全世界的首席执行官们现在都意识到网络攻击所造成的商业威胁的严重性:网络犯罪每年在全球造成的损失超过1万亿美元。根据普华永道第24次年度CEO调查,CEO们正在加大数字化力度。例如,超过77%的英国CEO期望在网络安全方面进行更多投资。这都是值得称赞的进步——但为什么花了这么长时间才采取行动?企业如何在确保信息、系统和网络安全的同时更快地实现全面数字化?1.2015年以来排名第一的威胁是网络犯罪在普华永道年度CEO调查中成为CEO最关心的问题。网络威胁在2020年排名第二,仅次于流行病和其他健康危机,但在北美和西欧,网络安全排名第一。尽管在本次调查中COVID-19的影响总体上超过了网络犯罪,但不能否认大流行病与网络安全之间的联系。随着犯罪分子利用疫情加剧漏洞利用的程度,世界大部分地区的CEO迫切需要解决这两个问题。在美国,近70%的首席执行官表示他们“非常担心”网络攻击。在亚太和中东地区,网络安全在CEO的担忧列表中也排在第二位。在非洲,它排名第三。网络安全正迅速成为CEO最关心的问题只有两个CEO没有将网络安全作为首要任务的地区是中东欧(CEE)和拉丁美洲。在这两个地区,业务流程的数字化仍处于相当早的阶段。对网络安全威胁“极度关注”的人群比例因地区而异,其中,许多组织加快了数字化进程。半数CEO表示,他们计划在未来三年内将数字投资增加两位数。但只有31%的CEO表示,他们的网络安全和隐私投资也将以两位数的速度增长。显然,数字投资和安全投资之间的这种脱节留下了重大缺陷。毕竟,随着数字经济的爆发,网络犯罪经济也随之爆发。如今,资金或预算并不是衡量网络安全计划有效性的唯一标准,预算越多也不一定越好。更糟糕的是,如果没有系统的战略来指导,网络安全支出是零散的,零碎的,不一定会有成效。在冠状病毒大流行之后,数字化和网络安全是企业的首要任务企业领导者可能认为应对网络安全挑战的最佳方式是向他们投入资金。在安全供应商的销售宣传的诱惑下,他们在没有任何计划的情况下购买了一个又一个解决方案。在此过程中,他们最终可能会得到一堆无法协同工作的产品和服务,或者他们的员工获得了他们不知道如何有效使用的技术。根据普华永道2021年全球数字信任洞察调查,许多技术和安全高管(53%)表示,他们对自己的网络预算是否与企业及其业务部门的战略保持一致没有信心。他们还不确定企业网络安全支出是否真的在解决企业面临的风险,使用可靠的数据作为设置优先级的基础。好消息:44%的受访者表示他们正在计划对网络预算进行重大改革,重点是改进网络风险的量化方式。为应对2021年及以后的挑战,首席执行官需要与首席信息安全官(CISO)合作,确保网络支出与总体战略保持一致,并确保网络安全计划得到简化和集中。今天的CISO既是转型领导者,又是战术大师。在CEO的指导下,CISO应该指导跨职能团队,确保安全解决方案和业务系统有效协同工作,以保护整个企业。3.CEO能做什么CEO应该让网络安全成为所有业务项目(包括网络安全项目)的驱动力。当制定网络安全战略的CISO充分了解其公司的目标和实现这些业务目标的计划时,网络安全战略才能发挥最佳作用。凭借对企业愿景和公司业务战略的深入了解,CISO可以帮助CEO充分了解并减轻企业面临的网络风险。CISO将能够在复杂性和简单性之间取得更好的平衡。以下是三个示例:A.一家公司制定了通过个性化客户体验、产品和服务实现增长的计划。公司面临的风险可能包括个人数据泄露,这可能违反隐私法规并削弱消费者信任。但是,不收集和利用客户数据会带来业务风险(无法实现CEO设想的增长)。CISO可能会优先考虑以消费者身份和访问管理(CIAM)为中心的安全策略,该策略使用一组解决方案来安全地管理企业客户的数字身份,同时允许使用数据来定制服务。CISO可以利用新的隐私增强技术来共享消费者和客户数据,而不会侵犯个人隐私和违反法规。例如,机密计算不仅在数据静止或传输时加密数据,而且在数据使用时加密。差异隐私是另一个例子。这是一种在保护个人信息的同时共享有关群体行为的信息的技术。新的隐私友好型营销方法将取决于此类技术。B.公司通过销售技术产品和服务实现增长。组织可能面临风险,例如通过对包含漏洞或恶意软件的组件进行软件更新,或者黑客通过第三方供应商或供应商破坏其系统。该组织将需要一个以产品为中心的安全策略,以确保企业通过其供应链制造或购买的软件和硬件的安全,防止不良行为者获取其产品机密或通过零信任架构破坏其供应链。的行为。C.公司通过开发和提供各种云产品(如开发人员工具和数据分析)实现增长。它面临的风险包括可能导致安装恶意软件和勒索软件的错误配置、数据盗窃、数据丢失和拒绝服务攻击。公司的网络安全计划应侧重于云安全,使用安全控制框架、自动控制合规性、DevSecOps和基础设施即代码工具,以及其他云原生策略。总之,CISO需要量化其组织的网络风险,并根据其他企业风险对其进行评估。当CISO对风险优先级排序和风险缓解充满信心时,CEO就可以自信地做出业务决策。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
