累积网新闻资讯
麦肯锡的数字业务安全策略
未来的经济社会,数位化特徵将越来越显着,世界上大部分组织机构都依赖着“信息资产”,这些信息资产,有些是结构化数据,有些是非结构化数据,例如客户数据、智慧财产权、商业计画,以及从客户服务到供应商付款的线上流程。
在当前的网路攻击挑战中,想要实现全球经济的持续创新和增长步伐,需要有力的变革。对于企业来说,必须由以往从控制功能的角度管理网路安全,过渡到将信息资产保护的措施融入业务流程及整个IT环境中。此外,监管者、技术供应商及执法部门应与企业合作,建立一个数位化适应力的生态系统。如此规模的变革与複杂性,需要资深的业务领导及决策者的组织与实现。
本书可极大地帮助安全从业人员、技术部门主管,为他们提供现实世界的安全防御成果的衡量标準。同时,本书也作为策略指南,向高层管理人员阐述网路安全对其所在组织机构的未来,以及企业的生存能力都是非常重要的。
政府公务员及行业监管者应将此书视为指南,制定周到、行之有效的政策及切合实际的管理规章,为企业提供更多的安全支持。
基本介绍
- 书名:麦肯锡的数字业务安全策略
- 作者:(美)詹姆斯 M.卡普兰(James M.Kaplan)图克·拜莱(Tucker Bailey)
- 原作品:Beyond Cybersecurity:Protecting Your Digital Business
- 译者:班晓芳
- ISBN:978-7-111-54921-5
- 页数:240页
- 定价:45.00
- 出版社:机械工业出版社
- 出版时间:201611
- 开本:16开
目录
推荐序
前 言
导 论
第1章 网路攻击危及公司的创新步伐 / 1
网路攻击风险降低了信息技术的价值 / 2
对每个人来说风险都很高,而且风险无处不在 / 9
防御者落后于攻击者 / 18
第2章 情况会好转,也可能变糟糕:3万亿美元经济损失 / 31
场景规划及网路安全 / 33
场景1:得过且过的未来 / 37
场景2:数字反弹 / 41
场景3:数位化适应力 / 47
第3章 优先考虑风险及目标保护 / 55
漫无目的的安全措施只是在为攻击者服务 / 56
制定信息资产及风险优先权,并让业务领导参与其中 / 59
给最重要的资产提供差别保护 / 69
使用全面控制进行分层 / 71
在实践中为优先权信息资产提供有针对性的保护 / 74
第4章 以数位化适应力方式经营生意 / 81
在所有业务过程中构建数位化适应力 / 82
让一线员工参与保护他们所使用的信息资产 / 93
第5章 将IT现代化,以确保IT安全性 / 103
将网路安全嵌入IT环雅套删抹境的六个方法 / 104
为实现所需的改变抹几碑页,与IT领导合作 / 121
第6章 採取主动防御措施对抗攻击者 / 125
被动防御措施的局限性 / 126
了解敌境说少人,採取相应的措施 / 128
第7章 遭遇攻击后:提升所有业务部门的应急回响能力 / 143
制订应急回响计画 / 145
利用模拟作战来测试计画 / 151
对真正的网路攻击进行事后分析以完善计画 / 156
第8章 构建起推动企业走向数位化适应力的项目 / 159
要实现数位化适应力需要什幺备催条件 / 160
推出数位化适应力项目的六步骤 / 166
第9章 创造有适应力的数位化生态系统 / 185
数位化生态系统 / 186
有适应力的数位化生态系统的影响力 / 187
创建有适应力的数位化生态系统需要什幺 / 191
为创造有适应力的生态系统而协作 / 195
结语 / 209
致谢 / 212
作者简介 / 213
推荐序
我们正处于一个科技创新涌现的时代,沟通、协作以及企业和机构的寻赠婚变革速度十分惊人。然而,在我们的生活、工作日益依赖于科技进步时,也出现了同样惊人的安全风险。如果你经常关注每日的安全漏洞新闻,就会了解科技带来的经济风险、经营风险以及信誉风险。
