CEO能为网络安全做什么?
星期一, 六月 7, 2021
世界各地的CEO现在都已经意识到网络攻击对业务构成威胁的严重性:全球每年网络犯罪造成的损失已经超过1万亿美元。普华永道第24次年度CEO调查显示,CEO们正在大力加强数字化工作。例如,超过77%的英国CEO预计会为网络安全追加投资。
这都是值得赞许的进步——但为什么要花这么长时间才行动起来?企业如何在保持信息、系统和网络安全的同时更快地实现完全数字化?
头号威胁
自2015年以来,网络犯罪已成为普华永道年度CEO调查中CEO最关心的问题。2020年,网络威胁排名第二,仅次于流行病和其他健康危机,但在北美和西欧,网络安全是第一位的。
尽管在本次调查中,新冠疫情造成的影响总体上超过了网络犯罪,但不可否认疫情大流行与网络安全的联系。随着不法分子利用疫情对漏洞利用程度的加剧,世界上大多数地区的CEO都迫切需要解决这两个问题。
在美国,将近70%的CEO表示,他们对网络攻击“极为关注”。在亚太地区和中东,网络安全在首席执行官的担忧列表中也排名第二。在非洲,它排在第三位。
网络安全正迅速成为CEO最关心的问题
只有两个地区的CEO没有将网络安全放在最高优先级,分别是中欧、东欧(CEE)以及拉丁美洲。在这两个地区,业务流程的数字化仍处于相当早期的阶段。
对网络安全威胁“极度关注”者的流行程度因地区而异
“充钱”不能解决所有问题
如果全球疫情有一线希望,那就是:在2020年3月宣布病毒大流行后的三个月中,许多组织加快了数字化进程。一半的CEO表示,他们计划在未来三年内将数字化投资增加两位数。
但只有31%的CEO表示他们的网络安全和隐私投资也将增长两位数。显然,这种数字化投资和安全投资的脱节留下了重大隐患。毕竟,随着数字经济的爆发,网络犯罪经济也蓬勃发展。
如今,资金或预算并不是衡量网络安全计划有效性的唯一标准,预算更高却不代表更好。更糟糕的是,事实上,如果网络安全支出是零散的、零碎的,而没有一个系统战略来指导它,未必会有成效。
在新冠病毒大流行之后,数字化和网络安全成为企业的首要任务
商界领袖可能认为解决网络安全难题的最佳方法就是砸钱。在安全厂商推销的诱惑下,他们在没有任何计划的情况下购买了一个又一个的解决方案。在这个过程中,他们最终可能会得到一堆无法协同工作的产品和服务,或者是他们的员工得到了一些不知道如何有效使用的技术。
普华永道2021年全球数字信任洞察调查显示,许多技术和安全高管(53%)表示,他们对自己的网络预算与企业及其业务部门的战略匹配没有信心。他们也不确定企业的网络安全支出是否真的解决了公司面临的风险,是否使用了可靠的数据作为确定优先事项的基础。好消息是:44%的受访者说他们正在计划对网络预算进行重大调整,并重点改善网络风险的量化方法。
为应对2021年及以后的挑战,CEO需要与首席信息安全官(CISO)合作,确保网络支出符合总体战略,并确保网络安全计划的精简和有的放矢。今天的CISO既是转型领导者又是战术大师,在CEO的指导下,CISO应当指导跨职能团队以确保安全解决方案和业务系统有效协同工作,从而保护整个企业。
CEO能做什么
CEO应当让网络安全发展成企业所有业务项目(包括网络安全项目)的驱动力。当制定网络安全策略的CISO完全了解其公司的目标和实现这些业务目标的计划时,网络安全策略的效果才能达到最佳。
凭借对企业愿景和公司业务战略的充分了解,CISO可以帮助CEO充分理解和减轻企业面临的网络风险。CISO将能够在复杂性和简单性之间取得更好的平衡。
下面是三个例子:
A、公司制定了通过个性化客户体验、产品和服务实现增长的计划。该公司面临的风险可能包括个人数据泄漏,这可能违反隐私法规并削弱消费者的信任。但是,不收集和充分利用客户数据会带来业务风险(没能实现CEO设想的增长)。CISO可能会优先考虑以消费者身份和访问管理为中心的安全策略(CIAM),它使用一套解决方案来安全地管理企业客户的数字身份,同时允许使用数据来定制服务。
CISO可以利用新的隐私增强技术来共享消费者和客户数据,同时又不侵犯个人隐私和违反法规。例如,机密计算不仅在数据处于静止或传输中时加密数据,而且在数据使用时加密。差分隐私是另一个例子。这是一种在保护个人信息的同时共享有关群体行为的信息的技术。新的隐私友好型营销方法将取决于此类技术。
B、公司通过销售技术产品和服务实现增长。该组织可能面临风险,例如通过软件更新包含漏洞或恶意软件的组件,或黑客通过第三方供应商或供应商破坏其系统。该组织将需要一种以产品为中心的安全策略,该策略可确保企业通过供应链制造或购买的软件和硬件的安全性,通过零信任架构防止不良行为者获取其产品机密或破坏其供应链的行为。
C、公司通过开发和提供各种云产品(例如开发人员工具和数据分析)来实现增长。它面临的风险包括可能导致安装恶意软件和勒索软件的错误配置、数据盗窃、数据丢失和拒绝服务攻击。该公司的网络安全计划重点应该放在云安全上,使用安全控制框架、自动化控制合规性、DevSecOps和基础设施即代码工具,以及其他云原生策略。
总之,CISO需要量化组织的网络风险,并根据其他企业风险对其进行评估。当CISO对风险优先级和缓解措施都胸有成竹的时候,CEO就可以自信地做出业务决策。