GenAI提高了人们对网络威胁的认识。人工智能项目正在进行中,但正在努力摆脱原型阶段。由于难以找到合格的 IT 资源,一些管理人员不得不将一些开发工作置于待命状态。以下是首席信息官担心的三个障碍的可能解决方案。
CIO负责许多活动,以及首席信息官在数字项目过程中遇到的障碍。但正如 IDC 最新数据显示的那样,网络安全仍然是头号挑战,以至于它成为一个不断增加的预算项目。分析师预测,到 2024 年,欧洲的网络安全支出将增长 12.3%;未来几年增长也将保持两位数,到 2027 年将达到 840 亿美元。驱动因素之一是生成式人工智能的传播:新应用需要网络安全保护。“确保安全变得越来越困难。我们需要投入越来越多的资金,决不能放松警惕”,Qubica AMF的 IT 总监 Sonia Belli 强调道,Qubica AMF 是一家博洛尼亚公司,也是全球最大的保龄球馆生产商之一。“现在有了 Gen AI,安全性将变得更加重要,因为新技术也被网络犯罪分子用来创建试图进入网络的机器人。”在最近的Cegos Barometer(学习与发展领域的国际参与者)中,网络安全也位居信息技术总监最关心的问题之首。 Cegos Italia 业务转型主管兼执行主管 Emanuela Pignataro 评论道,这一定位“是因为网络攻击不断增加,并对业务和连续性产生了重大影响”。“首席信息官认为,尽管以一切可能的方式保护公司,但网络攻击迟早会发生,因此,其真正关心的问题和真正的职责集中在尽可能减轻影响并尽可能恢复系统和运营。尽可能快地、最大程度地”。首席信息官们还意识到,网络犯罪分子并不是孤立的黑客,而是越来越多地成为拥有大量预算的有组织实体:因此受到高度关注。“如今,技术日益成为企业业务的基础,但它也可能成为故障点,”Banca Popolare Etica组织部副部长兼信息系统负责人 Giuseppe Ridulfo 指出。近年来,银行已经适应了越来越高的网络安全标准,这也是银行必须遵守的一系列法规的结果,例如PSD2 以及最近的欧洲法律 DORA(数字运营弹性法案),该法案的一部分欧盟委员会的数字金融一揽子计划将于 2025 年 1 月 17 日起实施。【睿观:PSD2(第二支付服务指令)和 DORA(数字运营弹性法案)是欧盟制定的两项重要法规,旨在提高金融服务行业的网络安全水平。银行需要采取措施遵守这些法规,以保护其客户并降低风险。(一)PSD2于 2018 年 1 月生效,旨在更新和加强欧盟支付服务市场的第一代法规(PSD1)。 PSD2 引入了许多新规定,包括:强化客户身份验证和授权(SCA)要求,以降低欺诈风险。开放银行服务,使第三方供应商能够访问客户的财务数据(经客户同意)。(二)DORA于 2022 年 9 月获得欧盟委员会批准,将于 2025 年 1 月 17 日生效。 DORA 旨在建立一个全面的欧盟框架,以确保金融实体的运营弹性。 DORA 的主要目标是:PSD2专注于支付服务的安全性,而 DORA 涵盖更广泛的运营风险,包括网络安全、IT 运营和供应链管理。 DORA 还引入了一些新的要求,例如:金融实体必须进行压力测试和情景分析,以评估其应对重大运营事件的能力。PSD2和 DORA 对银行产生了重大影响。银行需要采取以下措施以遵守这些法规:(五)遵守PSD2 和 DORA 可以为银行带来许多好处,包括:Banca Etica与其合作伙伴 Cedacri 一起实施了动态欺诈检测系统,该系统使用机器学习来了解客户的日常行为并报告异常行为,例如特别大的银行转账或来自非正常 IP 地址的连接。因此,从技术角度来看,里杜尔福表示,他有信心能够保护公司并对任何攻击做出反应。但还有其他因素会造成脆弱性。“诈骗者非常善于利用人们的情感,”里杜尔福解释道。“这是我们最难干预的地方。”事实上,利用社会工程技术进行的人身攻击很难拦截,因为欺诈者了解银行和客户之间的典型对话是什么,模仿机构的行为并设法让客户向他提供他的数据,完成骗局。以前,这种情况通常通过网络钓鱼电子邮件发生,但现在也通过电话发生。“我提请管理层注意这一现象,要求他们在提高客户意识方面投入更多资金,以便他们知道如何识别联系他们的不是银行而是冒充银行的人,”Ridulfo 指出。 链条中的另一个薄弱环节是供应链:“我们受到内部 IT 系统的保护,我们投资于内部培训,我们已经实施了拦截威胁的技术:我们感到足够冷静。但我们不能对供应商说同样的话。”该经理补充道。欧洲NIS2 法规坚持将保护整个供应链作为企业网络安全战略的一部分,这并非巧合。