作者将自己多年的研究成果全部写入本书,详尽解释了当今社会造成很多网路不安全的原因,网路安全为何成为一个极为棘手的问题,问题为什幺变得越来越糟糕,以及企业、行业管理部门、政府部门应该採取哪些措施。重要的是,五位作者詹姆斯M.卡普兰(James M. Kaplan)、图克·拜莱(Tucker Bailey)、克里斯·雷策克(Chris Rezek)、德里克·奥哈洛伦(Derek O扝alloran)和阿兰·马库斯(Alan Marcus)不仅仅介绍了现今面临的网路安全风险,还详尽描述了如何缓解风险,并评估了如果不採取缓解措施可能导致的危害。
在调研过程中,我有机会了解他们的研究方法及初步结果。他们在全球诸多企业机构看到的事实,与我看到的或者我从RSA客户处听到的事情基本一致。在2014年RSA大会上,作者们将初步研究成果展示给来自欧洲、亚洲、美洲的各国代表,引起了大家的共鸣,一致同意本书所呈现的事实。让我感到振奋的是,会议中所有国家都认为当前大家共同合作解决网路安全问题非常必要。
从研究成果中可以看出,融合了云计算、移动网际网路、社交媒体技术的当代数位化商业发展迅速,大幅增加婆档市了组织机构的受攻击面,传统的安全边界(perimeter)不再是有效的防护。过去各机构与外部世界的屏障已被打破,网路边界呈现新的特点,即碎片化、飘忽不定且与区域网路关联紧密,致使我们原来依赖的安全控制效果大大降低。这就需要新的安全模型。本书作者推荐了一种基于数位化适应力(digital resilience)概念的多层次方法,目前一些世界领先公司已经开始使用,并很快接受了这个方法。
数位化适应力不仅是一种理论,也是一种策略,是在日益不安全的世界里带来真正安全的策略、过程以及控制的框架。首先,需要透过企业的业务目标、发展重点及关键资产,全面理解风险种类以及处理风险的必要性。其次,要在商界领霸棵篮袖群体中创建一种安全文化,使高级管理人员在商业决策时时刻想到安全,而非事后才想起安全的重要性。再次,要时刻做好应对任何来源的攻击,包括来自内部的威胁。为了及时应对不可避免的入侵,要採取必要的可视化手段、分析工具及动态控制措施。最后,要将所有这些因素有机地结合起来,创建起真正的深度防御体系。
但是,每个组织机构都不是孤立的岛屿,仅靠自己的努力很难成功抵御风险。作者认识到,这需要政府、监管者、供应商、行业共同组成生态系统,通力合作,形成一个保护生态系统的良好对策。
对于很多组织机构来说,网路安全这一话题仍旧是讳莫如深的,恐惧及绝望感瀰漫在很多组织机构。如本书作者在阐述持续的网路安全带来的经济影响时说道,因为恐惧及网路风险的不确定性,阻碍了企业採用创新性、有潜在变革性的技术,因此,由于对网路安全缺乏清晰认识所造成的影响要远超过目前我们面临的挑战。正如两次荣获诺贝尔奖的居里夫人所说:“生命中没有可畏惧的东西,它只是尚待理解。我们要更多、更充分地去了解,这样我们就少了畏惧。”
本书作者潜心研究,帮助人们加深这份理解,为读者提供必要的分析,指出了一条非常清晰、有说服力的路径,这条路通往安全的未来。
我相信,本书可以极大地帮助安全从业人员、技术部门主管,不仅让他们用现实世界的安全防御成果来作为衡量标準,而且,本书作为一种工具,向高层管理人员阐述了网路安全对其所在组织机构的未来以及企业的生存能力都是非常重要的。
政府公务员及行业监管者应将此书视为指南,制定周到、行之有效的政策及切合实际的管理规章,为企业提供更多的安全支持。
最后,本书对于高管及董事会成员来说也颇具价值,可帮助他们很好地理解所有组织机构面临的问题。我经常受邀在组织机构的董事会发言,讲述他们的网路安全现状与前景,在这些对话中,我时常总结自己的经验和世界各地客户的体验,现在,很感谢让我也能在这里与读者分享本书。
亚瑟W.科维洛(Arthur W. Coviello, Jr.)
