CEO能為網(wǎng)絡(luò)安全做什么?
世界各地的CEO現(xiàn)在都已經(jīng)意識(shí)到網(wǎng)絡(luò)攻擊對業(yè)務(wù)構(gòu)成威脅的嚴(yán)重性:全球每年網(wǎng)絡(luò)犯罪造成的損失已經(jīng)超過1萬億美元。普華永道第24次年度CEO調(diào)查顯示,CEO們正在大力加強(qiáng)數(shù)字化工作。例如,超過77%的英國CEO預(yù)計(jì)會(huì)為網(wǎng)絡(luò)安全追加投資。
這都是值得贊許的進(jìn)步——但為什么要花這么長時(shí)間才行動(dòng)起來?企業(yè)如何在保持信息、系統(tǒng)和網(wǎng)絡(luò)安全的同時(shí)更快地實(shí)現(xiàn)完全數(shù)字化?
1. 頭號威脅
自2015年以來,網(wǎng)絡(luò)犯罪已成為普華永道年度CEO調(diào)查中CEO最關(guān)心的問題。2020年,網(wǎng)絡(luò)威脅排名第二,僅次于流行病和其他健康危機(jī),但在北美和西歐,網(wǎng)絡(luò)安全是第一位的。
盡管在本次調(diào)查中,新冠疫情造成的影響總體上超過了網(wǎng)絡(luò)犯罪,但不可否認(rèn)疫情大流行與網(wǎng)絡(luò)安全的聯(lián)系。隨著不法分子利用疫情對漏洞利用程度的加劇,世界上大多數(shù)地區(qū)的CEO都迫切需要解決這兩個(gè)問題。
在美國,將近70%的CEO表示,他們對網(wǎng)絡(luò)攻擊“極為關(guān)注”。在亞太地區(qū)和中東,網(wǎng)絡(luò)安全在首席執(zhí)行官的擔(dān)憂列表中也排名第二。在非洲,它排在第三位。
網(wǎng)絡(luò)安全正迅速成為CEO最關(guān)心的問題
只有兩個(gè)地區(qū)的CEO沒有將網(wǎng)絡(luò)安全放在最高優(yōu)先級,分別是中歐、東歐(CEE)以及拉丁美洲。在這兩個(gè)地區(qū),業(yè)務(wù)流程的數(shù)字化仍處于相當(dāng)早期的階段。
對網(wǎng)絡(luò)安全威脅“極度關(guān)注”者的流行程度因地區(qū)而異
2. “充錢”不能解決所有問題
如果全球疫情有一線希望,那就是:在2020年3月宣布病毒大流行后的三個(gè)月中,許多組織加快了數(shù)字化進(jìn)程。一半的CEO表示,他們計(jì)劃在未來三年內(nèi)將數(shù)字化投資增加兩位數(shù)。
但只有31%的CEO表示他們的網(wǎng)絡(luò)安全和隱私投資也將增長兩位數(shù)。顯然,這種數(shù)字化投資和安全投資的脫節(jié)留下了重大隱患。畢竟,隨著數(shù)字經(jīng)濟(jì)的爆發(fā),網(wǎng)絡(luò)犯罪經(jīng)濟(jì)也蓬勃發(fā)展。
如今,資金或預(yù)算并不是衡量網(wǎng)絡(luò)安全計(jì)劃有效性的唯一標(biāo)準(zhǔn),預(yù)算更高卻不代表更好。更糟糕的是,事實(shí)上,如果網(wǎng)絡(luò)安全支出是零散的、零碎的,而沒有一個(gè)系統(tǒng)戰(zhàn)略來指導(dǎo)它,未必會(huì)有成效。
在新冠病毒大流行之后,數(shù)字化和網(wǎng)絡(luò)安全成為企業(yè)的首要任務(wù)
商界領(lǐng)袖可能認(rèn)為解決網(wǎng)絡(luò)安全難題的最佳方法就是砸錢。在安全廠商推銷的誘惑下,他們在沒有任何計(jì)劃的情況下購買了一個(gè)又一個(gè)的解決方案。在這個(gè)過程中,他們最終可能會(huì)得到一堆無法協(xié)同工作的產(chǎn)品和服務(wù),或者是他們的員工得到了一些不知道如何有效使用的技術(shù)。
普華永道2021年全球數(shù)字信任洞察調(diào)查顯示,許多技術(shù)和安全高管(53%)表示,他們對自己的網(wǎng)絡(luò)預(yù)算與企業(yè)及其業(yè)務(wù)部門的戰(zhàn)略匹配沒有信心。他們也不確定企業(yè)的網(wǎng)絡(luò)安全支出是否真的解決了公司面臨的風(fēng)險(xiǎn),是否使用了可靠的數(shù)據(jù)作為確定優(yōu)先事項(xiàng)的基礎(chǔ)。好消息是:44%的受訪者說他們正在計(jì)劃對網(wǎng)絡(luò)預(yù)算進(jìn)行重大調(diào)整,并重點(diǎn)改善網(wǎng)絡(luò)風(fēng)險(xiǎn)的量化方法。