“我们生活在一个互联的世界,所有技术都通过 API 连接。对于首席信息官来说,有必要了解企业生态系统内部和外部的互连,识别网络威胁可能到达的薄弱环节”,Verizon 法国总裁兼欧洲、中东和非洲南部和比荷卢经济联盟董事总经理 Frédérique Liaigre 确认道商业。“尤其是今天,CIO 必须关注采购和供应商的选择:15% 的攻击来自供应链”。IDC研究强调,在网络安全领域,人工智能是一把双刃剑:它增加了自我防御的工具,但同时也是网络犯罪手中的新技术。然而,这不仅仅是CIO面临的AI挑战所在。许多IT 经理认识到人工智能和自动化 (RPA)中宝贵的效率机会,因为该技术将接管机械和重复性任务,在这些任务中使用资源而不创造价值。但困难在于从原型转向规模化产品。Ridulfo报告称,即使在银行业也存在这种看法:更新信贷额度、更新客户身份文件和联系方式等操作以及其他类似任务会占用时间和资源,而不会产生业务,许多首席信息官希望实现自动化或为其提供支持人工智能。但往往它只是一个“愿望清单”,没有达到完整的运营阶段。“公司经常开发许多小型概念验证(PoC),其中(几乎总是)一切正常,因为参与的元素被减少和简化。然而,当原型扩展时,复杂性就会增加,从而导致成本和管理问题”,LIUC – Cattaneo 大学人工智能和营销策略兼职教授、Growth Tribe of Partners 成员兼法国咨询公司总监 Michele Caruso 评论道。公司Artefact。贝利还看到了人工智能在提高公司效率和创造业务方面的巨大机会。即使对于Qubica AMF,人工智能仍处于测试阶段,但这里的问题是成本:“如果我们为后台考虑一个生成式人工智能产品,乘以我们的内部用户,我们会得到较低的投资回报,这对我们来说是不可行的。”经理说。这并不意味着贝利放弃:他的解决办法是通过试点项目进行,寻找一些资金来资助自己,并更加坚持地与供应商谈判以获得更优惠的条件。“但只有当我们有一个用例能够满足我们的需求并真正产生效益时,我们才会这样做,”他强调说。首席信息官们报告的第三个长期挑战是寻找IT技能:IT 人才稀缺且令人垂涎,而且其成本持续上升。候选人通常要求的 RAL 比许多公司(尤其是中小型公司)所能提供的高出 30% 左右。许多人要求能够完全远程工作,但并非所有公司都愿意提供这一好处。【睿观:RAL 可能指的是 RAL 工资等级(RAL Salary Scale)。RAL 工资等级是德国的一套薪资标准,用于确定特定职位的薪酬范围。它通常用于招聘和薪酬管理,并根据职位级别、工作经验和技能等因素来确定薪资范围。IT 人才通常要求的 RAL 比许多公司(尤其是中小型公司)所能提供的高出 30% 左右。这表明 IT 人才的薪酬需求很高,而许多公司难以满足这些需求。】“对于数字档案来说,一场‘工资上涨之战’正在进行,这对整个市场产生了负面影响,因为中小企业被排除在这种经济上不可持续的竞争之外,并且造成了薪酬政策的内部不平等,”我们在最新的人力资源报告中读到。米兰理工大学管理学院创新实践观察站。“我们已经有几个月的职位空缺了,例如开发领域的职位,”贝利报告道。“作为IT 总监,我正在寻找也了解技术工具的分析师:作为一家中型公司,我们没有专门从事各个领域的大型团队,但我们需要能够根据应用程序完成所有工作的人员。我们还很难找到 Azure 系统专家,许多候选人并没有真正具备高水平的知识,并且仍然要求很高的 RAL,这对于中小型企业来说是不可持续的。”该经理证实。“另一个困难是我们只进行部分远程工作,因为我们相信团队合作可以巩固公司文化”。出于同样的原因,贝利不得不搁置一些客户体验项目:“我们缺乏技能。”四、可能的解决方案:通过人工智能和培训赢得人才挑战然而,人工智能可以为招聘IT人才的困难提供答案,从 RPA 开始:Polimi HR 创新实践观察站强调,自动化手动活动有助于释放资源,分配给更专业的任务。显然,公司必须同时开展一项特定的技能更新活动。米歇尔·卡鲁索表示:“公司采用人工智能和生成式人工智能需要对人的角色及其日常任务进行深刻的重新思考。” “启动技能提升和再培训途径至关重要;公司必须了解如何重新定义不再参与重复性活动的人员的角色,这些重复性活动很容易被人工智能取代,使他们朝着更具智力吸引力和成就感的任务迈进。这是一个深刻变革、提升、寻求人与机器之间新平衡的时刻。在人工智能项目中,必须始终保留人的因素:机器被分配到它最擅长的事情,而人类被分配到机器不能有效完成的事情。