EMC公司信息安全事业部RSA执行总裁
前言
未来10年,世界经济的发展进步依赖于数位化创造的数十万亿美元的价值。组织机构已经从拥有小规模自动化的系统,发展成为充分利用无处不在的网路连线、海量分析、低成本、高扩展性的技术平台。技术进步显着增加了不同级别客户的亲密度、业务操作的灵活度及决策者的洞察力。在银行业,这意味着几分钟内即可成功开户、批准按揭,而非几天甚至数周。在保险业,这意味着在大量分析数据的支持下,有更好的保险核保及更公平的价格。在航空及酒店领域,这意味着更高的透明度,为旅客减少一些麻烦。
当“一切都是数位化”时,私营、公共及民间机构就越来越依赖信息系统。当今世界是一个超级关联的世界,线上和移动业务增加了企业的安全脆弱性,企业更容易受到富有经验的网路罪犯、政治激进黑客甚至内部员工的攻击。只有当客户及企业在面临越来越强大的网路攻击时,仍对财务记录、患者数据及智慧财产权的机密性和可用性的安全保持信心,数位化进程才能成功。
要保持经济的持续发展,必须保护组织结构免受网路攻击的影响。在2014年达沃斯世界经济论坛年会上,论坛组织者与麦肯锡机构联合提出,要提升网路安全在高管中的关注度。我们一致认为,有两方面的关注度至关重要:一是要充分认识到企业遭受网路攻击后的战略影响和经济影响,另一种是要制定企业获得数位化适应力的规划,即规划整个网路安全生态系统中所有参与者应该怎幺做,特别注重如何将网路安全作为一个商业问题而非技术问题来解决。
经过採访、调查以及参加由数百个组织机构高管参加的工作会议,我们发现了以下几个问题:
第一,如果组织机构在保护自己的方式以及外部支持方面没有巨大变化,网路攻击风险将降低人们对数字经济的信任和信心,到2020年,数字经济所能创造的价值将降低3万亿美元。为应对此问题,全球的组织机构需要提升数位化适应力,只有这样,才能从超级关联的世界中获取价值,即使是冒着业务中断、智慧财产权(IP)流失、声誉损失、网路欺诈等风险。
第二,虽然各公司都一致认识到提升数位化适应力要採取的措施,但并没有儘快落实到位。要提升数位化适应力,公司应将网路安全深度整合到现有业务流程及信息技术(IT)环境中。然而目前大多数公司仍将网路安全视为一种控制功能(control function),这不仅导致保护信息资产的安全需求与数位化进程之间产生冲突,而且还与从技术投资中获取价值的需求发生冲突。即使是最大型、资金最充裕的机构,其网路安全项目也设计得相对落后,它们仅从技术控制入手,而不是控制商业风险,因而没能推动更广泛的组织机构层面和业务流程产生必要的变化。
第三,公司若要提升数位化适应力,需要增强网路安全团队与业务团队之间的协作,让企业IT部门更加注重适应性,大幅提升网路安全功能的技能与水平,唯有执行长及高级管理层才能推动如此大规模的变革。
除了公司自身,其他组织结构都不可能解救公司于网路攻击,但是监管者、执法机关、国防及安全部门、技术供应商及行业协会等机构能够在一个数字生态系统中起到重要作用,可显着提升公司的数位化适应力。目前人们对公司如何保护自身安全有很多一致性看法和对策,但对于如何建设更广泛的数字生态系统,一致性意见较少。此时公共、私营、非营利机构等之间的相互协作将变得至关重要。
建立数位化适应力的前提
在考虑数位化适应力之前,首先要理解网路攻击与网路安全,以及它们与数字生态系统的关係。
网路攻击:面临的多种业务风险
在数位化特徵越来越明显的经济社会中,世界上大部分组织机构都依赖着“信息资产”,这些信息资产,有些是结构化数据,有些是非结构化数据,例如客户数据、智慧财产权、商业计画,以及从客户服务到供应商付款的线上流程。针对这些信息资产的网路攻击,有些是出于攻击者个人炫耀的目的,有些是为了经济利益,而有些则是出于国家政治利益。一般普通老百姓主要关注智慧财产权侵犯、信用卡数据窃取等信息,但对企业来说,需要考虑更多的潜在风险。
