CEO能為網(wǎng)絡(luò)安全做什么？

世界各地的CEO現(xiàn)在都已經(jīng)意識(shí)到網(wǎng)絡(luò)攻擊對(duì)業(yè)務(wù)構(gòu)成威脅的嚴(yán)重性：全球每年網(wǎng)絡(luò)犯罪造成的損失已經(jīng)超過(guò)1萬(wàn)億美元。普華永道第24次年度CEO調(diào)查顯示，CEO們正在大力加強(qiáng)數(shù)字化工作。例如，超過(guò)77%的英國(guó)CEO預(yù)計(jì)會(huì)為網(wǎng)絡(luò)安全追加投資。

這都是值得贊許的進(jìn)步——但為什么要花這么長(zhǎng)時(shí)間才行動(dòng)起來(lái)？企業(yè)如何在保持信息、系統(tǒng)和網(wǎng)絡(luò)安全的同時(shí)更快地實(shí)現(xiàn)完全數(shù)字化？

頭號(hào)威脅

自2015年以來(lái)，網(wǎng)絡(luò)犯罪已成為普華永道年度CEO調(diào)查中CEO最關(guān)心的問(wèn)題。2020年，網(wǎng)絡(luò)威脅排名第二，僅次于流行病和其他健康危機(jī)，但在北美和西歐，網(wǎng)絡(luò)安全是第一位的。

盡管在本次調(diào)查中，新冠疫情造成的影響總體上超過(guò)了網(wǎng)絡(luò)犯罪，但不可否認(rèn)疫情大流行與網(wǎng)絡(luò)安全的聯(lián)系。隨著不法分子利用疫情對(duì)漏洞利用程度的加劇，世界上大多數(shù)地區(qū)的CEO都迫切需要解決這兩個(gè)問(wèn)題。

在美國(guó)，將近70％的CEO表示，他們對(duì)網(wǎng)絡(luò)攻擊“極為關(guān)注”。在亞太地區(qū)和中東，網(wǎng)絡(luò)安全在首席執(zhí)行官的擔(dān)憂列表中也排名第二。在非洲，它排在第三位。

網(wǎng)絡(luò)安全正迅速成為CEO最關(guān)心的問(wèn)題

只有兩個(gè)地區(qū)的CEO沒(méi)有將網(wǎng)絡(luò)安全放在最高優(yōu)先級(jí)，分別是中歐、東歐（CEE）以及拉丁美洲。在這兩個(gè)地區(qū)，業(yè)務(wù)流程的數(shù)字化仍處于相當(dāng)早期的階段。

對(duì)網(wǎng)絡(luò)安全威脅“極度關(guān)注”者的流行程度因地區(qū)而異

“充錢(qián)”不能解決所有問(wèn)題

如果全球疫情有一線希望，那就是：在2020年3月宣布病毒大流行后的三個(gè)月中，許多組織加快了數(shù)字化進(jìn)程。一半的CEO表示，他們計(jì)劃在未來(lái)三年內(nèi)將數(shù)字化投資增加兩位數(shù)。

但只有31%的CEO表示他們的網(wǎng)絡(luò)安全和隱私投資也將增長(zhǎng)兩位數(shù)。顯然，這種數(shù)字化投資和安全投資的脫節(jié)留下了重大隱患。畢竟，隨著數(shù)字經(jīng)濟(jì)的爆發(fā)，網(wǎng)絡(luò)犯罪經(jīng)濟(jì)也蓬勃發(fā)展。

如今，資金或預(yù)算并不是衡量網(wǎng)絡(luò)安全計(jì)劃有效性的唯一標(biāo)準(zhǔn)，預(yù)算更高卻不代表更好。更糟糕的是，事實(shí)上，如果網(wǎng)絡(luò)安全支出是零散的、零碎的，而沒(méi)有一個(gè)系統(tǒng)戰(zhàn)略來(lái)指導(dǎo)它，未必會(huì)有成效。

在新冠病毒大流行之后，數(shù)字化和網(wǎng)絡(luò)安全成為企業(yè)的首要任務(wù)

商界領(lǐng)袖可能認(rèn)為解決網(wǎng)絡(luò)安全難題的最佳方法就是砸錢(qián)。在安全廠商推銷(xiāo)的誘惑下，他們?cè)跊](méi)有任何計(jì)劃的情況下購(gòu)買(mǎi)了一個(gè)又一個(gè)的解決方案。在這個(gè)過(guò)程中，他們最終可能會(huì)得到一堆無(wú)法協(xié)同工作的產(chǎn)品和服務(wù)，或者是他們的員工得到了一些不知道如何有效使用的技術(shù)。

普華永道2021年全球數(shù)字信任洞察調(diào)查顯示，許多技術(shù)和安全高管（53%）表示，他們對(duì)自己的網(wǎng)絡(luò)預(yù)算與企業(yè)及其業(yè)務(wù)部門(mén)的戰(zhàn)略匹配沒(méi)有信心。他們也不確定企業(yè)的網(wǎng)絡(luò)安全支出是否真的解決了公司面臨的風(fēng)險(xiǎn)，是否使用了可靠的數(shù)據(jù)作為確定優(yōu)先事項(xiàng)的基礎(chǔ)。好消息是：44％的受訪者說(shuō)他們正在計(jì)劃對(duì)網(wǎng)絡(luò)預(yù)算進(jìn)行重大調(diào)整，并重點(diǎn)改善網(wǎng)絡(luò)風(fēng)險(xiǎn)的量化方法。

