普华永道在 9 月 17 日发布了一份《2019年数字信任洞察之中国报告》,虽然名字比较“玄乎”,但是调查的是目前中国企业和国外企业在数字化转型过程做的“安全事”以及面临的问题。
“别人家”的“孩子”是什么样?这份报告对中国地区121位安全从业人士进行了访谈,得到了以下结果:
想获得的+VS怕失去的
随着企业的数字化转型,中国私营企业发展迅速。就企业预期从数字化进程中获取的价值而言,32%的受访者预计企业收入将会提高(全球:27%) , 26% 的受访者希望研发出新产品或进行产品创新(全球:9%) ,12%的受访者则希望提供更好的客户体验(全球:16%)。
数字化转型为促进企业发展和创新带来了大量机会的同时,也导致了企业需要应对转型期间所来带的特有风险。从中国企业高管和 IT专业人士的角度来看,数字化进程中面临的最严峻风险是数据治理或隐私问题(中国:28%;全球:11%)。
中国企业普遍对数据收集和传输存在顾虑,而加强信息安全和对个人数据收集的保护是国家战略重点。
企业网络安全团队需要解决客户、员工及企业其他利益相关者与新科技成果之间的互动方式问题。中国受访者也面临着数字化转型带来的创新风险,即推出新产品、服务和流程所产生的风险(中国:19%;全球:8%)。
我们预估到会有这样的情况发生,因为四分之一以上的中国受访者想要在数字化转型过程中进行产品研发或创新,管理这项风险需要对业务部门进行企业数字化战略的教育培训,让其了解创新对其业务运作的影响。
中国信息通信研究院数据显示,2017 年中国数字经济总量达到3.8万亿美元,占中国GDP比重近三分之一。鉴于私营企业在数字化进程中的发展状况,它们比以往更容易受到网络安全攻击。因此,网络安全是中国企业高管和专业人士面临的另—个重要风险(中国:18%;全球:29%)。
在企业数字化转型风险管理能力方面,认为自己效率极高的中国企业高管和IT专业人士(24%)比例低于全球受访者(31%),多数中国受访者(55%)对此看法不太乐观,认为在管理这些风险方面只是略有成效(全球:40%)。
虽然大部分中国受访者表示建立数字信任是企业优先事项(中 国:90%;全球:85%),但在数字化转型快速发展的情况下,其风险管理能力有所欠缺。对企业高管和 IT 专业人士而言,他们最缺乏建立数字信任的能力,包括不确定如何实现企业转型目标(中国:17%;全球:11%),不确定未来10年其数字战略将有何变化(中国:15%;全球:11%),不确定其数字计划将取得怎样的成果(中国:14%;全球:13%)。
科技企业集团百度、阿里巴巴和腾讯正在引领中国的数字化新 趋势,并颠覆着金融服务业、零售业和旅游业的发展。这些互联网巨头不断打破技术障碍,传统企业面临压力,导致一些老牌企业与时代脱节。由于88%的中国受访者来自非科技行业, 包括工业制造业、金融服务业或零售和消费行业。
显而易见,其中部分企业所处的行业受到科技巨头的颠覆性影响,但他们无法跟上变革的速度,发现自己对于如何完成企业转型目标或数字化目标茫然无措。为了缩短这些差距,中国企业正逐渐加强其网络安全计划,重新规划企业网络安全团队的工作方式。一些企业正在考虑将数字创新流程外包给第三方技术服务供应商,其他企业正在经历由行业协会(以及监管机构)推动的数字化转型,这些举措将强化整体企业生态系统,并为企业谋求数字发展提供支持。
安全团队被企业认可吗
当很多企业纷纷主动采用科技主导型商业模式之际,为了建立数字信任,网络安全计划必须要与企业目标相称。为此,网络安全团队需要加快推进企业战略,了解企业风险承受能力,而首要事项是在数字化转型过程中管理风险。
事实上,从一系列衡量指标来看,多数中国受访者的网络安全与业务发展相配的程度高于全球受访者。83%的受访者表示,其网络安全团队正嵌入企业的业务当中,他们不仅熟悉业务策略,而且制定了支持业务需要的网络安全策略(全球:72%)。
83%的受访者认为,其网络安全团队与其他所有管理企业风险的部门建立起战略合作关系,防范企业面临的最严峻威胁和风险(全球: 68%)。81%的受访者认为,其网络安全团队在网络风险和相关风险问题上能够与董事会和高级管理层进行有效沟通(全球:70%)。
中国安全团队的做法
为了实现以战略及业务为导向,中国网络安全团队采取哪些不同的做法呢?在问卷中,我们调查了那些成功转型并满足业务发展需求的企业,他们对自己的网络安全团队工作开展方式进行了排序。选项最多的26%受访者表示,其网络安全团队与业务团队密切合作,确保网络安全策略与业务需要 相配(全球:18%)。15%的受访者提到,其团队正在应用自动化及新兴科技提高网络安全能力(全球:11%),而8%的受访者将加强第三方风险管理(全球:13%)。
然而,中国企业网络安全团队处于落后的方面是,并没有那么频繁地向公司董事会(中国:4%;全球:5%)和企业首席高管(中国:4%;全球:7%)汇报问题。
