pEg|企业该如何应对新时代下的网络安全挑战?
文章图片
在上篇文章《新时代下的网络安全挑战有哪些?》中 , 我们看到在数字化转型变革的时代大背景下 , 新兴技术对商业环境和企业发展 , 将带来双面性的影响;以及企业网络安全在新环境中面临着系统性沟通障碍等诸多因素的影响 , 而需要被重新定位 。
本文从数字化及网络安全同时兼顾的角度提出企业的解题思路和多方应对措施 , 助力企业在机遇与挑战并存的网络环境中更好促进数字化转型和提升行业竞争力 。
快速链接:乘风破浪 | 变革转型:新时代下的网络安全挑战有哪些?
企业如何应对 要有效应对上述挑战 , 需要将事后驱动型的安全体系转型升级为以“Security by Design”为思路的新时代网络安全体系 。 数字化转型的今天将网络安全提升到新的高度 , 企业需要摒弃原有管理模式 , 将安全管理要素纳入各业务开展的初始阶段 , 而不再是采取事后补救的方式 。
如何实现Security by Design , 可从以下几个方面考虑:
01. 重建关系 , 增进信任
- 安永2020全球信息安全调研报告显示 , 仍有大部分企业的董事会议题中缺乏网络安全内容 , 且CISO未准确向董事会及管理层准确传达网络安全价值:
文章图片
是时候与董事会开展新的对话:
- 安全负责人制定向管理层汇报和量化网络安全价值的方法 , 向董事会和管理团队传递网络安全对企业的价值 。 其中一个关键步骤是实施网络风险量化计划 , 从业务的角度对网络风险进行分析和说明 , 并在与管理层的沟通中获得正面的反馈;
- 解读国内外网络安全环境与变化、分析其他企业网络安全管理案例、结合本企业实际的业务场景等方式 , 持续引导、改变管理层的观念 , 让其理解网络安全不再是一个成本中心 , 也能为企业带来价值 , 并直接影响企业的数字化转型成果;
- 实施符合企业目标的治理架构:企业的董事会和高层领导 , 重新定位网络安全地位、预算空间、责任范围以及CISO地位 , 匹配网络安全在数字化转型和创新中的新作用 , CISO不应是操作层面的安全负责人 , 而是企业管理层中的重要组成部分;
- 将网络安全订立为数字化转型中的关键因素 , CISO主动与各部门充分沟通和合作 , 将网络安全融合到业务流程中 , 评估网络安全对业务的影响并在业务的规划阶段引入网络安全考量 , 为产品或服务建立网络安全信任;
【pEg|企业该如何应对新时代下的网络安全挑战?】
文章图片
- CISO应具备的新能力 。 网络安全领导者 , 必须具备商业意识 , 用业务能够理解的语言和方式进行沟通并就安全问题共同寻找最优的解决方案 , 而不是盲目地通过控制手段来解决问题 。 其首先应了解网络安全职能的优势和劣势 , 以确定CISO的话语权 。 其次 , 需确保提供满足业务需要且有竞争力的服务 。 最后 , 需要提升自动化和内部协作的能力 , 减少网络安全相关的人工工作 , 提升工作效率及效益 。
企业需要通过健全的合规体系应对不同市场繁复的法律法规、监管要求和行业标准 , 即通过系统的方式 , 主动将合规工作从组织、流程和技术三方面融合到业务规划、实现、运行到变更的每一个环节中:
文章图片
- 在组织层面:设立合规运营和执行团队 , 并采取充分措施保证团队地位 , 也需要将网络安全合规纳入到治理层的决策范畴 , 建立“直达天听”的渠道;
- 在流程层面:建立标准化、覆盖企业不同层级、业务线的合规流程 , 并有效实施 。 流程需包含合规要求持续识别与更新、合规流程触发条件、实施方式、决策层级、执行、监控、事件响应等 。 应通过宣导让员工清晰What (什么情景下涉及合规问题)、How (应该执行什么样的流程)、Who (什么团队能协助处理);
