-
前言
数据和数字化基础设施建设已渐渐成为未来发展的重要 支柱。新冠疫情使全球数字化转型的进程大大加快,并 使其成为焦点。全球各经济体和各行各业的供应链正经 历着颠覆性变革,企业亟需重新审视自身对供应链上下游的产品、服务和数字化基础设施的依赖程度。 人工智能、区块链、生物识别、物联网和虚拟现实等突破性技术有望塑造我们的未来,但这些技术会带来新的 安全、隐私和道德挑战,甚至可能使人们对数字化的发展进程提出质疑。由于国别文化观点的差异性,各国难 以就上述问题的应对措施达成一致,但这正是全球化企业面临的经营环境。因此,我们应以创新方式处理当下 的问题,而非被动地应对其造成的后果。 我们认为具有重要系统的行业也在变化。过去,我们聚焦基建设施、电信行业和金融服务行业。现在,我们关 注更为复杂多样的公私伙伴关系、互联生态系统和信息 基础设施。例如:我们注意到如今的金融市场环境就像 是一个由金融机构、市场化的基础设施、数据和托管服 务供商组成的具有密切关联的世界,其所有要素都具有 同等重要性。随着关联性和依赖程度的增加,基础设施 也逐渐成为黑客攻击及利用的对象。这些改变也导致全球网络安全监管力度持续加强,进一 步加重企业负担,企业对日益增长的监管和报告需求产 生了更多的担忧。因此,企业越发重视将隐私和安全要 求嵌入到日常经营过程中,这既是为了应对不断变化的 网络安全威胁,也是为了满足不同国家的差异化的监管 要求。 网络安全应贯穿各业务条线、职能、产品和服务中。企业应致力确保网络安全深入贯穿数字化的各个方面,并 融入到企业整体战略、发展和运营中。毕马威国际首席 全球数字官LisaHeneghan表示: “企业应将网络安全贯穿其各个方面。网络安全建设应 成为支撑业务的关键要素,以及数字化的信任基础。但网络安全不能仅靠首席信息安全官及其团队完成,而应 成为企业所有员工的责任。这绝非易事;员工应了解网络安全与自身的关系,再思考如何将安全纳入现有流程 之中。在建设企业网络安全过程中,如果将各业务部门 视作顾客,根据已有经验为其定制化安全管控策略,能 够大大加强并激励企业员工的网络安全责任感,积极遵守安全行为,为企业业务经营带来巨大收益。”
一、数字信任:一项共同承担的责任
企业在如何保护员工、客户、供应商及合作伙伴利益的问题上是否已进行充分考虑?
随着监管与公众对隐私、安全和道德的关注度日渐 提升,数字信任正逐渐成为董事会的议题之一。任 何通过数字化赋能业务的成功均须建立在数字信任之上,而网络安全和隐私保护正是建立此信任的重 要根基。首席信息安全官必须协助董事会和高管层 赢得并维持利益相关者的信任,以为自身企业创造竞争优势。此目标的实现要求所有利益相关者的共 同承诺和通力合作。
数字信任正引起关注
越来越多高层管理者意识到数字信任的裨益:37%的高 管认为能促进盈利增长是信任提升的最大商业优势。数字信任涵盖广泛。网络安全广泛关联到数字信任的问题 (包括可靠性、安全性、隐私性和透明度)。它们会影响企业所采取的业务开展、价值追求方式、产品、服 务,所用技术,应用系统的数据收集及使用方式,以及针对客户、员工、供应商和所有第三方合作伙伴、利益 相关者所实施的利益保护手段。 相比而言,65%的高管仍然将信息安全视为被动降低风险的手段,而非业务赋能要素。 许多企业仍然将网络安 全视为成本开销,而非对未来的投资,这是一种错误的理念。首席信息安全官应全面接纳数字信任这一概念, 并阐明安全性作为业务赋能要素将如何为企业的数字化 发展提供稳健支持。首席信息安全官须协助企业建立数字信任体系,但仅靠 他们并不能完成,而应投入足够的时间,鼓励其他主要的内外部利益相关者承担在数字信任体系建立过程中的 角色。事实上,首席信息安全官需要向董事会和高管层阐明此事的重要性,并说明数字信任体系与业务战略的 依存关系。.
