CEO能為網(wǎng)絡(luò)安全做什么？

世界各地的CEO現(xiàn)在都已經(jīng)意識到網(wǎng)絡(luò)攻擊對業(yè)務(wù)構(gòu)成威脅的嚴重性：全球每年網(wǎng)絡(luò)犯罪造成的損失已經(jīng)超過1萬億美元。普華永道第24次年度CEO調(diào)查顯示，CEO們正在大力加強數(shù)字化工作。例如，超過77%的英國CEO預(yù)計會為網(wǎng)絡(luò)安全追加投資。

這都是值得贊許的進步——但為什么要花這么長時間才行動起來？企業(yè)如何在保持信息、系統(tǒng)和網(wǎng)絡(luò)安全的同時更快地實現(xiàn)完全數(shù)字化？

頭號威脅

自2015年以來，網(wǎng)絡(luò)犯罪已成為普華永道年度CEO調(diào)查中CEO最關(guān)心的問題。2020年，網(wǎng)絡(luò)威脅排名第二，僅次于流行病和其他健康危機，但在北美和西歐，網(wǎng)絡(luò)安全是第一位的。

盡管在本次調(diào)查中，新冠疫情造成的影響總體上超過了網(wǎng)絡(luò)犯罪，但不可否認疫情大流行與網(wǎng)絡(luò)安全的聯(lián)系。隨著不法分子利用疫情對漏洞利用程度的加劇，世界上大多數(shù)地區(qū)的CEO都迫切需要解決這兩個問題。

在美國，將近70％的CEO表示，他們對網(wǎng)絡(luò)攻擊“極為關(guān)注”。在亞太地區(qū)和中東，網(wǎng)絡(luò)安全在首席執(zhí)行官的擔憂列表中也排名第二。在非洲，它排在第三位。

網(wǎng)絡(luò)安全正迅速成為CEO最關(guān)心的問題

只有兩個地區(qū)的CEO沒有將網(wǎng)絡(luò)安全放在最高優(yōu)先級，分別是中歐、東歐（CEE）以及拉丁美洲。在這兩個地區(qū)，業(yè)務(wù)流程的數(shù)字化仍處于相當早期的階段。

對網(wǎng)絡(luò)安全威脅“極度關(guān)注”者的流行程度因地區(qū)而異

“充錢”不能解決所有問題

如果全球疫情有一線希望，那就是：在2020年3月宣布病毒大流行后的三個月中，許多組織加快了數(shù)字化進程。一半的CEO表示，他們計劃在未來三年內(nèi)將數(shù)字化投資增加兩位數(shù)。

但只有31%的CEO表示他們的網(wǎng)絡(luò)安全和隱私投資也將增長兩位數(shù)。顯然，這種數(shù)字化投資和安全投資的脫節(jié)留下了重大隱患。畢竟，隨著數(shù)字經(jīng)濟的爆發(fā)，網(wǎng)絡(luò)犯罪經(jīng)濟也蓬勃發(fā)展。

如今，資金或預(yù)算并不是衡量網(wǎng)絡(luò)安全計劃有效性的唯一標準，預(yù)算更高卻不代表更好。更糟糕的是，事實上，如果網(wǎng)絡(luò)安全支出是零散的、零碎的，而沒有一個系統(tǒng)戰(zhàn)略來指導(dǎo)它，未必會有成效。

在新冠病毒大流行之后，數(shù)字化和網(wǎng)絡(luò)安全成為企業(yè)的首要任務(wù)

商界領(lǐng)袖可能認為解決網(wǎng)絡(luò)安全難題的最佳方法就是砸錢。在安全廠商推銷的誘惑下，他們在沒有任何計劃的情況下購買了一個又一個的解決方案。在這個過程中，他們最終可能會得到一堆無法協(xié)同工作的產(chǎn)品和服務(wù)，或者是他們的員工得到了一些不知道如何有效使用的技術(shù)。

普華永道2021年全球數(shù)字信任洞察調(diào)查顯示，許多技術(shù)和安全高管（53%）表示，他們對自己的網(wǎng)絡(luò)預(yù)算與企業(yè)及其業(yè)務(wù)部門的戰(zhàn)略匹配沒有信心。他們也不確定企業(yè)的網(wǎng)絡(luò)安全支出是否真的解決了公司面臨的風(fēng)險，是否使用了可靠的數(shù)據(jù)作為確定優(yōu)先事項的基礎(chǔ)。好消息是：44％的受訪者說他們正在計劃對網(wǎng)絡(luò)預(yù)算進行重大調(diào)整，并重點改善網(wǎng)絡(luò)風(fēng)險的量化方法。

