(報告出品方:德勤)
數字化轉型
網路安全及轉型挑戰
在任何行業,保持競爭力都需要快速開發新產品和 服務並推向市場。
創新型業務模式不僅僅是簡單地將現有 流程數字化,其正在覆蓋供應鏈並打造 新穎的客戶體驗。這種轉型也使企業面 臨新的網路風險,要求企業採用新的網 絡戰略保護不斷髮展的業務模式。為管 理這些風險,公司高管和董事會成員需 擁抱變革,實施跨業務線的有效治理, 並演進風險管理流程以實現對所有新接 入業務的端到端可見度洞察,也包括由 第三方承接運營的業務領域。能否成功 取決於企業高階管理層的承諾, 以及在 網路安全方面有效投入的同時,他們理 解網路安全風險的能力。 在被問及如何對其未來一年的數字化轉 型舉措進行排序時,16%的受訪者將數 據分析列為首要任務,15%選擇雲技術, 另有15%選擇新購或升級ERP系統。在今 年的調研中, 增加了OT/ICS(運營技術 /工業控制系統)的問題以及回應選項 (14%認為其是首要任務),這表明整 個行業正在努力實現工廠和運營技術環 境的數字化和現代化。
真正具有顛覆性的是變革的速度和規模。 新冠疫情爆發後,整個世界都轉向線上活 動,這種顛覆立刻變得更加明顯。隨著企 業大量員工遠端協作,所有企業部門幾乎 立刻轉型。所幸大部分所需的生態系統, 從雲到 Shadow IT (影子IT設施) 到 ICS (工業控制系統),均已就位並準備好迅 速擴張。但不太明顯的是這種轉變背後存 在著網路風險,目前很少有企業掌握識別 並緩釋網路風險至可接受水平的的方法。
認知網路風險
由於網路威脅會影響整個企業,可能使業務癱瘓並迅速摧毀來之 不易的聲譽,因此董事會務必要以他們能夠理解的方式評估網路 風險。他們需要將網路威脅與其擅長處理的風險進行比較,熟練 分析網路風險情況,就像其瞭解資產負債表的健康情況一樣。 一旦他們能夠理解其所面臨的網路風險的性質和規模,他們才知 道如何分配資源才能最好地減輕風險。 此次調研發現,41%的受訪者使用網路成熟度評估指導網路投資 決策;35%使用風險量化工具;23%稱其依賴於公司網路領導層 的經驗。當被問及對新的和/或現有應用程式進行風險分析/威脅 建模的頻率時,37%的資訊長和首席資訊保安官表示他們每 季度進行一次,29%每月進行一次。儘管這些評估通常屬於首席 資訊官和首席資訊保安官的職責範疇,但更多的利益相關者也務 必要了解這些工作的相關性和重要性。
全速前進?
