韧性在今年以多种背景出现。短时间内,我们看到它从一个网络安全讨论演变为整个企业的关注点。这一演变正在继续,现在焦点转向客户旅程,以及旅程各个阶段在面对干扰时的韧性。韧性作为网络安全的对话
一段时间以来,各组织一直担心其应对身份盗窃、勒索软件和其他攻击的韧性,以及从事件中恢复或“反弹”的时间。随着AI的兴起,威胁行为者越来越多地利用AI策略来提高攻击的复杂性和效果,这些担忧更加突出。
约41%的组织预计未来一年内,AI会显著增加身份威胁,使这些攻击更具说服力且更难检测。同时,AI也引起消费者的担忧,89%的人担心AI对其身份安全的影响。没有足够安全控制和系统的组织被认为对这些攻击的产生更没有抵抗力。韧性作为商业对话
尽管与具体网络安全威胁相关的韧性仍然重要,但今年表现出,韧性是一个更大和更广泛的讨论之一。
扩展这一讨论的推动因素之一是第三方如供应商和其他技术服务提供商在组织运营中所扮演的角色和产生的风险。在采购外包或云服务时,不可避免地会依赖于这些参与者及其架构能否在出错或恶意情况下保持韧性。传统上,组织在涉及其所聘第三方韧性的问题上是有所保护的,但这种情况正在改变。监管趋势是使企业直接对其运营中所利用的第三方的韧性负责。
在澳大利亚,这种情况在于具体的金融法规如CPS230以及涵盖更大行业范围的关键基础设施规则。尽管这些新规则帮助提高了对由第三方引起的商业韧性问题的认识,但真正促使组织在董事会层面而不仅仅是IT内部进行韧性和风险重要对话的,是这种风险的物质化——组织因为第三方的行为而无法运作。我们观察到越来越多的首席风险官、首席信息安全官、首席执行官和董事近期重新讨论业务连续性问题。
由于业务比以往任何时候都更多依赖于数字化和数据驱动,一个服务或技术的一部分失败的连锁影响被更好地理解为对其运营具有潜在破坏性。通过这些对话,业务高管和董事正在了解或发现韧性风险的漏洞或暴露。反过来,这推动了对额外有针对性控制、护栏和工具的投资和强调,承诺改善业务韧性。但这并没有到此为止。韧性作为客户旅程的对话
随着韧性讨论的扩大,组织自然开始测试其所有运营方面的韧性。
其中一种体现是在客户旅程背景下探索韧性,即了解每一个端到端体验交付的要素以及在该旅程的任何阶段中技术或控制失效时组织的韧性。典型的数字客户旅程包括多个阶段:从客户访问网站开始,到创建账户、建立档案、登录并使用服务,然后企业通过让客户返回购买更多或采取额外服务来利用之前的所有阶段,从而构建其客户终身价值。在旅程的每个阶段可能需要网络安全控制或技术以确保顺利运行。
整个客户旅程的韧性仅与其最薄弱的组成部分一样强。这就是为什么需要详细了解旅程及其所有组成部分,以便能处理每个部分的韧性,并在需要时加以改善,从而满足客户和提供体验的组织的期望。身份相关的控制对客户旅程的多个阶段都有益处。
目前的最佳实践是在旅程开始时验证客户或用户身份,并在旅程的其他阶段使用持续身份验证挑战以防止欺诈,随着时间对服务访问进行扩展管理,并在需要时更容易地识别并重新确认客户的身份以确保安全。通过这一点,组织可以与客户建立一个持续自适应信任的情境,从而确保前端体验保持顺畅,但客户仍然会因其行为而偶尔被挑战以强化互动的安全性。
这也应有助于体验的韧性,因为在客户旅程中的互动变得更可预测,任何例外情况都可以适当管理。