安全管理体系是一个复杂的生态系统,定义了企业的关键信息、安全原则、资源和活动(见图1)。企业机构所构建和运行的安全体系往往难以既对员工实用,又能有效管理快速发展的数字风险。因此,首席信息官(CIO)必须了解并避免陷入误区,构建强韧的安全体系,应对中国数字业务面临的网络安全挑战。CIO及其安全对团在构建切实可行的安全体系时,容易陷入四个常见误区。这些误区包括:
图1:安全管理体系的组成
误区1:设定不切实际的目标,希望抵御所有攻击
在当今的数字化环境和威胁环境中,企业机构要设定一个旨在遏制所有攻击的安全目标是既不现实,也不合适的。目前不存在完美的防护机制,在多边的业务和风险环境中,企业机构应在防护措施与业务运营需求之间取得平衡。这种平衡需要与业务领导者进行讨论和决定,而不是由IT部门单独决定(见图2)。
图2:安全是一种选择:何为适度风险?
当高管询问“我们能否达到百分之百安全”时,CIO及其安全团队应将谈话引向对风险的讨论。投入大量资金来预防对业务影响较小的安全事件,并不符合成本效益。企业机构应明确可能影响业务战略目标和绩效实现的安全风险,并定义风险控制衡量指标。在业务目标、影响业务成功的安全风险和跟踪指标之间建立明确联系,这一点至关重要。
误区2:安全策略引发摩擦但并未降低安全风险
安全策略的根本目的是通过识别、评估和控制风险,鼓励促进安全的行为,阻止不利行为。尽管如此,员工可能发现安全团队独立制定的一些策略难以遵守,对其角色而言并不合理,并且与其工作目标相冲突。因此,员工会选择忽略这些策略,继续采取不安全的行为。
2022年Gartner安全行为驱动因素调研发现,过去12个月中有69%的员工有意绕过企业机构的网络安全策略。此外,74%的受访者表示,如果有助于个人或团队实现业务目标(例如,再即将到来的截止日期前完成任务和/或完成营收目标),则会选择绕开网络安全策略。这种对安全策略的漠视产生的原因往往是由于安全因素引发的摩擦阻碍了员工高效开展工作。
为了避免陷入这一误区,企业应使用基于场景的方法进行测试,确保策略切实可行。再工作人员面对的许多实际场景中测试安全策略,并确定该策略是否为这些场景提供支持或造成妨碍。同时,可以考虑开发用户手册,使用通俗易懂的业务语言,而非专业术语来解释所有这些常见场景的安全要求。最后,发现、理解并解决员工所经历的摩擦。
误区3:传递的信息无法引起利益相关者的共鸣
安全治理是指确保采取合理、适当的行动,以最有效、 最高效的方式保护企业机构的信息资源,以实现其业务目标的流程和能力。由于CEO越来越重视安全事件和违规行为导致的业务损失,媒体的相关报道也越来越多,很多中国大型企业机构已经设立了企业级的安全委员会作为治理机构。
尽管委员会是由来自整个企业的业务和职能部门的高管组成,但安全议程和相关主题的沟通仍主要以合规为导向或以IT为中心。这就无法有效展示安全投资对于业务成果的价值和相关性,无法引起CEO和业务高管的更多共鸣。
为避免这一误区,CIO及安全团队应该阐述与业务成果相关的安全风险,不仅限于合规,这将更好地引起CEO和委员会业务成员的共鸣。同时,了解沟通背景,选择合适的价值沟通方式。
误区4:采用的中心化风险决策方法无法支持敏捷数字项目
由于业务部门更多地雇佣自己的数字化技术人员,而不是完全依赖企业的IT人员,企业机构的安全和风险决策日益分散。此外,在中国竞争激烈的数字化环境中,企业机构越来越多地采用敏捷或DevOps的全新IT方法,加速数字业务的交付。这反过来也增加了快速做出风险决策的压力。企业机构如果仍依赖传统的单一中心化安全团队来开展风险决策工作,将很难招聘到足够的安全人才,以应对企业机构内部快速增加的分布式风险决策的数量以及决策速度的要求。此外,分散决策的机会成本很快会超过其增加的价值。
为避免陷入这一误区,CIO应培养企业所有员工的网络判断力,满足敏捷数字项目风险决策的数量和速度要求,这将大大减少整个企业机构的网络风险暴露。此外,由于网络判断力并不要求安全人员全程参与以做出风险决策,节省下来的安全人力资源可以重新分配,用于更具影响力的网络安全活动中。
好文章,需要你的鼓励
随着GPU成为AI工作负载训练和运营的关键,越来越多的云服务提供商开始提供云GPU实例。这为希望避免部署GPU硬件费用和复杂性的组织带来好消息。云GPU实例可按超大规模与专业化提供商、通用与专用实例、共享与独占服务器进行分类。选择时需考虑工作负载类型、GPU类型、成本、延迟和控制级别等因素。
这是一项关于计算机视觉技术突破的研究,由多家知名院校联合完成。研究团队开发了LINO-UniPS系统,能让计算机像人眼一样从不同光照下的照片中准确识别物体真实的表面细节,解决了传统方法只能在特定光照条件下工作的局限性,为虚拟现实、文物保护、工业检测等领域带来重要应用前景。
企业云服务平台IFS收购硅谷代理AI专家theLoops,推出"工业AI"概念。该技术旨在创建具备语义环境感知能力的自主AI代理,专门服务于制造、能源、建筑等资产密集型行业。这些工业AI代理能够理解业务职责,遵循行业规则,与人类协同工作,执行实际工作任务而非简单的聊天或辅助功能,为企业带来可衡量的生产力提升和投资回报。
这篇文章介绍了北京人工智能研究院开发的OmniGen2模型,一个能够同时处理文字转图像、图像编辑和情境生成的全能AI系统。该模型采用双轨制架构,分别处理文本和图像任务,并具备独特的自我反思机制,能够自动检查和改进生成结果。研究团队还开发了专门的数据构建流程和OmniContext评测基准,展现了开源模型的强大潜力。