速度相关的风险,组织可以投资于技术前瞻和监测工作,及时了解新兴技术及其潜在风险。他们还可以积极进行风险管理,以在问题出现之前解决潜在问题,并随时准备根据需要调整其政策和流程。
编者注:本文出自ISACA Journal 2023年第4期。尾注略。文章内容仅代表作者本人观点。
作者:TARNVEER SINGH,CISA, CRISC, CISM, CDPSE, CEH, CITP, 是Cyber Wisdom Ltd的安全总监。他为许多在伦敦证券交易所上市的大公司提供咨询和安全领导。
翻译:吴梦庭(Tiffany Wu),ISACA微信公众号特邀通讯员。
校对:唐雅琪(Andrea Tang),FIP, CIPP/E, CIPM,ISO 27001 LA,ISACA微信公众号特邀通讯员小组组长,任职于安永企业咨询有限公司。