為應(yīng)對2021年及以后的挑戰(zhàn),CEO需要與首席信息安全官(CISO)合作,確保網(wǎng)絡(luò)支出符合總體戰(zhàn)略,并確保網(wǎng)絡(luò)安全計(jì)劃的精簡和有的放矢。今天的CISO既是轉(zhuǎn)型領(lǐng)導(dǎo)者又是戰(zhàn)術(shù)大師,在CEO的指導(dǎo)下,CISO應(yīng)當(dāng)指導(dǎo)跨職能團(tuán)隊(duì)以確保安全解決方案和業(yè)務(wù)系統(tǒng)有效協(xié)同工作,從而保護(hù)整個(gè)企業(yè)。
3. CEO能做什么
CEO應(yīng)當(dāng)讓網(wǎng)絡(luò)安全發(fā)展成企業(yè)所有業(yè)務(wù)項(xiàng)目(包括網(wǎng)絡(luò)安全項(xiàng)目)的驅(qū)動(dòng)力。當(dāng)制定網(wǎng)絡(luò)安全策略的CISO完全了解其公司的目標(biāo)和實(shí)現(xiàn)這些業(yè)務(wù)目標(biāo)的計(jì)劃時(shí),網(wǎng)絡(luò)安全策略的效果才能達(dá)到最佳。
憑借對企業(yè)愿景和公司業(yè)務(wù)戰(zhàn)略的充分了解,CISO可以幫助CEO充分理解和減輕企業(yè)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)。CISO將能夠在復(fù)雜性和簡單性之間取得更好的平衡。
下面是三個(gè)例子:
A、公司制定了通過個(gè)性化客戶體驗(yàn)、產(chǎn)品和服務(wù)實(shí)現(xiàn)增長的計(jì)劃。該公司面臨的風(fēng)險(xiǎn)可能包括個(gè)人數(shù)據(jù)泄漏,這可能違反隱私法規(guī)并削弱消費(fèi)者的信任。但是,不收集和充分利用客戶數(shù)據(jù)會(huì)帶來業(yè)務(wù)風(fēng)險(xiǎn)(沒能實(shí)現(xiàn)CEO設(shè)想的增長)。CISO可能會(huì)優(yōu)先考慮以消費(fèi)者身份和訪問管理為中心的安全策略(CIAM),它使用一套解決方案來安全地管理企業(yè)客戶的數(shù)字身份,同時(shí)允許使用數(shù)據(jù)來定制服務(wù)。
CISO可以利用新的隱私增強(qiáng)技術(shù)來共享消費(fèi)者和客戶數(shù)據(jù),同時(shí)又不侵犯個(gè)人隱私和違反法規(guī)。例如,機(jī)密計(jì)算不僅在數(shù)據(jù)處于靜止或傳輸中時(shí)加密數(shù)據(jù),而且在數(shù)據(jù)使用時(shí)加密。差分隱私是另一個(gè)例子。這是一種在保護(hù)個(gè)人信息的同時(shí)共享有關(guān)群體行為的信息的技術(shù)。新的隱私友好型營銷方法將取決于此類技術(shù)。
B、公司通過銷售技術(shù)產(chǎn)品和服務(wù)實(shí)現(xiàn)增長。該組織可能面臨風(fēng)險(xiǎn),例如通過軟件更新包含漏洞或惡意軟件的組件,或黑客通過第三方供應(yīng)商或供應(yīng)商破壞其系統(tǒng)。該組織將需要一種以產(chǎn)品為中心的安全策略,該策略可確保企業(yè)通過供應(yīng)鏈制造或購買的軟件和硬件的安全性,通過零信任架構(gòu)防止不良行為者獲取其產(chǎn)品機(jī)密或破壞其供應(yīng)鏈的行為。
C、公司通過開發(fā)和提供各種云產(chǎn)品(例如開發(fā)人員工具和數(shù)據(jù)分析)來實(shí)現(xiàn)增長。它面臨的風(fēng)險(xiǎn)包括可能導(dǎo)致安裝惡意軟件和勒索軟件的錯(cuò)誤配置、數(shù)據(jù)盜竊、數(shù)據(jù)丟失和拒絕服務(wù)攻擊。該公司的網(wǎng)絡(luò)安全計(jì)劃重點(diǎn)應(yīng)該放在云安全上,使用安全控制框架、自動(dòng)化控制合規(guī)性、DevSecOps和基礎(chǔ)設(shè)施即代碼工具,以及其他云原生策略。
總之,CISO需要量化組織的網(wǎng)絡(luò)風(fēng)險(xiǎn),并根據(jù)其他企業(yè)風(fēng)險(xiǎn)對其進(jìn)行評估。當(dāng)CISO對風(fēng)險(xiǎn)優(yōu)先級和緩解措施都胸有成竹的時(shí)候,CEO就可以自信地做出業(yè)務(wù)決策。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