世界经济论坛认为,业界已开始承认网络安全就如同企业风险、产品开发和数据管理一样,是一项重要的战略业务要素。世界经济论坛在其“Earning digital trust:Decision-making for trustworthy technologies”(《赢取数字信任:为可信任技术制定决策》)报告中提及:“获取数字信任需要一套整体的方案,而网络安全是建立信任重要维度之一。”
构建有效的数字信任战略
企业应将数字信任这一概念纳入企业战略、产品开发、 整体市场形象和公私客户关系中,广泛思考数字信任对不同利益相关者群体的意义,以突出网络安全以及其他 建立数字信任核心要素的重要性。 信任是采取特定技术所必须具备的要素,亦是领导层决策的基础。首席信息安全官需要持续向董事会及高管层阐明网络安全为何是数字信任的关键组成部分。
首席信息安全官需要协助选定合适的合作伙伴和供应商。评判标准须包含信息保护程序的透明度以及具备业务连续性的能力。毫无疑问,监管机构极有可能加强对数字信任的监管,对企业公开透明程度及问责要求也可能相应提升。企业若能以数字信任原则为导向,采取更为全面的方式应对日益复杂的各类监管要求,能够有效减少以合规驱动为目的所造成的高昂成本。
“简而言之,能通过其产品、服务、运营模式建立利益相关者的数字信任并妥善保护其业务信息的公司,将更可能收获商业及声誉回报。”
-----Annemarie Zielstra
网络安全服务合伙人
毕马威荷兰
二、以“无形”措施护航安全
将安全融入企业业务,在某种程度上可以帮助员工自信工作、高效决策,并在他们的岗位上持续保护企业信息。这虽然充满挑战,但仍是首席信息安全官的关键目标。人们很容易将安全视为工作的障碍,首席信息安全官只有结合用户和业务角度考量安全性,才能改变这种观点。
最重要的一点是,我们需要了解在何时以何种方式构建信息安全管控措施,以及增强安全管控措施后对企业的影响。世上不存在绝对的安全性。若首席信息安全官试图使用最为严格的安全管控措施在任何时候保护任何信息,则可能全盘皆输,因为用户会设法规避这些安全管控措施。首席信息安全官需结合具体业务流程的重要性及其可能产生的风险,设计相应的安全控制。
企业不应以对立的方式考虑企业安全性。如今,企业安全目标并非一成不变,“安全”与“不安全”的概念也只是暂时性的。首席信息安全官应更多致力于安全宣贯;为员工设计简单、直观的安全流程;打造一个安全
意识较好的文化氛围和高效的安全团队。
企业安全也应考虑客户体验
企业更应重点关注,为有能力和意愿检测和响应恶意行为的员工设计并建立落地的恶意行为检测和响应流程。考虑易用性、客户体验,将安全规划纳入其他企业级别的重要事项(例如:业务需求),而不是将其纯粹视为监管的当务之急。
最新的技术发展可为此提供帮助。从防御性人工智能、机器学习和聊天机器人,到云加密、区块链和增强型检测及响工具等,均是上述重要项的核心部分。此外,提升员工的安全意识,建立统一IT治理策略,倡导员工审慎对待数字化通信,也将有助安全性提升。首席信息安全官应思考如何帮助员工自发采取正确措施,并制定合适的安全管控措施予以支持。
安全团队可从企业提升用户体验的方式中汲取大量经验。内部信息全流程应简单、直观,否则员工可能会规避相关流程;企业可考虑在信息安全流程的设计中纳入用户体验专员。
对内部用户而言,安全流程也可适当“私人化”。企业可要求员工作出自我判断,根据事件场景,将私人生活与工作中安全行为进行比较,使他们“寓教于乐”。如此,员工便可在企业安全中发挥作用,并摆脱薄弱环节的形象。
“单凭技术不能解决问题。数十亿资金用于网络安全领域,数千家网络安全公司也已提供各类网络安全工具,但企业仍然易受攻击,因为攻击者也知晓并精通同样的工具。”
Prasad Jayaraman
网络安全服务主管
毕马威美国
实现无边界的、以数据为中心的未来
显而易见,过去十年的商业模式发生了根本性的变化,逐步演变以数据为中心,由企业内部与第三方合作伙伴、服务提供商组成的互联生态系统。在当前的分布式计算世界中,为缩小任何潜在服务中断或安全事件的影响范围,首席信息安全官和信息安全团队必须采用全新的方案,如“零信任、安全访问服务边缘(SASE)和网络安全网格模型。”