面對規模競爭的壓力,企業領導人 通常過於關注數字化轉型的結果, 而無法充分考慮網路安全的風險。 這種情況下,就算擊敗競爭對手, 也會產生具有明顯盲點的隧道視野 效應。 隨著網路安全問題滲透到從客戶觸點 到智慧工廠以及員工的遠端裝置的各 個角落,IT部門的職責不再侷限於管 理防病毒軟體和密碼安全,它不僅要 保持網路執行,更需要更廣泛、更深 入的思考。 目前,首席資訊保安官需要獲得授權 去影響所有業務線、收集整個企業範 圍內的資訊並與董事會和高階管理層 直接對話,還要投入資源和人力充分 保障企業最重要的戰略重點和資產。
這在面對首席財務官時很難說清楚,因為對 大筆網路安全投資的結果通常是毫無結果。 這也意味著零網路事件是花費很多的。那麼, 首席資訊保安官該如何規劃其網路安全預算? 2019年,首席資訊保安官和資訊長表示 他們的網路預算平均分配給各個網路安全項 目。2021年,這一情況並未改變,受訪者再 次表示網路安全預算進行了類似的平均分配。 首席高管應認識到,管理網路風險沒有一勞 永逸的解決方案。 因此,網路安全預算正在增加,著重傾向於 威脅情報、監測和監控、網路轉型以及資料 安全。在全球範圍內,首席資訊保安官和首 席資訊官正不斷投資於雲上規模化網路解決 方案;網路/技術韌性;人工智慧驅動的威脅 評估和識別,以構建企業的網路防線。(報告來源:未來智庫)
客戶體驗
個性化體驗甚或侵犯權益? 合乎道德地使用個人資料
我們都期望個性化、有針對性的體驗,從食品配送到出差旅行和醫療保健的 一切都能基於我們過往的互動軌跡。我們不希望自己總有被營銷人員跟蹤的 感覺,無休止的硬塞一些我們不感興趣的優惠券。 公司如何管理客戶資料,在保護隱私的同時實現線上連線和個人體驗, 可能是盈利或虧損,乃至能否長期存續的差異因素。
隱私設計
對於每一個面向客戶的專案,務必要在專案最初 考慮隱私和安全。反思與客戶建立這種程度的接 觸度對業務模式的重要性,並仔細思考提供恰當 服務水平所需的資訊型別以及此等資訊誰可以訪 問、如何儲存和保護方式。在問到首席營銷官是 否能夠衡量並證明對全球資料隱私條例的遵守情 況時,絕大多數受訪者(85%)回答可以。
避免資料膨脹
僅僅收集大量資料希望未來有用,這是對資源的浪 費並可能導致失敗。若客戶沒有看到明顯的好處, 他們是反感提供個人資訊的。收集並有效使用個人 資料打造真實、個性化和人性化的體驗將推動企業 發展。但另一方面,所擁有的資料越多,面臨的風 險也越多。關鍵在於如何平衡。在被問及是否收集 個人資料時,受訪的首席營銷官中有一半表示收集 資料打造個性化客戶體驗更為重要,另一半則表示 不收集個人資料以防資料洩露更為重要。
隱私設計
對於每一個面向客戶的專案,務必要在專案最初 考慮隱私和安全。反思與客戶建立這種程度的接 觸度對業務模式的重要性,並仔細思考提供恰當 服務水平所需的資訊型別以及此等資訊誰可以訪 問、如何儲存和保護方式。在問到首席營銷官是 否能夠衡量並證明對全球資料隱私條例的遵守情 況時,絕大多數受訪者(85%)回答可以。 避免資料膨脹 僅僅收集大量資料希望未來有用,這是對資源的浪 費並可能導致失敗。若客戶沒有看到明顯的好處, 他們是反感提供個人資訊的。收集並有效使用個人 資料打造真實、個性化和人性化的體驗將推動企業 發展。但另一方面,所擁有的資料越多,面臨的風 險也越多。關鍵在於如何平衡。在被問及是否收集 個人資料時,受訪的首席營銷官中有一半表示收集 資料打造個性化客戶體驗更為重要,另一半則表示 不收集個人資料以防資料洩露更為重要。