网路安全:公司如何保护自己
虽然企业面临着经营目标、资源限制、合规性要求等压力,但网路安全1仍然是组织机构避免受到网路攻击而应採取的一项业务功能。它包含三个方面:风险管理功能、影响功能及交付(delivery)功能。
首先,网路安全本质上是风险管理,因为没有办法阻止所有网路攻击的发生。正如一位首席信息安全官(CISO)所说:“我的工作不是降低风险,而是让企业能够明智地接受一些风险。”
如果公司打算採用新的客户移动服务平台,就要承担相应的风险。因为新型移动平台给攻击者获取公司数据提供了新途径。但如果公司希望这个平台能提高每个客户的平均收入,那幺作为风险管理者,就需要帮助企业领导权衡网路安全风险。CISO应回答以下问题:
採用新型移动平台将带来哪些安全风险,业务经营收益是否能说明安全风险是可接受的。
在设计平台时,如何既保证平台业务数据丢失风险降到最低,又保证良好的客户体验(进而产生好的业务影响)。
其次,网路安全工作具有影响作用。CISO和企业领导共同商讨企业安全风险与投资回报之间的关係后,企业各个部门再採取相应的执行措施:採购团队就安全需求进行谈判并写入契约;管理者必须限制机密档案的分发範围;开发人员要设计安全的套用软体,编写安全的代码。网路安全工作必然涉及大量的利益相关者,其中有些工作需要按照法律法规开展,有些工作则需要採取更为贴合的、更有效果的措施。
最后,网路安全具有交付作用,包括管理防火墙、入侵检测、恶意软体检测、身份管理和準入管理等技术,也要管理一些保护信息资产和线上流程安全的行为,如採集和分析威胁情报、取证分析。
业务功能的网路安全不同于组织机构功能的网路安全。一家公司可能将所有或大部分风险管理、影响及交付活动整合到单一的网路安全团队或分布到几个组织机构里。
数字生态系统:公司不能仅靠一己之力保护自己
组织机构首先要保证自己安全,才能为庞大的数字生态系统提供安全保护(见图0-1)。数字生态系统包括:
企业客户:企业客户连线到企业网路中处理业务增加了便利性,但也增加了企业的安全风险。攻击者可能会利用客户的IT环境作为入侵企业网路的途径。同时,企业客户也会担心企业是如何保护自己的数据的。这两种情况对企业安全保护能力提出了更高的要求。
零售客户:相对于企业客户,普通消费者对网路风险没有那幺敏感,不过,企业保护数据的方式可能已经影响他们的购买决定了。
企业供应商:某种情况下,律师事务所、会计师事务所、银行、业务流程外包服务商等供应商将会掌握公司最敏感的数据。考虑到公司网路的互联性,供应商网路也可能成为攻击入口点。
技术供应商:供应商既能提供风险控制,但同时也是风险引入源。我们购买的任何技术都可能有安全缺陷,出现让攻击者有机可乘的弱点。技术供应商可提供能让公司降低风险的商品和服务,通过消除漏洞、分析网路攻击等方式降低风险,保护企业的技术环境。
政府部门:公共部门在影响网路安全环境中扮演着多重角色,包括调查攻击、起诉攻击者、规範私营公司,有时要求企业採取特别保护措施,批准企业网路安全策略。它们也调整法律、开展安全研究、分享情报或传播安全技术。
民间团体:从行业协会到标準制定机构和倡议组织,有大量民间团体参与到数字生态系统中。
保险公司:网路保险尚处于早期阶段,但即使在今天,有些保险公司为了换取保险费,愿意承接企业的网路攻击风险。
什幺是数位化适应力
高管们有时会问首席信息官(CIO)和首席信息安全官(CISO),网路安全何时会得到解决、网路攻击的风险何时能远去、何时能不再为此担心。有时,他们会将这些与民航业务类比。在喷气机时代,会发生一些可怕的事故,现在,航空公司非常注重安全,搭乘计程车前往机场却成为飞机旅行最危险的一个环节。