网络安全团队必须与董事会和高级管理层一起探讨网络安全风险问题。这样一来,董事会和高级管理层才能承担起公司某些领域的网络风险策略的责任,例如为网络安全事件提前做好准备,应对网络安全事件,以及提高员工网络安全 意识等。
安全团队只响应,没有识别风险
深入了解网络安全团队的哪些做法能更好地与企业目标相配无疑非常重要,与此同时,衡量网络安全团队现有的网络安全措施成熟度同样大有裨益。
此次调研在这方面对企业进行评价,评价的依据是美国国家标准与技术研究院(NIST)所发布的《网络安全框架》中的具体类别,6包括五个主要网络安全功能:识别、保护、检测、响应和恢复。
成熟度方面,中国网络安全团队在“响应”和“保护”两项功能中成熟度最高,在“识别”功能中成熟度最低,这一情况堪忧,因为这说明调研受访者只处于响应状态,在风险发生后采取缓解措施,而未能充分识别风险并防范于未然。这表明网络安全团队在识别关键资源和企业情况,从而根据企业风险管理策略和业务需要促使企业重点保障网络安全方面较为薄弱。于是,网络安全团队只能进行损害控制,或只能在侦测到事故后为企业提供支持,而且对企业的保护方式也只是减弱或遏制事件的影响。
究其原因,或许是更少比例的中国受访者(相对其他类别)认为,其网络安全团队在保障企业生态系统时采用的是基于风险的方法,而不是就事论事处理问题(中国:69%;全球:63%)。
与同业相比,更少比例的受访者认为其企业采用NIST《网络安全框架》等标准框架对网络安全团队的能力进行评估(中国:75%;全球:68%)。采用基于风险的方法开展网络安全活动,使用标准框架进行自我管理,中国网络安全团队才能充分预测和管理系统、人员、资产、数据以及性能方面的网络安全问题。
与其他类别相比,企业高管和IT专业人士认为(“识别”功能内的)“资产管理”类别相对落后,若要保证与网络安全的一致性,则需要识别机构中的实物资产和软件资产。与其他类别相比,相对较少的中国网络安全团队参与到企业新产品和服务的“安全与隐私”设计当中 (中国64%,全球:60%)。
中国企业在(“识别”功能内的)“治理”类别中成熟度也相对较低,该类别内容包括识别符合外部法律及监管要求的治理项 目或网络安全政策。这与事实相符,过去一年内,相对其他类别,较少网络安全团队为了遵循新法规要求而采取跨部门措施(中国:60%;全球:53%)。国内网络安全团队必须清楚中国网络安全监管架构,并确保现有控制措施与当前及未来法律法规保持一致。
虽然《中华人民共和国网络安全法》已于2017年6月开始施行,但是许多法律条文仍有待通过规定和条例的实施来加以完善和解释。
然而,中国网络安全团队在(“响应”功能内的)“沟通”类别中表现出色,因此在网络安全问题发生后,能够有效地管理与内部和外部利益相关者的沟通。(“保护”功能内的)“数据安全”类别的成熟度也较高,公司数据管理得当,以保障信息的保密性、完整性和可用性。
商业启发
过去 20 年,数字化转型带动中国企业快速发展,却导致数 字信任度下降。为了重新建立数字信任,网络安全团队需要从应对重大风险转变为主动识别重大风险,其中包括:
1.遵循基于风险的方法和标准框架,以加强“识别”功能
网络安全团队在从事网络安全活动时,需要提倡使用基于风险的方法和标准框架解决问题。如此,他们可以加强自身能力,以识别关键资源和企业情况,从而根据企业风险管理策略和业务需要促使企业重点保障 网络安全。
2.确保网络安全策略与业务发展并进
这需要网络安全团队加快推进企业战略,了解企业风险承受能力,有效管理与数字化转型相关的企业风 险。例如,这或许需要将安全和隐私保护纳入到企业新产品和服务中。
3.使用自动化及新兴科技提高网络安全能力
通过机器学习实现自动化以及使用人工智能、机器人流程自动化或物联网等新兴科技,为网络安全团队带来独特机会,帮助其提升网络威胁情报、防范和恢复方面的功能。
4.定治理计划,以遵守外部监管要求
网络安全团队有必要制定治理计划,以满足网络安全、数据治理和隐私方面的外部监管要求,在中国尤应如此,原因在于其战略重要性,以及该领域发展一日千里。
5.将网络安全作为企业问题处理,而非将其 归为IT问题
网络风险是整个企业范围内面临的问题,因此涉及公司董事会、管理层、业务部门主管以及IT和安全职能部门。网络安全团队需要与董事会和高级管理层共同探讨网络安全风险问题,以便董事会和高级管理层负起企业网络风险策略的责任。为了制定适当的网络安全计划,企业还需要考虑让员工参与其中。员工可通过培训和遵守企业标准及指引的方式为网络安全出一份力。
6.灵活响应和改进
灵活性是产品或服务开发领域中非常热门的概念之一。要将灵活性与网络安全计划相结合,不能只关注技术本身,还要重视整个管理流程。通过追求灵活响应和树立精益求精的文化,网络安全团队可以在其计划中实现效率和建立高度信任。
雷锋网注:上述图文来自普华永道《2019年数字信任洞察之中国报告》,想要获得更多网络安全讯息,可以关注雷锋网(公众号:雷锋网)旗下+V公众号“宅客频道”(+VID:letshome)。
雷锋网。
雷锋网版权文章,未经授权禁止转载。详情见转载须知。