如今,企业的当务之急是使员工、客户、供应商和其他第三方能够无缝、远程和安全地联接。但安全挑战也随之而来:在如今的无边界环境中,企业再也无法信任每一个用户和设备。
对无边界业务零信任
零信任的处理方式有助缩小服务中断或安全事件的影响范围,使企业能够更好地管控安全事件的影响。以零信任为基础的安全访问服务边缘(SASE)和网络安全网格模型在网络整体安全性的构建、分布和统一方式上有着共同的原则。但最重要的是,随着更多企业采用以云为中心的理念,安全机制应更多的考虑对数据保护。
作为当前无边界业务环境的保护伞,零信任框架对身份鉴别、访问控制的设计和赋能如何顺应时代变化提供了思路。零信任为基于安全访问服务边缘(SASE)模型以及全面的分析性网络安全网格架构的业务融合提供支持。
新的身份鉴别与访问控制模型
去中心化的身份鉴别与访问控制是首席信息安全官的核心职责,亦一项网络传输议题。南北向传输,即用户到资源,其主要关乎身份识别;而东西向传输,即系统间横向传输,则与网络区域划分和其他控制领域相关。数据资源的访问应与用户身份进行匹配。在一个无边界环境中,若身份和数据治理,便不存在零信任、安全访问服务边缘(SASE)或网络安全网格。对首席信息安全官而言,实施零信任的挑战在于验证设备和用户身份及其可信度。这要求首席信息安全官从身份校验角度思考安全性问题,并重点关注企业内用户和第三方供应商的最小权限访问。
零信任实践运用
企业应根据各场景、用户和资源定义零信任,这也是企业信息安全建设的关键和核心原则。首席信息安全官不仅应建立零信任体系,还应确立相关政策、准则、和设计系统解决方案,同时成立由安全技术人员和领导层组成的信息安全委员会。
另一个挑战是资金和预算。首席信息安全官应能够阐明零信任相关框架,以让董事会和其他企业领导理解该投资不仅是一项新的技术,还有助于建立全新理念以实现安全、无边界未来。
显然,在本地部署和云端部署方案中找到平衡点是一大挑战,尤其当企业采用云端开发的技术时。许多企业正考虑将多个系统迁移到云上,但通常现有的基础设施不能完全满足安全访问服务边缘(SASE)所需的
技术需求。
大型复杂机构的首席信息安全官会面对同时管理云端和本地部署的安全运营环境且短期内运营成本较高的挑战。对于希望完全采用云端部署的客户,应考虑在部署到云上的系统中采用与本地部署同样的零信任原
则。同时也应考虑运营模式改变带来的影响,譬如,使用云服务商提供的合理管理的责任模型可有助确保云架构的安全。
四、新合作、新模式
对于企业安全团队而言,仅关注自身企业的IT系统安全的日子已过去。在网络安全工作外包问题上,首席信息安全官需要了解何时叫停、何时应继续推进,并决定当前与未来应在企业内部保留哪些职能。安全性已成为业务的优先考虑事项,并通过企业与服务供应商之间的共同担责的模式落地。
如今,首席信息安全官应从技术安全、产品安全和复杂的供应链安全为企业内部的信息安全流程实施提供支持。企业越发意识到,通过供应链、客户服务、企业设计以及信息安全共同协作能够提升创新。
以具有竞争力的价格向客户提供此类创新组合,企业可建立竞争优势。
然而,部分企业难以大规模地有力开展信息安全工作,其主要原因是缺乏信息安全的专业人才与技能。因此,他们把目光投向服务外包、托管服务、系统上云等模式。
了解应保留的安全职能
企业不能将所有的安全管理职能外包,还需要在企业内部保留适当的专业人才与技能。企业应具备专业知识,以建立能使内部员工和第三方服务供应商有效运营的内部控制及安全架构。其中一个要点是,企业应了解其内部应保留哪些安全职能,然后制定有针对性的人才招聘策略。
以应用系统上云为例,首席信息安全官需同时扮演经纪人、协调者和统筹者等多重角色,以协调相关员工和第三方服务提供商,并进行风险识别、治理与汇报。上述职能不能完全外包。虽然企业可以将计划与准备阶段的部分工作进行外包,但应由企业内部了解业务与企业安全现状以及潜在网络安全事件影响的人员,来进行整体把控以及质量控制。
寻找合适的技能组合
首席信息安全官应了解自身的内外部职责,有效应对不同模式和领域之间的灰色地带,建立适当的控制以应对复杂多变的环境。然而,这知易行难。