- 在技术层面:构建网络安全合规治理平台对合规体系进行流程执行、监控和展示 , 如线上流程、合规状态展示板、合规要求清单、合规风险评估等 , 提升效率并降低人力投入 。
文章图片
文章图片
网络安全合规体系可基于PDCA(戴明环)的理念 , 建立动态调整机制以满足不断变化的合规环境 。
03. 推动网络安全管理落地 , 体现价值
网络安全最大的威胁还是来自于人 , 例如安全意识不足而被利用、人员疏忽或其他人为原因导致网络安全工作未能有效执行等 。
在数字化应用覆盖企业方方面面的今天 , 人为因素构成的威胁也进一步放大 。 新的时代下 , 网络安全技术防御体系依然十分关键 。 但良好的防护能力中 , 起关键性作用的仍然是有效的安全管理体系 。 在数字化转型时代 , 安全管理体系需具备新的特质:
- 成为企业的一级管理体系 。 安全管理体系不应当从属于IT , 因为安全涉及到企业经营的方方方面 , 管理层必须提升安全管理组织及体系的地位并予以充分支持;
- 将安全管理执行项与各项运营流程整合;
- 建立奖惩措施保证执行情况保障执行效果 。
文章图片
04. 重点打造数据安全与隐私保护
数据安全保护工作应遵循如下管理逻辑:
文章图片
基于以上管理逻辑 , 企业搭建数据安全保护框架时 , 应综合考虑合规性、价值输出、利益保障等方面从以下几点入手:
- 底线管控能力 。 数据场景每一天都在变化 , 包括数据的收集、字段的变化、业务场景的更新 , 决定了数据安全管控需具备一定的灵活度 , 在明确底线与职责分工的前提下 , 给予不同角色合适的自主决策权;
- 差异化的管控能力 。 企业应结合其实际情况建立分级分类机制及其配套的管控手段 , 包括流程、决策权分配、使用条件、技术手段等;
- 动态监控与自动化控制能力 。 随着数据使用场景激增与场景复杂化 , 例如数据识别、标签、处理(脱敏、匿名化等)、使用监控(如异常的数据访问、数据下载与外发行为)等管控工作 , 越来越依赖技术控制手段 。 企业应在确立发展规划后 , 逐步通过技术手段解决问题 , 而非进行革命性改革 , 以免适得其反;
- 持续的宣导与提升 。 企业需持续宣导 , 明确数据安全是各部门最大化实现数据价值的驱动者 , 而非反对者 。 此外 , 由于数据场景的多变性 , 数据安全比一般的安全管控工作更需要持续的优化机制 。
- 隐私保护组织架构保障 。 隐私保护组织既可独立存在 , 也可与网络安全合规体系 , 或网络安全管理架构融合 , 在充分保证独立性的前提下 , 具体的实现方式可依据企业实际情况而定 。 需要注意的是 , 在特定的法律法规之下(如GDPR) , 企业需指定专门的角色与组织承担规定的工作 , 即隐私保护数据官(Data Protection Officer , DPO) , 作为保护个人数据的除企业防线外的二道防线 。 此外 , 千变万化的隐私场景使隐私工作依赖经验以及持续的学习积累 , 条件允许时 , 建立专门的隐私团队是较为理想的方案;
文章图片
- 关键隐私工作的落实 。 隐私设计理念(Privacy by Design)、个人网络安全影响评估(PIA)、个人信息处理活动记录(RoPA)保存以及跨境传输等内容是隐私工作落实的关键 , 这些工作不能仅存在于纸面上 , 更需要辐射到企业运营的各项流程与领域中 , 深度整合 , 从流程、控制点、具体措施与要求等方面确保能有效执行;
- 关注供应商管理 。 隐私数据在供应链中IT层面及业务层面的流转是供应链协作的必然结果 , 应通过界定职责边界、明确管控协议、供应商检查等方式有效控制第三方带来的隐私风险 。
文章图片
05. 安全升级之新一代技术防御模型与体系
新技术的广泛应用、边界模糊化要求企业具备进阶的技术防御理念 。 这种超越传统数据安全和IT 思维的安全技术生态系统包括以下特性:
- 一体化的安全防御能力 。 传统的安全防御主要根据既定的防入侵检测策略和传统防火墙的过滤数据包 , 实现对企业网络边界的防御和管控 。如今 , 面对多样化的IT环境与架构(如传统物理IDC机房、公有云、私有云、混合云、物联网等)以及深入到应用级的攻击手段 , 传统的防入侵检测与防火墙已无法满足需求 。 企业需要考虑整合现有与新生代的安全防御能力 , 打造一体化的安全防御能力 。 将应用程序和用户控制、入侵防护、高级恶意软件检测(例如沙盒)、威胁情报源搜集等安全防御能力进行整合 , 探测恶意攻击的同时阻断潜在的后续恶意攻击路径 , 为企业提供七层入侵防护和跨网络的风险预知能力 , 保障企业的信息化安全;
- 安全响应自动化 。 安全能力需一体化平台整合外 , 更需要具备自动化能力应对激增的响应需求 。 新一代的安全管控框架应具备充足的自动化能力 , 如通过安全编排、自动化与响应以及必要的RPA支持 , 提升一体化平台多点防御 , 多点监测 , 统一监控能力 , 提升威胁分析效率和响应速度的同时 , 减少可重复性操作 , 释放安全管理人员到更具挑战的工作领域中;
- 基于 “零信任” 的统一用户身份权限管理 。 传统企业在面对数量持续上升的IT资产 , 类型和体量不断增大的用户群时 , 主要考虑提升用户IT服务体验 , 保障用户访问对应资源的效率与效果 。 而在60% 以上的网络安全事件由内部网络引起的时代 , 基于“零信任”架构的用户身份权限管理 , 逐渐被企业重视 , 并置于安全技术生态系统的优先位置 。 “零信任”架构 , 意味着与企业相关联的用户、设备、服务或应用程序等所有个体 , 都是不被信任的 , 必须经历身份和访问管理过程才能获得对应最低级别访问权限 。 新一代的用户身份权限管理与管控 , 应基于 “零信任” 的架构下 , 保证数据和关键资源仅对正当的访问开放并对其进行监控和记录 , 联动可疑告警等 , 及时识别并拒绝异常访问;
- 融合人工智能的安全威胁检测 。 深度学习和响应不断变异的威胁 。 面对每日的海量告警信息 , 企业需要投入大量的安全分析、响应资源和人工处理成本 , 已无法满足当下企业对自动化的发展需求 。 利用人工智能技术(AI) , 对日常的威胁检测(如网络入侵、恶意软件、代码、欺诈事件等)提供即时洞察 , 可显著缩短威胁探索、安全事件响应和补救部署的时间 , 以较少资源获得高效能 。
因此 , 与能提供从战略定位、框架设计、落地建设、持续运营全方位服务的专业安全伙伴合作已成为企业提升安全建设效率与效果的主流趋势 。
安永将在下一篇微信文章中 , 为您详细介绍在企业新的数字资产与数字流程中的网络安全赋能实践 , 敬请期待!
本文是为提供一般信息的用途所撰写 , 并非旨在成为可依赖的会计、税务、法律或其他专业意见 。 请向您的顾问获取具体意见 。
推荐阅读
- 视点·观察|张庭夫妇公司被查 该怎样精准鉴别网络传销?
- 柯腾|争做细分赛道冠军——探寻厦门“小巨人”企业成长密码
- 配置|小米12X上手体验:绝佳体验+绝佳手感!这才是小屏手机该有的样子!
- 平台|[原]蚂蚁集团SOFAStack:新一代分布式云PaaS平台,打造企业上云新体验
- 数字化|70%规模以上制造业企业到2025年将实现数字化、网络化
- 设计|腾讯宣布企业级设计体系 TDesign 对外开源
- 中国|411 家游戏企业签署防沉迷公约,95% 游戏添加适龄提示
- 平台|数梦工场助力北京市中小企业公共服务平台用数据驱动业务创新
- DevOps|“微软RD项目之领导力的碰撞”系列活动第五期——探究企业引进 DevOps 的秘密
- 在线|企业配电房如何实现无线测温?安科瑞