或许拿开车来比喻网路安全更合适。比起民航出行风险,开车是更多人利用更多车辆从事更为广泛的活动,风险更大。我们可以通过提高最低驾车年龄至30岁、限制最高时速25英里,把机动车事故降至几乎为零,然而如果这样做,这种个人出行交通方式就遭到毁灭性打击。
如果一位银行业CEO不用担心市场风险和信用风险,他就绝不会询问有关事情。但他明白他所在的机构是通过接受这些风险来换取有经济收益的业务的,因此,他的业务需要了解市场风险、信用风险以及其他风险,并在有潜在收益的情况下,适当地管理这些风险。
考虑到当前社会数位化程度越来越高,科技创新速度加快,攻击者可能超出执法机关的控制等情况,我们不能期望很快消除网路攻击对世界经济的影响。不过,企业和全球经济体可寄希望于达到数位化适应力的状态,包括:
应了解网路攻击的风险,并且能做出恰当的商业决策。通过经济收益证明,不断递增的风险是可以接受的。
应坚信网路攻击风险是可以控制的,网路攻击风险不会将公司置于风险高位。
消费者与企业应对线上业务有信心—信息资产面临的风险及线上欺诈风险并不会阻碍电子商务的发展。
网路攻击风险不会阻碍公司的技术创新步伐。
在这样的背景下,世界经济论坛和麦肯锡谘询公司已经开展合作,了解如何帮助企业与国家都达到自己的安全期望。
背景与方法
自2011年以来,“超级互联世界中的风险与责任”成为世界经济论坛的一个议题。2012年年中,该论坛又与近百家公司合作签署了《网路适应力标準》。标準中要求各参与公司承担起义务,要认识到自己在促进弹性数字经济中能够发挥的作用,并制订实用、有效的实施计画。该标準也鼓励高级管理层增强风险意识,提高对网路风险的管理能力,并且在适当的情况下,促使供应商和客户对弹性数字经济具有同样的认识。
2014年达沃斯世界经济论坛中,麦肯锡受邀对论坛高层管理人员进行辅导,以提升应对网路攻击、网路安全及行业数位化适应力的管理水平,行业不仅局限于技术与通信,还包括金融服务、製造业、生活消费品、交通运输、能源及公营部门。
麦肯锡与该论坛共同认为,该项目的最佳成果是形成了一套网路攻击战略定位和经济定位的真实观点,以及一份计画—网路安全生态系统中的所有参与者都应制订如何实现数位化适应力的计画,更重要的是,让高层管理者将网路安全看作一个业务问题,而非技术问题。
我们从2013年晚春开始收集数据,在夏、秋季节构思并验证我们的假设,2014年达沃斯世界经济论坛年会上我们分享了成果。
事实基础
通过採访180多位CIO、CISO、首席技术官(CTO)、首席风险官(CRO)、业务部门主管、监管者、政策制定者、技术供应商,我们获得了生态系统中所有参与者对网路安全整体环境理解的信息。此外,通过对近百个企业技术用户的调查,我们清晰地了解到业务风险、环境威胁及一系列措施的潜在影响。最后,有超过60家世界500强企业参与了针对网路安全风险管理实践的详细调查(见表0-2)。
不同场景与经济影响
我们从被採访人的观点中发现,在未来5~7年网路安全环境如何变化由20多种因素决定,可以概括为威胁的强度及应急回响的质量这两个巨观类别,未来可能出现三种网路安全场景:对网路安全环境不了解、网路安全环境受到强烈攻击、网路安全环境具有数字适应性。
基于来自採访及调查研究中的信息,我们估计了每个场景将如何影响云计算、移动网际网路、物联网等一系列重要科技创新的套用,以及对价值创造的影响程度。
实现数位化适应力的关键措施
在採访及调查研究中,网路安全生态系统中每个参与者已经採取哪些最重要措施,是我们特别关注的,尤为注重公司在自我保护时,在所有业务功能中会採取什幺措施。
在定义安全场景、评估经济影响和识别关键措施的时候,我们都会将偶然发现与几十位CIO、CISO、决策者及其他相关高管一起评审。我们会在硅谷、日内瓦及华盛顿等地的工作会上,麦肯锡组织召开的执行官圆桌会议,大连举行的世界经济论坛新领军者年会上进行这些评审工作。
