先週の終わりに、International Security Forumは、Threat Horizon 2019ビジネスに対するIT脅威の将来の傾向に関する次の年次報告書を公開しました。
また、昨年のレポート(2018)の結果の翻訳を追加しました。 提供される情報は、ビジネスリーダーと同様にITおよびリスク管理者が、増大するリスクに精通し、起こりうる結果を評価するのに役立つはずです。
ここでは、英語のレポートからの抜粋をダウンロードできます。 昨年 、 昨年の前年 、およびそれ以前の抜粋はパブリックドメインです。 過去3年間の報告書からの結論と推奨事項の翻訳に精通したい人のために-私は猫をお願いします。
コメントでは、調査結果の関連性と組織の推奨事項を説明することを提案します。
新しい技術が私たちの生活や仕事に与える強力な影響についての話で混雑していない新聞や雑誌を読むことは不可能です。 また、サイバー攻撃やハッキングに関する話を見逃すことは困難ですが、日々「攻撃者」はますます多くの機会と慢さを手にしています。
ビジネスリーダーは深刻なジレンマに直面しています。何かがうまくいかない場合、新しいテクノロジーを導入し、大規模な結果をもたらすことを急ぐ価値がありますか。 または待って、競合他社のポジションを失う可能性がありますか? 新興技術と関連する脅威について十分な情報を得た組織は、勝利を収める決定を下す優先順位を持ちます。
Threat Horizonレポートでは、ITの変更の結果、今後2〜3年で予想される9つの主要な脅威が示されています。 脅威は、発生した場合の主な結果を反映する3つの主要なテーマで概説されています。
Threat Horizon 2017-2018以前
2017年
1.1超高速接続は防御を抑制します。
1.2犯罪組織は大躍進を遂げます。
1.3テクノロジーを「拒否」するグループは混乱を引き起こします。
2.1重要なインフラストラクチャへの依存は危険になります。
2.2システムの脆弱性はツールとして使用されます。
2.3。 レガシーシステムの死。
2.4。 デジタルサービスの失敗による死。
3.1。 グローバルな統合は、競争とセキュリティを脅かすものです。
3.2。 データベースのハッキングの結果の急激な増加。
2018年
テーマ1.最新のテクノロジーの導入により、脅威の規模が大幅に拡大
1.1 IoTは機密情報をマージします
企業は、クラッカーに十分な機会を提供し、そのようなデバイスが不安定に設計される頻度を想像せずに、物事のインターネットを熱狂的に実装します。
IoTをネットワークに接続するためのセキュリティプロセスを実装します。 実装する前に、収集および配布に利用できる情報と、誰のために情報を評価します。
1.2不透明アルゴリズムが完全性を損なう
企業は効率を高めるためにアルゴリズムをますます使用します。 ただし、このようなアルゴリズムの相互作用の構造の透明性が不十分な場合、情報セキュリティの重大なリスクが生じます。
アルゴリズムによって駆動されるシステムとの共通点を特定し、人間の介入がいつ必要かを理解します。 アルゴリズムインシデントのリスクを処理する代替方法を特定します。
1.3反抗政府はサイバー攻撃にテロリストを使用します
このようなパートナーシップは、ビジネスの中断や既存のセキュリティ管理に対する信頼の喪失につながる、永続的かつ壊滅的なインシデントを含むように進化します。
リスク管理プロセスを調整して、新しいアクターを反映させます。 公的機関および民間機関との情報偵察を支援する機会を探ります。
テーマ2.防御する能力が損なわれる
2.1マネージャーの期待に応えられないことが深刻な事件につながる
マネージャーの期待は、情報セキュリティ機能の能力を超えて拡大します。 この矛盾は、重大なインシデントの結果として特定され、ビジネスに重大な結果を引き起こします。
リスクについて信頼できる見方を提供することにより、定期的に経営陣に働きかけます。 現在および将来の機能に基づいて、セキュリティ機能の改善に対する管理者の期待を調整します。
2.2研究者は脆弱性について沈黙を保つ
研究者は脆弱性を特定していますが、メーカーは訴訟を脅かしています。 その結果、組織はリスクを伴う脆弱なソフトウェアを引き続き使用します。
そのような研究への資金提供を検討してください。 中間サービスを使用して情報を交換します。
2.3サイバー保険の形でのサポートが消える
大規模なデータベースのハッキングは、多くの保険会社をサイバー保険市場から追い払うことになり、企業の主なリスク軽減アプローチに違反します。
危機の前にリスク管理戦略を再評価します。 高価な例外の可能性については、サイバー保険のポリシーをご覧ください。
テーマ3.政府による介入の強化
3.1攻撃的な組織が政府を刺激する
積極的なビジネス戦略(そのセクターを「弱体化する」組織が所有する)は、政治家と規制当局に、商取引と安全保障の分野での現地の結果に注意を払わせます。