為應(yīng)對2021年及以后的挑戰(zhàn)，CEO需要與首席信息安全官(CISO)合作，確保網(wǎng)絡(luò)支出符合總體戰(zhàn)略，并確保網(wǎng)絡(luò)安全計劃的精簡和有的放矢。今天的CISO既是轉(zhuǎn)型領(lǐng)導(dǎo)者又是戰(zhàn)術(shù)大師，在CEO的指導(dǎo)下，CISO應(yīng)當指導(dǎo)跨職能團隊以確保安全解決方案和業(yè)務(wù)系統(tǒng)有效協(xié)同工作，從而保護整個企業(yè)。

CEO能做什么

CEO應(yīng)當讓網(wǎng)絡(luò)安全發(fā)展成企業(yè)所有業(yè)務(wù)項目（包括網(wǎng)絡(luò)安全項目）的驅(qū)動力。當制定網(wǎng)絡(luò)安全策略的CISO完全了解其公司的目標和實現(xiàn)這些業(yè)務(wù)目標的計劃時，網(wǎng)絡(luò)安全策略的效果才能達到最佳。

憑借對企業(yè)愿景和公司業(yè)務(wù)戰(zhàn)略的充分了解，CISO可以幫助CEO充分理解和減輕企業(yè)面臨的網(wǎng)絡(luò)風(fēng)險。CISO將能夠在復(fù)雜性和簡單性之間取得更好的平衡。

下面是三個例子：

A、公司制定了通過個性化客戶體驗、產(chǎn)品和服務(wù)實現(xiàn)增長的計劃。該公司面臨的風(fēng)險可能包括個人數(shù)據(jù)泄漏，這可能違反隱私法規(guī)并削弱消費者的信任。但是，不收集和充分利用客戶數(shù)據(jù)會帶來業(yè)務(wù)風(fēng)險（沒能實現(xiàn)CEO設(shè)想的增長）。CISO可能會優(yōu)先考慮以消費者身份和訪問管理為中心的安全策略(CIAM)，它使用一套解決方案來安全地管理企業(yè)客戶的數(shù)字身份，同時允許使用數(shù)據(jù)來定制服務(wù)。

CISO可以利用新的隱私增強技術(shù)來共享消費者和客戶數(shù)據(jù)，同時又不侵犯個人隱私和違反法規(guī)。例如，機密計算不僅在數(shù)據(jù)處于靜止或傳輸中時加密數(shù)據(jù)，而且在數(shù)據(jù)使用時加密。差分隱私是另一個例子。這是一種在保護個人信息的同時共享有關(guān)群體行為的信息的技術(shù)。新的隱私友好型營銷方法將取決于此類技術(shù)。

B、公司通過銷售技術(shù)產(chǎn)品和服務(wù)實現(xiàn)增長。該組織可能面臨風(fēng)險，例如通過軟件更新包含漏洞或惡意軟件的組件，或黑客通過第三方供應(yīng)商或供應(yīng)商破壞其系統(tǒng)。該組織將需要一種以產(chǎn)品為中心的安全策略，該策略可確保企業(yè)通過供應(yīng)鏈制造或購買的軟件和硬件的安全性，通過零信任架構(gòu)防止不良行為者獲取其產(chǎn)品機密或破壞其供應(yīng)鏈的行為。

C、公司通過開發(fā)和提供各種云產(chǎn)品（例如開發(fā)人員工具和數(shù)據(jù)分析）來實現(xiàn)增長。它面臨的風(fēng)險包括可能導(dǎo)致安裝惡意軟件和勒索軟件的錯誤配置、數(shù)據(jù)盜竊、數(shù)據(jù)丟失和拒絕服務(wù)攻擊。該公司的網(wǎng)絡(luò)安全計劃重點應(yīng)該放在云安全上，使用安全控制框架、自動化控制合規(guī)性、DevSecOps和基礎(chǔ)設(shè)施即代碼工具，以及其他云原生策略。

總之，CISO需要量化組織的網(wǎng)絡(luò)風(fēng)險，并根據(jù)其他企業(yè)風(fēng)險對其進行評估。當CISO對風(fēng)險優(yōu)先級和緩解措施都胸有成竹的時候，CEO就可以自信地做出業(yè)務(wù)決策。

轉(zhuǎn)載自安全牛