2014年1月26日,我们将自己的研究成果总结髮表在一份报告中3,并且,在达沃斯世界经济论坛的召开过程中,我们与80多位高管及决策者在非公开会议中讨论了我们的研究成果。目前,已有证据表明研究成果逐渐达到了预期目标。《CSO杂誌》解释,我们估计的3万亿美元经济影响“吸引了每个人的注意,原因在于,这看上去不仅仅是直接损失,还有因企业和个人迴避‘数位化’而未能实现的价值创造值”。
我们展示了研究成果后,麦肯锡及世界经济论坛就开始着手研究要实现数位化适应力需要开展哪些工作。在支持重要机构制定网路安全策略、实施网路安全项目的基础上,麦肯锡进一步帮助企业机构明确应採取的自我保护措施。同时,世界经济论坛举行了数十次有几百家公司参与的工作会议,目的是在网路安全生态系统所有参与者中构建起相互协作支持的关係,达成数位化适应力。
作者简介
詹姆斯 M.卡普兰(James M.Kaplan)
詹姆斯是麦肯锡谘询公司商务技术与金融服务部门的合伙人,主管麦肯锡全球IT基础设施与网路安全事务,为银行、医疗保健公司、技术企业、保险公司及製造商提供服务,帮助它们从商务技术中获得最大的价值。詹姆斯曾为《麦肯锡季刊》、麦肯锡商务技术、金融时报互联业务、《华尔街日报》《哈佛商业评论》等媒体撰稿。他拥有布朗大学历史学士学位、宾夕法尼亚大学沃顿商学院MBA学位。
图克·拜莱(Tucker Bailey)
图克是麦肯锡商务技术办公室的合伙人,该办公室地点位于华盛顿特区,他主要负责国防、安全及IT议题。他曾为诸多《财富》500强公司及公共部门客户提供一系列IT服务,负责麦肯锡在北美的网路安全工作。在麦肯锡工作之前,图克在美国海军任信息统领作战官及海军犯罪调查局的特工。他拥有杜克大学土木工程与政治科学专业的理学士学位及哈佛商学院的MBA学位。
德里克·奥哈洛伦(Derek O'Halloran)
德里克是世界经济论坛信息技术产业的负责人,负责由企业CEO构成的世界领先IT企业团体,为很多企业制订技术规划。他负责管理未来软体与社会及未来电子产品全球议程委员会,该委员会召开整个行业生态系统中的领导人及思想领袖会议。德里克拥有哥伦比亚大学国际和公共事务学院的国际金融与经济政策专业公共行政学硕士及爱丁堡大学哲学专业荣誉文学硕士,也是世界经济论坛全球领导人才培训计画的毕业生。
阿兰·马库斯(Alan Marcus)
阿兰是世界经济论坛资讯科技及通信产业的高级主管及负责人,他曾在亚太、北美、欧洲及中东地区担任过工程师与市场行销、市场开发方面的高级管理职位。他拥有新泽西州罗格斯大学的计算机科学与工程专业理学士学位及加州大学伯克利分校的通信工程专业硕士学位。
克里斯·雷策克(Chris Rezek)
克里斯是波士顿麦肯锡公司的高级专家顾问,是该公司风险管理与商务技术团队一员,是网路安全事务的核心领导者,为银行、製造商等企业管理信息风险,为投资者及技术企业提供网路安全产品市场战略谘询服务。克里斯帮助云安全联盟、国际金融研究所制定了有关云风险管理及风险技术与操作的最佳实践。他拥有麻省理工学院的理学士学位及耶鲁大学的MBA学位,他与家人一起住在波士顿。
第9章 创造有适应力的数位化生态系统 / 185
数位化生态系统 / 186
有适应力的数位化生态系统的影响力 / 187
创建有适应力的数位化生态系统需要什幺 / 191
为创造有适应力的生态系统而协作 / 195
结语 / 209
致谢 / 212
作者简介 / 213
推荐序
我们正处于一个科技创新涌现的时代,沟通、协作以及企业和机构的变革速度十分惊人。然而,在我们的生活、工作日益依赖于科技进步时,也出现了同样惊人的安全风险。如果你经常关注每日的安全漏洞新闻,就会了解科技带来的经济风险、经营风险以及信誉风险。