あなたの製品やサービスが提供される現地の状況を理解することにより、政治的な反対を避けてください。 原則に基づいた制御システムに焦点を当て、政治的影響力と関与の戦略を開発します。
3.2法律「断片」クラウドストレージテクノロジー
法律の変更は、個人データの処理に新しい制限を伴います。 これにより、必要な変更が行われるまでクラウドサービスの導入が遅れます。
個人データのセキュリティ強化に対する需要の高まりに照らして、法律がどのように進化するかについて理解を深めます。 積極的に行動し、法律制定が変化している地域の変化に備えます。
3.3国際的な保護における犯罪機会の増加
サイバー犯罪者の技術的能力は、企業の能力を超えます。 現在の防衛メカニズムの機能は低下する可能性が高く、組織はより大きな影響を受けます。
脅威インテリジェンス機能を作成するために必要な制御とシステムを確立します。 効果的な法的スキームの協力と構築において、政府に積極的に影響を与えます。
Threat Horizon 2019:混乱。 歪み。 着る。
テーマ1-混乱 :「脆弱な」接続への過度の依存から。
テーマ2-歪み :情報の完全性に対する信頼が失われるため。
テーマ3-減価償却 :法規制と技術によって統制が侵食される場合。
2019年の世界はテクノロジーとコミュニケーションに完全に依存し、組織はリーダーシップを維持するためにあらゆるツールを自由に使用する必要があります。 この世界でのオリエンテーションには、強力な協力文化、および適切なタイミングで集まって成功を保証する役割を果たすことができる適切な人々が必要です。
大企業の失敗は来るのでしょうか? これはあなたの会社ですか?
テーマ1-混乱:「脆弱な」結合への過度の依存から
1.1意図的なインターネットの停止は貿易をひどくさせる
断片化した国際関係に直面して、国家とテロリストグループが敵に広範な経済的損害を与えることを目指しているという目標は、インターネットインフラストラクチャの中核となるでしょう。
既存のビジネス継続性計画に依存することはできなくなりました。 代替の通信方法(テレックス、衛星、高周波)で合意に達するには、内部および外部の利害関係者との対話が必要です。
1.2恐Exマルウェアはモノのインターネットに感染する
ランサムウェアウイルスは、企業が犯罪目的でデジタル情報の価値を利用する最も一般的な方法の1つです。 このようなソフトウェアの進化は、人々の命を危険にさらす可能性のある、スマートデバイスを目的としています。
業界団体と連携して、モノのインターネットの最小セキュリティ標準を保証する法律に働きかけ、影響を与えます。
1.3特権インサイダーに「パーティーゴールド」の発行を強制する
主要な情報にアクセスできる従業員である軽いターゲットは、昔ながらの犯罪的強制手段にさらされます。
重要な情報資産と、所有する/アクセスできる従業員を特定します。
テーマ2-歪み:情報の整合性に対する信頼が失われるため
2.1自動化された偽情報が即座の信頼性を獲得
人工知能の進歩に後押しされて、誤った情報を故意に広める行為は、商業組織を標的とするでしょう。
偽情報拡散シナリオを全体的なインシデント対応計画に組み込みます。
2.2。 情報を改ざんするとパフォーマンスが低下する
組織の内部情報の整合性を損なう攻撃は、量、規模、複雑さが増大します。
アクセスおよびコンテンツ管理システム(FIAM、CMS)を使用して、アクセスおよび主要情報の変更の監視を確立します。
2.3ブロックチェーンの犯罪使用は信頼を損なう
詐欺やマネーロンダリングにブロックチェーンを使用すると、依存している信頼が破壊されます。 これにより、特定のブロックチェーンの使用が拒否され、プロセスの効率が低下する可能性があります。
組織全体でのブロックチェーンの実装と使用に関する相談と決定を行うリーダーと委員会を任命します。
テーマ3-減価償却:法規制と技術によって統制が侵食される場合
3.1監視法および秘密監視法は企業秘密を明らかにする
企業は、通信プロバイダーが収集したデータストレージのセキュリティを判断できません。 攻撃者はこの脆弱性を標的にします。
あなたの製品やサービスが提供される現地の状況を理解することにより、政治的な反対を避けてください。 原則に基づいた制御システムに焦点を当て、政治的影響力と関与の戦略を開発します。
3.2機密性ルールは、内部の脅威の監視を防止します
個々のプロファイリングの制限は、組織にパズルを突き付けます。内部の脅威を追跡する能力を失うか、規制上の法的行為に挑戦します。 どちらのオプションもマイナスの結果になります。
会社が営業している各管轄区域のユーザープロファイリングに関する法的アドバイスを受けます。
3.3迅速なAI展開ロールが予期しない結果につながる
人工知能を使用すると、ビジネスリーダー、開発者、システムマネージャーの理解を超えた結果が生成され、新しい脆弱性が作成されます。
AI管理スキルを備えた人材を募集、育成、保持します。