首席信息官(而不仅仅是他们)必须越来越能够识别人与机器之间的互补因素”。培训对于留住人才也至关重要,这样员工才能始终感受到自己的职业和个人成长得到“滋养”,并在公司组织中占有重要地位。“找不到IT资源,因为没有人培训年轻人。”意大利一家研究机构的IT主管告诉我们。“我们在他们只有20-22 岁时就开始招收他们,通常还没有学位,这很好,因为我们从头开始:重要的是投资于准备学习的聪明人。然后,通过持续的培训和刺激项目,我们确信我们能够保留我们的资源。”对于从原型转向AI实现的难度,Caruso的建议是从一开始就将可扩展性的元素融入到PoC中,并提供清晰的底层业务案例,项目的自筹资金逻辑已经处于测试阶段。同样重要的是,立即预见到放大阶段中将存在的一般复杂性的缩小规模表示,接受原型的最大复杂性和极端简化之间的折衷。“其中一个关键因素取决于用于扩大规模的数据的质量和可用性,因为没有数据=没有人工智能或 GenAI;糟糕的数据 = 糟糕的人工智能或 GenAI”,教授强调道。“假设一家时尚公司的 CIO 开发了 GenAI 解决方案的 PoC,能够自动生成产品表,确保所有信息的正确性。在设计阶段,必须预见实际的妥协:例如,确保解决方案能够覆盖所有类型的产品、所有必要的、具有适当粒度(SKU、大小等)的可用数据类型。例如,卡片的任何更正或实时更新仍然由人类管理。这种极其具体和务实的做法将使首席信息官能够保持高质量的工作,充分利用人工智能和人类智能之间的互补能力。”Caruso强调的另一个要素是治理的需要,因为人工智能,尤其是其生成组件,代表着公司的新的进化飞跃,而风险在于,技术在没有明确方向的情况下被添加到 IT 中,从而形成不一致的整体。“数据治理和清晰的运营模型是起点:它们是构建和扩展各种人工智能项目的基础,”卡鲁索说。有效的做法也可以用于网络安全。首先,采用零信任理念:“假设是:不存在先验的信任,每个进入公司网络的用户都拥有其工作所需的最低访问凭据。这有助于尽可能保护应用程序和数据。”Liaigre说道。另一个最佳实践是让整个最高管理层在安全工作上进行合作:网络安全并不是首席信息官的唯一责任。“由于战略数据、资产、业务连续性、资金和声誉都面临风险,网络安全不仅仅是一个技术问题,而是关系到所有执行董事的问题。这需要团队合作:整个组织必须参与其中,因为网络威胁影响到公司中的每个人或与公司有联系的人。”Liaigre 强调道。这种协作方法也适用于SASE(安全访问服务边缘),它是网络安全领域最具创新性的范例之一,与零信任方法相关。它还包括技术合作伙伴:即使在可能的攻击后恢复过程中,您身边有一个能够提供支持的供应商或顾问非常重要。由于这不再是“如果”的问题,而是“何时”的问题,因此我们“如何”应对以及“如何”恢复至关重要。【睿观:SASE(Secure Access Service Edge,安全访问服务边缘)是一种将网络安全和网络连接功能结合在一起的云端服务架构。它旨在为用户提供安全、快速且无缝的访问应用程序和资源的体验,无论用户位于何处。(一)SASE的核心是 零信任 安全原则,该原则假定所有用户和设备都是不可信的,必须在尝试访问任何资源之前进行身份验证和授权。 SASE 架构使用各种技术来实现零信任,包括:1.SDP(软件定义边界):SDP是一种虚拟边界,可根据用户的身份和设备属性动态创建。2.CASB(云访问安全代理):CASB是一种安全网关,可用于控制对云应用程序的访问。3.SWG(安全Web 网关):SWG 是一种安全网关,可用于过滤 Web 流量并阻止恶意内容。4.FWaaS(防火墙即服务):FWaaS是一种基于云的防火墙,可用于保护网络免受未经授权的访问。5.ZTNA(零信任网络访问):ZTNA是一种安全架构,可用于仅向授权用户授予对应用程序和资源的访问权限。1.提高安全性:SASE 的零信任方法可以帮助降低数据泄露和其他安全威胁的风险。2.改善用户体验:SASE 可以提供更快速、更可靠的应用程序访问,无论用户位于何处。3.降低成本:SASE 可以简化网络安全管理并降低成本。针对最近的微软蓝屏事件中,SASE可发挥重要作用,帮助组织减轻事件的影响。以下是一些 SASE 如何帮助组织的示例:SASE使组织能够更快地从事件中恢复。例如,SDP 可用于快速创建新的虚拟边界以隔离新系统,而 ZTNA 可用于快速授予恢复人员对关键应用程序的访问权限。】
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。
查看原文