道德監管
消費者越來越願意購買有綠色環保產品公司的 產品,並積極響應社會問題。同時,他們也擔 憂公司如何使用其個人資料。 傳統而言,公司聽從監管機構的指引哪些該做 哪些不該做。雖然遵守世界各地的各種法律至 關重要,但如果無法解釋分享資料的目的,僅 僅假設人們願意分享個人資料已遠遠不夠。另 外,解釋要使用通俗易懂的語言。 無論公司處於哪個地區,那些將信任植入公司 DNA並清楚地傳達願意遵守客戶隱私權保護的 公司將得到客戶的忠實擁護。公司應編制簡潔 明瞭的使用者協議,便於使用者訪問、刪除或遷移 其個人資料。當客戶看到公司認真考慮資料政 策並公開資料足跡時,他們更願意與公司分享 資料。
打破資料孤島
首席營銷官和首席體驗官往往先根據品牌和營銷要求制定決策,最後才與首 席資訊保安官確認資料收集得當與否(通常答案為“否”)。不同團隊對數 據收集持不同看法。一個團隊認為其工作需要收集儘可能多的資料,而另一 團隊認為只需收集必要的資料並加以保護。而最佳實踐是協力研究如何在收 集用以提供無縫體驗所需資訊的同時,儘可能地降低公司及其客戶所擔風險。 在利用資料將客戶體驗點連線起來之前,企業應有將資料孤島鏈接的人才。 反之,在設計隱私政策和溝通機制時,企業也應引入市場營銷人才。這對品 牌營銷和資訊傳遞而言日益重要,而他們可以提供幫助。
零信任
保護沒有邊界的 網路世界
在傳統環境中,IT資源均包含在明確的網路邊界內。外部流量 不得信任,而所有內部流量得以信任。現在呢?我們生活在 一個高度互聯的世界,一切事物的聯絡都日益緊密。對於大 多數現代企業而言,網路邊界基本上已經消失。
72%的受訪者表示,其所在企業僅在去年就經歷了1至10起網路攻擊和資料洩露事件。 如今企業面臨的挑戰是“如何才能完全消除固有的信任”?這對我們如何建立現代安 全架構而言是一次顛覆性變革。幸運的是,零信任安全架構能夠滿足要求。
關於零信任
零信任並非一種技術或單一的解決方案,而是一套基於“持續驗證,從不輕信”這一 基本原則的安全架構策略。其理念是將傳統的基於邊界或“城堡與護城河式” 的安 全管理方式,轉變為按需在單個資源與客戶之間構建信任的安全管理方式。在零信任 模式下,使用者將基於經不斷重新驗證的內外部因素建立可信連線。
踏上零信任之旅
方法因戰術、架構或戰略的主導程度而不同。雖然零信任適用 於所有行業和領域,但並不能提供一個 “萬能”的解決方案。 零信任是一項歷時多年的倡議,是一次打破業務、IT和各網路 領域之間資料孤島的變革。任何零信任之旅都將面臨荊棘阻礙, 需要整個企業給予強有力的領導層支援、投資和認同才能確保 成功。 您需要考量與企業相關的業務驅動因素、現有功能和用例。牢 記網路安全基本原理至關重要:您想要保護哪些資產?這些資 產在哪裡?誰(身份)和哪些(裝置)應能夠訪問這些資產, 且須滿足哪些條件?要回答這些問題,企業需確定執行IT資產管 理和資料治理功能的優先順序,以瞭解自身資產和資料的類別 和重要性……並由此建立訪問控制策略 。然後確定您的目標並 將其嵌入端到端策略,這是實現所期望業務成果的最可靠方法。 然而,這並非易事。受訪者紛紛表示“資料管理/邊界和複雜性 加劇”是在企業在網路安全管理中面臨的最大挑戰。 零信任不僅僅是一項技術解決方案,更是一次文化變革。其對 整個企業的影響不可小覷。溝通、員工專業培訓、認知和運營 流程調整等軟因素是取得成功的關鍵要素。總而言之,此等計 劃需要結合所有利益相關者的承諾以制定與業務契合的戰略, 以及強有力的領導、專用架構、技術工作組和可落地試點計劃 的支援。
