世界各地的CEO現(xiàn)在都已經(jīng)意識到網(wǎng)絡(luò)攻擊對業(yè)務(wù)構(gòu)成威脅的嚴(yán)重性:全球每年網(wǎng)絡(luò)犯罪造成的損失已經(jīng)超過1萬億美元。普華永道第24次年度CEO調(diào)查顯示,CEO們正在大力加強數(shù)字化工作。例如,超過77%的英國CEO預(yù)計會為網(wǎng)絡(luò)安全追加投資。
這都是值得贊許的進步——但為什么要花這么長時間才行動起來?企業(yè)如何在保持信息、系統(tǒng)和網(wǎng)絡(luò)安全的同時更快地實現(xiàn)完全數(shù)字化?
01、頭號威脅
自2015年以來,網(wǎng)絡(luò)犯罪已成為普華永道年度CEO調(diào)查中CEO最關(guān)心的問題。2020年,網(wǎng)絡(luò)威脅排名第二,僅次于流行病和其他健康危機,但在北美和西歐,網(wǎng)絡(luò)安全是第一位的。
盡管在本次調(diào)查中,新冠疫情造成的影響總體上超過了網(wǎng)絡(luò)犯罪,但不可否認(rèn)疫情大流行與網(wǎng)絡(luò)安全的聯(lián)系。隨著不法分子利用疫情對漏洞利用程度的加劇,世界上大多數(shù)地區(qū)的CEO都迫切需要解決這兩個問題。
在美國,將近70%的CEO表示,他們對網(wǎng)絡(luò)攻擊“極為關(guān)注”。在亞太地區(qū)和中東,網(wǎng)絡(luò)安全在首席執(zhí)行官的擔(dān)憂列表中也排名第二。在非洲,它排在第三位。
網(wǎng)絡(luò)安全正迅速成為CEO最關(guān)心的問題
只有兩個地區(qū)的CEO沒有將網(wǎng)絡(luò)安全放在最高優(yōu)先級,分別是中歐、東歐(CEE)以及拉丁美洲。在這兩個地區(qū),業(yè)務(wù)流程的數(shù)字化仍處于相當(dāng)早期的階段。
對網(wǎng)絡(luò)安全威脅“極度關(guān)注”者的流行程度因地區(qū)而異
02、“充錢”不能解決所有問題
如果全球疫情有一線希望,那就是:在2020年3月宣布病毒大流行后的三個月中,許多組織加快了數(shù)字化進程。一半的CEO表示,他們計劃在未來三年內(nèi)將數(shù)字化投資增加兩位數(shù)。
但只有31%的CEO表示他們的網(wǎng)絡(luò)安全和隱私投資也將增長兩位數(shù)。顯然,這種數(shù)字化投資和安全投資的脫節(jié)留下了重大隱患。畢竟,隨著數(shù)字經(jīng)濟的爆發(fā),網(wǎng)絡(luò)犯罪經(jīng)濟也蓬勃發(fā)展。
如今,資金或預(yù)算并不是衡量網(wǎng)絡(luò)安全計劃有效性的唯一標(biāo)準(zhǔn),預(yù)算更高卻不代表更好。更糟糕的是,事實上,如果網(wǎng)絡(luò)安全支出是零散的、零碎的,而沒有一個系統(tǒng)戰(zhàn)略來指導(dǎo)它,未必會有成效。
在新冠病毒大流行之后,數(shù)字化和網(wǎng)絡(luò)安全成為企業(yè)的首要任務(wù)
商界領(lǐng)袖可能認(rèn)為解決網(wǎng)絡(luò)安全難題的最佳方法就是砸錢。在安全廠商推銷的誘惑下,他們在沒有任何計劃的情況下購買了一個又一個的解決方案。在這個過程中,他們最終可能會得到一堆無法協(xié)同工作的產(chǎn)品和服務(wù),或者是他們的員工得到了一些不知道如何有效使用的技術(shù)。
普華永道2021年全球數(shù)字信任洞察調(diào)查顯示,許多技術(shù)和安全高管(53%)表示,他們對自己的網(wǎng)絡(luò)預(yù)算與企業(yè)及其業(yè)務(wù)部門的戰(zhàn)略匹配沒有信心。他們也不確定企業(yè)的網(wǎng)絡(luò)安全支出是否真的解決了公司面臨的風(fēng)險,是否使用了可靠的數(shù)據(jù)作為確定優(yōu)先事項的基礎(chǔ)。好消息是:44%的受訪者說他們正在計劃對網(wǎng)絡(luò)預(yù)算進行重大調(diào)整,并重點改善網(wǎng)絡(luò)風(fēng)險的量化方法。
