CEO能為網絡安全做什么?
世界各地的CEO現在都已經意識到網絡攻擊對業務構成威脅的嚴重性:全球每年網絡犯罪造成的損失已經超過1萬億美元。普華永道第24次年度CEO調查顯示,CEO們正在大力加強數字化工作。例如,超過77%的英國CEO預計會為網絡安全追加投資。
這都是值得贊許的進步——但為什么要花這么長時間才行動起來?企業如何在保持信息、系統和網絡安全的同時更快地實現完全數字化?
1. 頭號威脅
自2015年以來,網絡犯罪已成為普華永道年度CEO調查中CEO最關心的問題。2020年,網絡威脅排名第二,僅次于流行病和其他健康危機,但在北美和西歐,網絡安全是第一位的。
盡管在本次調查中,新冠疫情造成的影響總體上超過了網絡犯罪,但不可否認疫情大流行與網絡安全的聯系。隨著不法分子利用疫情對漏洞利用程度的加劇,世界上大多數地區的CEO都迫切需要解決這兩個問題。
在美國,將近70%的CEO表示,他們對網絡攻擊“極為關注”。在亞太地區和中東,網絡安全在首席執行官的擔憂列表中也排名第二。在非洲,它排在第三位。
網絡安全正迅速成為CEO最關心的問題
只有兩個地區的CEO沒有將網絡安全放在最高優先級,分別是中歐、東歐(CEE)以及拉丁美洲。在這兩個地區,業務流程的數字化仍處于相當早期的階段。
對網絡安全威脅“極度關注”者的流行程度因地區而異
2. “充錢”不能解決所有問題
如果全球疫情有一線希望,那就是:在2020年3月宣布病毒大流行后的三個月中,許多組織加快了數字化進程。一半的CEO表示,他們計劃在未來三年內將數字化投資增加兩位數。
但只有31%的CEO表示他們的網絡安全和隱私投資也將增長兩位數。顯然,這種數字化投資和安全投資的脫節留下了重大隱患。畢竟,隨著數字經濟的爆發,網絡犯罪經濟也蓬勃發展。
如今,資金或預算并不是衡量網絡安全計劃有效性的唯一標準,預算更高卻不代表更好。更糟糕的是,事實上,如果網絡安全支出是零散的、零碎的,而沒有一個系統戰略來指導它,未必會有成效。
在新冠病毒大流行之后,數字化和網絡安全成為企業的首要任務
商界領袖可能認為解決網絡安全難題的最佳方法就是砸錢。在安全廠商推銷的誘惑下,他們在沒有任何計劃的情況下購買了一個又一個的解決方案。在這個過程中,他們最終可能會得到一堆無法協同工作的產品和服務,或者是他們的員工得到了一些不知道如何有效使用的技術。
普華永道2021年全球數字信任洞察調查顯示,許多技術和安全高管(53%)表示,他們對自己的網絡預算與企業及其業務部門的戰略匹配沒有信心。他們也不確定企業的網絡安全支出是否真的解決了公司面臨的風險,是否使用了可靠的數據作為確定優先事項的基礎。好消息是:44%的受訪者說他們正在計劃對網絡預算進行重大調整,并重點改善網絡風險的量化方法。
為應對2021年及以后的挑戰,CEO需要與首席信息安全官(CISO)合作,確保網絡支出符合總體戰略,并確保網絡安全計劃的精簡和有的放矢。今天的CISO既是轉型領導者又是戰術大師,在CEO的指導下,CISO應當指導跨職能團隊以確保安全解決方案和業務系統有效協同工作,從而保護整個企業。
3. CEO能做什么
CEO應當讓網絡安全發展成企業所有業務項目(包括網絡安全項目)的驅動力。當制定網絡安全策略的CISO完全了解其公司的目標和實現這些業務目標的計劃時,網絡安全策略的效果才能達到最佳。
憑借對企業愿景和公司業務戰略的充分了解,CISO可以幫助CEO充分理解和減輕企業面臨的網絡風險。CISO將能夠在復雜性和簡單性之間取得更好的平衡。
下面是三個例子:
A、公司制定了通過個性化客戶體驗、產品和服務實現增長的計劃。該公司面臨的風險可能包括個人數據泄漏,這可能違反隱私法規并削弱消費者的信任。但是,不收集和充分利用客戶數據會帶來業務風險(沒能實現CEO設想的增長)。CISO可能會優先考慮以消費者身份和訪問管理為中心的安全策略(CIAM),它使用一套解決方案來安全地管理企業客戶的數字身份,同時允許使用數據來定制服務。
CISO可以利用新的隱私增強技術來共享消費者和客戶數據,同時又不侵犯個人隱私和違反法規。例如,機密計算不僅在數據處于靜止或傳輸中時加密數據,而且在數據使用時加密。差分隱私是另一個例子。這是一種在保護個人信息的同時共享有關群體行為的信息的技術。新的隱私友好型營銷方法將取決于此類技術。
B、公司通過銷售技術產品和服務實現增長。該組織可能面臨風險,例如通過軟件更新包含漏洞或惡意軟件的組件,或黑客通過第三方供應商或供應商破壞其系統。該組織將需要一種以產品為中心的安全策略,該策略可確保企業通過供應鏈制造或購買的軟件和硬件的安全性,通過零信任架構防止不良行為者獲取其產品機密或破壞其供應鏈的行為。
C、公司通過開發和提供各種云產品(例如開發人員工具和數據分析)來實現增長。它面臨的風險包括可能導致安裝惡意軟件和勒索軟件的錯誤配置、數據盜竊、數據丟失和拒絕服務攻擊。該公司的網絡安全計劃重點應該放在云安全上,使用安全控制框架、自動化控制合規性、DevSecOps和基礎設施即代碼工具,以及其他云原生策略。
總之,CISO需要量化組織的網絡風險,并根據其他企業風險對其進行評估。當CISO對風險優先級和緩解措施都胸有成竹的時候,CEO就可以自信地做出業務決策。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