前行之路
科技巨頭正引領零信任的成熟度之旅,並應用這些原則開發、 運營和提供安全服務。其他領先企業正採用零信任戰略以支援 業務優先事項、數字化轉型和企業風險戰略。在對自身架構進 行現代化升級時,瞭解領先企業如何創新及實現規模化部署也 有助於您加速數字化轉型。毋庸置疑,變革已然開始。您越早 開始向零信任過渡,此次旅途就越安全。最好是坐在駕駛座裡, 決定您的目的地……實現零信任正當時宜。
新興技術
連線新興技術領域
大眾目光往往聚焦於量子計算、5G和數字孿生等前 沿技術,但在製造業應用了數十年的既有技術(如 運營技術)也屬於新興技術範疇。
無論一項技術是全新問世或是部署已久,“新興”是指它與網際網路的連線, 也指現實世界與數字世界以幾乎任何可以想象到的方式實現互聯。我們正 見證一場徹底顛覆醫療裝置、交通運輸及農業等各個行業的數字化轉型。 數字化轉型不僅改變了幾乎所有事物的製造及使用方式,也帶來了前所未 有的安全風險。 資訊長和首席資訊保安官對未來三年將推動其採用新興技術的因素進 行了排名,提升安全能力位居榜首(64%),其次是加強資料隱私能力 (59%)和合規遵從能力(50%)。(報告來源:未來智庫)
互聯互通不斷加速
傳統上與網際網路隔絕的運營技術(OT)領域最近經歷了一波又一波的勒索軟體 攻擊。隨著越來越多的公司選擇遠端管理廠房和裝置,此等攻擊對生產的直接 影響引起了人們對互聯脆弱性的關注,而新冠疫情更是使得這一情況加劇。 重要的是要清楚,所有的互聯生態系統——醫療裝置、汽車乃至整個城市——都 有類似的風險特徵。醫療裝置可能是基於醫院原有的內部平臺而造,而現在藉助 網際網路便可在家使用。經互聯賦能的電動汽車有望在全球範圍內迅速取代化石燃 料汽車。互聯汽車需要分散於各地的眾多供應商提供零部件,但這些供應商可能 並未在其零部件中內建安全機制。隨著城市大力推動服務與關鍵基礎設施互聯, 其與雲服務供應商、平臺所有者等眾多第三方合作亦是勢在必行。上述情形均會 導致互聯生態系統的受攻擊面增大、風險倍增以及責任不明等情況發生。
雖不見,但相連
小型全數字化實體仍可從單一視角監控網路風險。但在短期內, 此舉對於擁有複雜互聯生態系統的大型實體而言已不可取。對此, 解決辦法是讓各方明確其許可權下運營流程的安全責任和問責機制。 即使沒有整體視角,但當各方均高效負責其生態系統的一環,提 高其安全性,則整體風險自然降低。 各企業達成整體安全目標的速度因技術型別及其複雜性而異,但 核心理念是有效涵蓋安全基本要素並安全地共享資訊。現在,解 決辦法很簡單。從長遠來看,企業應牢記,各區域之間若能保持 流程一致,將大大提高效率和效果。越早達成一致性,就能越快 達到更高的安全成熟度。集中式和分散式模型均能奏效,但它們 最終應該合併為一個綜合網路風險檢視。
業務核心
從治理角度來看,新興技術棧或將十分複雜,應委任安全事宜的 負責人,得到董事會的認可和支援,不僅有助於獲取和管理技術, 還有助於建立正確的戰略合作伙伴關係。與傳統IT不同的是,新 興技術與核心業務緊密相連,得到高管支援將變得更加容易。 舉例而言,如果一家制造企業的OT設施遭遇網路攻擊,人們很容 易看出該問題將很快超出首席資訊保安官的解決範疇。隨著生產 陷入停滯,運營主管即刻便感到擔憂,收入損失會令首席財務官 和執行長感到頭疼,負面報導亦會令首席營銷官感到困擾等 等。
安全即資產
