Bugcrowd 發表一項關於全球資訊安全總監(CISO)的調查,當中發現超過 90% 受訪者,認同人工智能(AI)已經或即將在不久將來,或會表現得比安全專業人士更好。該公司資訊總監(CIO)兼 CISO Nick McKenzie(下圖)指出,黑客亦以 AI 作為攻擊企業的重要工具,但如能善用這項科技,反過來有助提升藍色團隊(Blue Team)防守技術水平。
在該項名為「Inside the Mind of a CISO」的調查結果中,有三分之一(33%)受訪者認為至少有一半公司,願意為了節省開支而犧牲其客戶的長期隱私或安全。部分原因在於 40% 受訪者認為不到三分之一公司真正理解其被攻擊的風險。
談到金錢或資源問題,近九成(87%)受訪者表示他們目前正在招聘保安人員,56% 表示他們的網絡安全團隊目前人手不足。儘管有些人誤解認為不需要大學學位,但受訪者表示,只有 6% 的網絡安全領導者沒有大學學位,超過 80% 的人擁有專門網絡安全學位。
AI 令保安科技不斷演進,同時間企業對是否應向科技專才,賦予更多行政人員職能的安排上,有越來越的演進。就以 Nick 本身的例子來說,本身同時擔任 Bugcrowd 的 CIO 與 CISO,而他個人認為 CISO 依然是新興的職位,認為以網絡保安主導的科技職能,已在過去 5 年以來持續改變企業文化。
有部分企業會把 CISO 的職能同時放置於 CIO 之下,原先目的是讓職能統一,寄望令日常保安管理流程順暢。Nick 認為這情況在歐美地區已起變化,因為現代的 CISO 職位執行者,亦已成為重要的業務推動者(Business Enabler),而非單純的網絡安全監察者。其中一項原因是企業客戶對於保安事故的留意度越來越高,認為這對於品牌形象的影響亦十分深遠。他認為近年相關轉變更明顯,保安專才於企業管理職權的分層已備受重視,又以美國最大的零售商 Walmart 為例,亦早已設有環球 CISO 一職,而 Jerry Geisler 本人亦同時兼任執行副總裁。
剛於今年初完成規模達 1 億美元融資的 Bugcrowd,為目前「群眾外判保安」(Crowdsourced Security)平台提供者,而道德黑客(Ethical Hacking、或譯白帽黑客)亦是當中重要的服務之一。未來 CISO 社群的進一步發展,甚至是推進 Ethical Hacking 恆常化。Nick 指出企業傳統上對 CISO 的定位與能力有迷解(Myth),事實上「他/她」不只是科技專才,更有配合業務的技術能力(technical know-how),具備不同法律與商業背景,當中大部分參與者亦奉信,AI 能為未來帶來正面影響。