為應(yīng)對2021年及以后的挑戰(zhàn),CEO需要與首席信息安全官(CISO)合作,確保網(wǎng)絡(luò)支出符合總體戰(zhàn)略,并確保網(wǎng)絡(luò)安全計劃的精簡和有的放矢。今天的CISO既是轉(zhuǎn)型領(lǐng)導(dǎo)者又是戰(zhàn)術(shù)大師,在CEO的指導(dǎo)下,CISO應(yīng)當(dāng)指導(dǎo)跨職能團隊以確保安全解決方案和業(yè)務(wù)系統(tǒng)有效協(xié)同工作,從而保護整個企業(yè)。
03、CEO能做什么
CEO應(yīng)當(dāng)讓網(wǎng)絡(luò)安全發(fā)展成企業(yè)所有業(yè)務(wù)項目(包括網(wǎng)絡(luò)安全項目)的驅(qū)動力。當(dāng)制定網(wǎng)絡(luò)安全策略的CISO完全了解其公司的目標(biāo)和實現(xiàn)這些業(yè)務(wù)目標(biāo)的計劃時,網(wǎng)絡(luò)安全策略的效果才能達到最佳。
憑借對企業(yè)愿景和公司業(yè)務(wù)戰(zhàn)略的充分了解,CISO可以幫助CEO充分理解和減輕企業(yè)面臨的網(wǎng)絡(luò)風(fēng)險。CISO將能夠在復(fù)雜性和簡單性之間取得更好的平衡。
下面是三個例子:
A、公司制定了通過個性化客戶體驗、產(chǎn)品和服務(wù)實現(xiàn)增長的計劃。該公司面臨的風(fēng)險可能包括個人數(shù)據(jù)泄漏,這可能違反隱私法規(guī)并削弱消費者的信任。但是,不收集和充分利用客戶數(shù)據(jù)會帶來業(yè)務(wù)風(fēng)險(沒能實現(xiàn)CEO設(shè)想的增長)。CISO可能會優(yōu)先考慮以消費者身份和訪問管理為中心的安全策略(CIAM),它使用一套解決方案來安全地管理企業(yè)客戶的數(shù)字身份,同時允許使用數(shù)據(jù)來定制服務(wù)。
CISO可以利用新的隱私增強技術(shù)來共享消費者和客戶數(shù)據(jù),同時又不侵犯個人隱私和違反法規(guī)。例如,機密計算不僅在數(shù)據(jù)處于靜止或傳輸中時加密數(shù)據(jù),而且在數(shù)據(jù)使用時加密。差分隱私是另一個例子。這是一種在保護個人信息的同時共享有關(guān)群體行為的信息的技術(shù)。新的隱私友好型營銷方法將取決于此類技術(shù)。
B、公司通過銷售技術(shù)產(chǎn)品和服務(wù)實現(xiàn)增長。該組織可能面臨風(fēng)險,例如通過軟件更新包含漏洞或惡意軟件的組件,或黑客通過第三方供應(yīng)商或供應(yīng)商破壞其系統(tǒng)。該組織將需要一種以產(chǎn)品為中心的安全策略,該策略可確保企業(yè)通過供應(yīng)鏈制造或購買的軟件和硬件的安全性,通過零信任架構(gòu)防止不良行為者獲取其產(chǎn)品機密或破壞其供應(yīng)鏈的行為。
C、公司通過開發(fā)和提供各種云產(chǎn)品(例如開發(fā)人員工具和數(shù)據(jù)分析)來實現(xiàn)增長。它面臨的風(fēng)險包括可能導(dǎo)致安裝惡意軟件和勒索軟件的錯誤配置、數(shù)據(jù)盜竊、數(shù)據(jù)丟失和拒絕服務(wù)攻擊。該公司的網(wǎng)絡(luò)安全計劃重點應(yīng)該放在云安全上,使用安全控制框架、自動化控制合規(guī)性、DevSecOps和基礎(chǔ)設(shè)施即代碼工具,以及其他云原生策略。
總之,CISO需要量化組織的網(wǎng)絡(luò)風(fēng)險,并根據(jù)其他企業(yè)風(fēng)險對其進行評估。當(dāng)CISO對風(fēng)險優(yōu)先級和緩解措施都胸有成竹的時候,CEO就可以自信地做出業(yè)務(wù)決策。