上述情況說明,新興技術使企業業務管理者對網路安全的影響顯著提升。當前市 場環境日益互聯,若執行長想要提升產品銷量,構建安全機制可令其產品更 具競爭力。企業應將對安全機制的關注重點從成本增加轉向價值創造,這將開啟 如何減少業務中斷以推進改進流程的對話。當然,安全機制是必要的,儘管它是 討論基礎,但它也是次要論題。
著眼於行業網路安全
沒有萬能的解決方案
董事會、管理層以及網路風險管理者紛紛表示,網路風 險一直是各行業中排名前三的企業風險。所有行業愈發 意識到智慧財產權和客戶信任的脆弱性。 各行各業正紛紛踏上數字化轉型之路,而圍繞網路安全和諸多地域及其他因 素的監管成熟度仍有參差。雖然疫情期間湧現出許多共同主題,如供應鏈安 全和遠端辦公加速了對零信任安全架構的需求,但目前尚無可適用於所有行 業解決網路挑戰的萬能解決方案。 無論企業路在何方,保持對某些日益關鍵的領域的關注至關重要。為應對無 處不在的網路威脅,許多政府正加大監管力度,部署前沿安全措施已是勢在 必行。在法規還沒有涉及的領域,技術的日益互聯和個性化也迫使生態系統 在安全基礎上重新構建。最後,意識到所有行業的脆弱性可以促進資訊共 享——適應和學習其他行業的做法將變得愈發重要。
監管激增
網路攻擊已經導致某些行業的監管部門頻繁出臺新政。2021年5月,美國東 海岸最大的成品油管道運營商Colonial Pipeline遭遇勒索軟體攻擊,該事件 催生出一項要求能源公司加強網路安全的新行政指令。 在能源資源和工業(ER&I)領域,升級網路防禦的緊迫壓力與其他長期 行政指令(如脫碳)並存。例如:由於時間緊迫,美國近期修訂的2035 年目標——能源領域的轉型——將利用大規模的數字化加以實現。這包括 轉向5G和部署一系列互聯技術,而這些技術本身也對網路安全提出更高 要求。
個性化服務越多,風險越高
在生命科學與醫療領域,一種與患者直接互動的新型醫療服務模式正推動加強網路安全 的需求。醫療服務提供商為監測患者的治療進展,以及生命科學公司為提供以患者為中 心的服務,他們使用遠端裝置和應用程式以改善健康結果,此舉引發了人們對資料和隱 私保護的擔憂。 這種對應用程式的監控和使用可以快速積累彙集資料,賦能企業建立基於雲的資料湖以收 集有用資訊,從而最佳化研發、治療與支援以及產品釋出流程並提升患者便利性。這些技術 進步均可能帶來網路安全威脅。生態系統的設計和構建需要考慮到資料的保護、加密、匿 名化處理以及防止洩露。 總體而言,比起應對各地區不同監管要求這一難題,全球生命科學公司更擔心遭遇網路 攻擊。對於企業而言,與客戶溝透過程中建立並維持客戶信任非常重要;對於業務而言, 保護智慧財產權亦是至關重要。
知識共享
無處不在的網路威脅和疫情期間暴露出來的安全隱患改變了行內的資訊共享方式。儘管 遭遇網路攻擊事件必然會導致聲譽受損,但有企業認為主動公開事件詳情也具有價值和 意義,可以補救並修復品牌聲譽。企業已經意識到,閉口不談網路安全不僅不會帶來競 爭優勢,甚至還可能危及整個行業。 各國政府已經認識到採取集體防禦的重要性,並幫助建立了旨在共享資訊的公共的/私人 的合作伙伴關係(如美國成立了資訊共享與分析中心(ISACs))。其次,各大企業首席信 息安全官期望相互學習。雖然他們更多是與同行交流,但無論是金融服務、石油天然氣 行業,還是生命科學、製造業等行業,均開始出現跨行業交流。此外,擁有豐富的經驗 的首席資訊保安官們也經常從一個行業投身到另一行業。我們希望在不久的將來看到更 多跨行業和地域的交流與分享。
報告節選:
(本文僅供參考,不代表我們的任何投資建議。如需使用相關資訊,請參閱報告原文。)
精選報告來源:【未來智庫】。未來智庫 - 官方網站
