这份由Splunk发布的CISO报告一共有35页,它把全球650位首席信息安全官的看法汇总起来,专门盯着AI时代下CISO职责怎么变,还有企业数字韧性怎么建。这份报告主要告诉大家,CISO在面对风险和挑战时,是怎么主动转型的,最后又该怎么用韧性去应对行业变化的。AI发展太快了,CISO的活干得更杂了。现在的CISO不光是盯着防护,更是建信任和韧性的人。 你看啊,96%的CISO现在都得管AI治理和风险管理,还要统筹DevSecOps、IoT/OT/ICS这些安全整合的事儿。79%的人都说活儿变难了。不过CISO也不好过,外面的坏蛋技术越来越溜,监管要求也在变来变去。家里头呢,缺人缺钱是老大难问题。还有78%的人担心自己干不好要背锅,压力比以前大多了。 好在现在大家都明白靠单打独斗不行了,得跟技术、财务、法务这些高管混在一起干活。不过非技术高管对网络安全懂的少,是个大障碍。这时候数据就派上用场了。数据编织架构能在保护隐私的前提下实现共享,让大家一块做决定。 虽然AI是大趋势,大家对机器学习、自动化啥的挺有信心。不过生成式AI用得还没到一半呢,智能体AI也才6%落地应用了。虽然已经有39%的人开始摸索了。 虽然AI能帮着干活提高效率,但数据泄露、影子AI、幻觉效应这些风险也跟着来了。而且企业用的AI越成熟,CISO就越觉得这些风险吓人。 至于人才嘛,CISO还是觉得人比技术重要。威胁搜寻、工程技术支持这些技能缺得厉害。但是啊,只有1%的CISO打算靠砸钱招新人来解决这个问题。提升现有员工的能力、招全职人员才是主要办法。另外还有个怪现象就是安全团队近三分之二的人都在过劳干活呢。警报太多、工具用烦了就是主要原因。 最后啊,CISO得学会把安全工作变成商业价值,给管理层算清楚赚没赚回本钱。现在管理层跟CISO在修漏洞、算损失上想法经常不一致。所以说用数据讲故事是传达安全价值的关键。 报告的最后给CISO们支了五招:要搞数据驱动、以人为本;把认知鸿沟弥合起来;多关注工作质量;多跟高管配合;用AI给人才赋能;主动掌控AI治理。这么一来就能从被动防御变成主动进攻了。