為應(yīng)對(duì)2021年及以后的挑戰(zhàn)，CEO需要與首席信息安全官(CISO)合作，確保網(wǎng)絡(luò)支出符合總體戰(zhàn)略，并確保網(wǎng)絡(luò)安全計(jì)劃的精簡(jiǎn)和有的放矢。今天的CISO既是轉(zhuǎn)型領(lǐng)導(dǎo)者又是戰(zhàn)術(shù)大師，在CEO的指導(dǎo)下，CISO應(yīng)當(dāng)指導(dǎo)跨職能團(tuán)隊(duì)以確保安全解決方案和業(yè)務(wù)系統(tǒng)有效協(xié)同工作，從而保護(hù)整個(gè)企業(yè)。

CEO能做什么

CEO應(yīng)當(dāng)讓網(wǎng)絡(luò)安全發(fā)展成企業(yè)所有業(yè)務(wù)項(xiàng)目（包括網(wǎng)絡(luò)安全項(xiàng)目）的驅(qū)動(dòng)力。當(dāng)制定網(wǎng)絡(luò)安全策略的CISO完全了解其公司的目標(biāo)和實(shí)現(xiàn)這些業(yè)務(wù)目標(biāo)的計(jì)劃時(shí)，網(wǎng)絡(luò)安全策略的效果才能達(dá)到最佳。

憑借對(duì)企業(yè)愿景和公司業(yè)務(wù)戰(zhàn)略的充分了解，CISO可以幫助CEO充分理解和減輕企業(yè)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)。CISO將能夠在復(fù)雜性和簡(jiǎn)單性之間取得更好的平衡。

下面是三個(gè)例子：

A、公司制定了通過(guò)個(gè)性化客戶(hù)體驗(yàn)、產(chǎn)品和服務(wù)實(shí)現(xiàn)增長(zhǎng)的計(jì)劃。該公司面臨的風(fēng)險(xiǎn)可能包括個(gè)人數(shù)據(jù)泄漏，這可能違反隱私法規(guī)并削弱消費(fèi)者的信任。但是，不收集和充分利用客戶(hù)數(shù)據(jù)會(huì)帶來(lái)業(yè)務(wù)風(fēng)險(xiǎn)（沒(méi)能實(shí)現(xiàn)CEO設(shè)想的增長(zhǎng)）。CISO可能會(huì)優(yōu)先考慮以消費(fèi)者身份和訪問(wèn)管理為中心的安全策略(CIAM)，它使用一套解決方案來(lái)安全地管理企業(yè)客戶(hù)的數(shù)字身份，同時(shí)允許使用數(shù)據(jù)來(lái)定制服務(wù)。

CISO可以利用新的隱私增強(qiáng)技術(shù)來(lái)共享消費(fèi)者和客戶(hù)數(shù)據(jù)，同時(shí)又不侵犯?jìng)€(gè)人隱私和違反法規(guī)。例如，機(jī)密計(jì)算不僅在數(shù)據(jù)處于靜止或傳輸中時(shí)加密數(shù)據(jù)，而且在數(shù)據(jù)使用時(shí)加密。差分隱私是另一個(gè)例子。這是一種在保護(hù)個(gè)人信息的同時(shí)共享有關(guān)群體行為的信息的技術(shù)。新的隱私友好型營(yíng)銷(xiāo)方法將取決于此類(lèi)技術(shù)。

B、公司通過(guò)銷(xiāo)售技術(shù)產(chǎn)品和服務(wù)實(shí)現(xiàn)增長(zhǎng)。該組織可能面臨風(fēng)險(xiǎn)，例如通過(guò)軟件更新包含漏洞或惡意軟件的組件，或黑客通過(guò)第三方供應(yīng)商或供應(yīng)商破壞其系統(tǒng)。該組織將需要一種以產(chǎn)品為中心的安全策略，該策略可確保企業(yè)通過(guò)供應(yīng)鏈制造或購(gòu)買(mǎi)的軟件和硬件的安全性，通過(guò)零信任架構(gòu)防止不良行為者獲取其產(chǎn)品機(jī)密或破壞其供應(yīng)鏈的行為。

C、公司通過(guò)開(kāi)發(fā)和提供各種云產(chǎn)品（例如開(kāi)發(fā)人員工具和數(shù)據(jù)分析）來(lái)實(shí)現(xiàn)增長(zhǎng)。它面臨的風(fēng)險(xiǎn)包括可能導(dǎo)致安裝惡意軟件和勒索軟件的錯(cuò)誤配置、數(shù)據(jù)盜竊、數(shù)據(jù)丟失和拒絕服務(wù)攻擊。該公司的網(wǎng)絡(luò)安全計(jì)劃重點(diǎn)應(yīng)該放在云安全上，使用安全控制框架、自動(dòng)化控制合規(guī)性、DevSecOps和基礎(chǔ)設(shè)施即代碼工具，以及其他云原生策略。

總之，CISO需要量化組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)，并根據(jù)其他企業(yè)風(fēng)險(xiǎn)對(duì)其進(jìn)行評(píng)估。當(dāng)CISO對(duì)風(fēng)險(xiǎn)優(yōu)先級(jí)和緩解措施都胸有成竹的時(shí)候，CEO就可以自信地做出業(yè)務(wù)決策。

轉(zhuǎn)載自安全牛