与外部安全服务供应商合作同样要求企业具备独特的技能。企业须注重流程管理和安全治理技能,而非技术能力。无论将多少工作外包,企业内部都应具备充分的安全知识和技能。同时各方应开展定期、清晰的沟通,以保障对已实施的管控措施以及关键绩效指标的妥善管理。此外,企业还应商定明确的安全事件响应流程,并开展应急演练以测试相关系统。
首席信息安全官应定期评估其自身的专业技能,并努力确保企业具备与云、托管服务供应商有效协作的能力。为此,首席信息安全官应了解企业的未来信息安全基础设施建设需求,并确定安全管理体系以提供最佳支持。企业应着眼于“未来”,即展望未来三至五年的安全需求,而不应仅仅着眼于企业当下的安全需求。
自动技术可信
企业在参与创新与驾驭新兴科技的竞争中,安全性、隐私性、数据保护和道德问题在受到越来越多关注的同时,也常常被忽略和遗忘。企业对这些问题的疏忽可能会对自身发展构成阻碍,尤其在人工智能相关监管要求仍在逐步明确的时代背景之下。
过去人工智能长期停留在数据科学实验阶段,其中只有少数项目真正实现投产。而现在有实际应用价值的机器学习时代已经到来。在未来18到24个月,将可能会有更多此类项目上线。
该领域已进行长期反复试错,但这些机器学习将最终带来巨大的成功,如智能推荐引擎、决策支持工具、精细模拟和神经网络等,可为企业带来巨大的价值。
将单调、重复工作的自动化处理,可节约员工时间和提升效率,令他们能专注于需要进行复杂、周密和细致思考的工作。因此,人工智能正在多个行业中应用。在银行业,机器人正协助客户选择最合适的产品和服务;在保险业,企业正在开发如何通过自动化策略对申请人进行信用评估。
建立可信任的人工智能模型
企业是否正合理应用人工智能以获得最高产的输出?在某些保险业用例中,算法会自动对生活在特定区域的申请人作出分级。生活在较不富裕区域的人士与在较上层地区的人士会分为不同级别。保险费会根据申请人的地址而异。人工智能具有偏见或歧视性,因此需要加以调节。
过去应用系统的开发常基于固定的模式,即输入与对应输出之间的关系不变。开发者也会对此进行测试。终端用户会决定他们是否喜欢使用该应用,以及是否希望继续与开发者进行业务往来。
机器学习和人工智能设备旨在不断学习和进化。在此技术特性下,企业将根本性地改变他们对这些系统的看法以及系统的优化方式和使用的。
人们对人工智能有着不同的理解和喜恶情绪,而许多企业根本不具备足够了解人工智能的专业人员,所以更谈不上如何安全应用此技术。
如研发运维一体化平台(DevOps)一类的机器已能够缩短开发周期并确保持续交付。但如果企业还未将安全性整合进机器赋能的环境中,则大规模应用或许永远无法实现,因为员工根本不会信任该技术。为此,76%的高管同意,企业需要对训练、监控人工智能和机器学习系统产生额外投入。
人工智能和数据隐私
人工智能使许多核心隐私原则得到增强,例如,安全团队需要更深入地分析用户数据。企业需要考虑其收集的数据类型符合某些法规的数据最小化收集要求。此外,鉴于人工智能可能会存在偏见,因此,企业必须对人工智能的产出保持公开透明。
监管机构、政府和相关行业必须携手合作。人工智能监管并非仅是隐私问题,还要求数据科学家与隐私专家合作以确定技术方案应嵌入哪些要求以确保方案的安全性、可信度和隐私敏感性。此外,政府需要订立基本要求,并制定数字化建设方向,以号召相关行业对人工智能创新进行资。
在二十国集团通过可信任人工智能原则后,人工智能风险管理及监管领域有了重大进展。新加坡首先颁布了人工智能安全标准;美国国家标准与技术研究所公布了人工智能风险管理框架;欧盟也在同年颁布人工智能法案。正如《通用数据保护条例》对隐私产生巨大影响一样,这些法规也最终将在人工智能领域带来重大影响。企业需要为此做好准备。
六、智能世界安全
几乎所有行业的企业均在转变其产品思维,以专注于开发互联网赋能的服务并管理配套设备。随着企业逐渐意识到产品安全具有同等重要性后,首席信息安全官及其团队开始被邀请参与工程、开发及产品支持团队的讨论。
在今天这个以智能产品为重的环境中,以下新兴技术起着主导
作用:
智能设备也面临许多风险,如存在使用弱密码,使用不安全的加密算法或未加密,未更新软件、病毒库,缺乏DDOS防护等。首席信息安全官必须认识到,智能设备安全并非仅涉及系统的保密性、完整性和可用性。由于这些智能设备在现实世界中的使用,现实世界中使用该技术的安全性也应纳入考虑范畴。由于有较大可能会出现大规模针对性攻击,因此,网络安全专家必须将这些风险纳入到一个涵盖保密性、完整性、可用性和安全性(“CIAS”)的架构中。
在智能设备互联世界中应用CIAS框架
首席信息安全官应考虑智能设备产品生命周期中四个组成部分的相关风险,其中各个组成部分有着不同的“开发-安全-运营”(DevSecOps)要务。这些组成部分包括:从设计实施到发布的产品开发流程,管理不断延伸的供应链,维护和持续更新软件以及终端用户(无论是另一家企业还是个人消费者)。这四个组成部分有助首席信息安全官制定安全规划并确保产品的安全性。首席信息安全官必须洞悉业务的所有领域。
智能设备内部的软件系统往往不能轻易地进行更新,主要是因为考虑到设备与现实环境的连接性,不能在使用过程中进行补丁修复。这同样也取决于设备的重要性。这为开发者带来了额外的挑战,即必须嵌入保障机制以及制定适当的软件清单,让企业能够在设备使用过程中发现重大漏洞时并尽早召回设备。
网络安全已成为一项市场差异化因素。或许这已不言而喻,但企业有必要让现有和潜在客户以及整个市场知道其正不断提高网络安全能力(尤其是设备控制)并从设备全生命周期着眼进行管理。预计全球监管机构将日益关注这些系统的安全性以及最低标准要求。
七、应变多变的网络攻击
非法攻击者从入侵企业到全范围激活勒索软件的时间所需的时间越来越短,越来越多的非法攻击者以及有国家队攻击者通过自动化渗透工具,加速对企业系统的渗透。企业应优化和标准化安全运营流程,使其能在安全事件发生时尽快恢复核心业务和服务,从而降低安全事件对客户及合作伙伴的影响。
网络攻击者有两项明显动机:利用漏洞与制造混乱。他们利用漏洞系统是为了窃取或篡改数据,无论是出于获取情报还是欺诈目的;制造混乱是为了勒索或获取政治利益。其中的攻击手法各不相同。
某些有国家背景的攻击者专门攻击关键的基础设施,如输油管、电力公用设施和金融系统。他们的目的是造成伤害或混乱并施加政治或经济影响,从而为攻击者及其支持者谋利。其意图是从其他人的不幸中获利。
网络攻击事件的成功率已大幅增加,导致近几年勒索软件攻击数量激增。如果安全人员不能有效应对这些攻击,此情况仍将可能持续。
此外,混合工作模式扩大了被攻击面,增加了潜在的易受攻击的终端数量,令安全问题雪上加霜。另一个挑战是,企业内部Shadow IT的情况,存在未受管控的应用和SaaS系统,首席信息安全官和首席信息官对这
些应用的潜在风险常常缺乏足够的了解。
优化安全运营战略
时间是安全防御关键。企业能多快侦测到攻击者、能多快遏制住他们的攻击、多快能恢复服务? 与此同时,企业如何降低信息和系统损害?最大的问题不在于攻击者如何进入,而是已经获得了哪些信息,是否是关键信息。应用系统是否具有后门,还是被内部人员进行攻击?
攻击者从初次入侵到成功攻破系统所需的时间正在缩短。现在,攻击者仅需数日或更短时间便能在企业内部成功部署勒索软件。攻击者还不断提升自动化的攻击手段,甚至利用人工智能来协助其规划及实施攻击。首席信息安全官及其团队须在更短时间内识别入侵行为并采取快速、果断的遏制行动。
安全运营中心通常呈三角形结构:顶部是规模较小,但专业化威胁搜寻团队,中部是二级调查员,底部是许多一级威胁要预警分析员,对不断增加的威胁预警信息进行分类。但是,这个三角形结构应倒转过来。
驾驭及留用网络技术专才
人才的流失与留用问题,必然是最优先考虑事项。许多企业需要为安全运营中心建立可持续的发展途径与模式。在团队疲于监控系统之时,他们会调配更多人手应对,而非向在职人员提供合理培训。
八、网络安全战略
首席信息安全官与其他业务线可在来年采取哪些行动,以助确保安全性成为企业保障的重要脉络?下文列举了可供首席信息安全官考虑的若干可行步骤,以助缩短业务恢复时间、减少安全事件对员工、客户及合作伙伴的影响,并确保安全计划能为企业赋能,避免其暴露于风险之下。
扫一扫
3765
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