作者将自己多年的研究成果全部写入本书,详尽解释了当今社会造成很多网路不安全的原因,网路安全为何成为一个极为棘手的问题,问题为什幺变得越来越糟糕,以及企业、行业管理部门、政府部门应该採取哪些措施。重要的是,五位作者詹姆斯M.卡普兰(James M. Kaplan)、图克·拜莱(Tucker Bailey)、克里斯·雷策克(Chris Rezek)、德里克·奥哈洛伦(Derek O扝alloran)和阿兰·马库斯(Alan Marcus)不仅仅介绍了现今面临的网路安全风险,还详尽描述了如何缓解风险,并评估了如果不採取缓解措施可能导致的危害。
在调研过程中,我有机会了解他们的研究方法及初步结果。他们在全球诸多企业机构看到的事实,与我看到的或者我从RSA客户处听到的事情基本一致。在2014年RSA大会上,作者们将初步研究成果展示给来自欧洲、亚洲、美洲的各国代表,引起了大家的共鸣,一致同意本书所呈现的事实。让我感到振奋的是,会议中所有国家都认为当前大家共同合作解决网路安全问题非常必要。
从研究成果中可以看出,融合了云计算、移动网际网路、社交媒体技术的当代数位化商业发展迅速,大幅增加了组织机构的受攻击面,传统的安全边界(perimeter)不再是有效的防护。过去各机构与外部世界的屏障已被打破,网路边界呈现新的特点,即碎片化、飘忽不定且与区域网路关联紧密,致使我们原来依赖的安全控制效果大大降低。这就需要新的安全模型。本书作者推荐了一种基于数位化适应力(digital resilience)概念的多层次方法,目前一些世界领先公司已经开始使用,并很快接受了这个方法。
数位化适应力不仅是一种理论,也是一种策略,是在日益不安全的世界里带来真正安全的策略、过程以及控制的框架。首先,需要透过企业的业务目标、发展重点及关键资产,全面理解风险种类以及处理风险的必要性。其次,要在商界领袖群体中创建一种安全文化,使高级管理人员在商业决策时时刻想到安全,而非事后才想起安全的重要性。再次,要时刻做好应对任何来源的攻击,包括来自内部的威胁。为了及时应对不可避免的入侵,要採取必要的可视化手段、分析工具及动态控制措施。最后,要将所有这些因素有机地结合起来,创建起真正的深度防御体系。
但是,每个组织机构都不是孤立的岛屿,仅靠自己的努力很难成功抵御风险。作者认识到,这需要政府、监管者、供应商、行业共同组成生态系统,通力合作,形成一个保护生态系统的良好对策。
对于很多组织机构来说,网路安全这一话题仍旧是讳莫如深的,恐惧及绝望感瀰漫在很多组织机构。如本书作者在阐述持续的网路安全带来的经济影响时说道,因为恐惧及网路风险的不确定性,阻碍了企业採用创新性、有潜在变革性的技术,因此,由于对网路安全缺乏清晰认识所造成的影响要远超过目前我们面临的挑战。正如两次荣获诺贝尔奖的居里夫人所说:“生命中没有可畏惧的东西,它只是尚待理解。我们要更多、更充分地去了解,这样我们就少了畏惧。”
本书作者潜心研究,帮助人们加深这份理解,为读者提供必要的分析,指出了一条非常清晰、有说服力的路径,这条路通往安全的未来。
我相信,本书可以极大地帮助安全从业人员、技术部门主管,不仅让他们用现实世界的安全防御成果来作为衡量标準,而且,本书作为一种工具,向高层管理人员阐述了网路安全对其所在组织机构的未来以及企业的生存能力都是非常重要的。
政府公务员及行业监管者应将此书视为指南,制定周到、行之有效的政策及切合实际的管理规章,为企业提供更多的安全支持。
最后,本书对于高管及董事会成员来说也颇具价值,可帮助他们很好地理解所有组织机构面临的问题。我经常受邀在组织机构的董事会发言,讲述他们的网路安全现状与前景,在这些对话中,我时常总结自己的经验和世界各地客户的体验,现在,很感谢让我也能在这里与读者分享本书。
亚瑟W.科维洛(Arthur W. Coviello, Jr.)
EMC公司信息安全事业部RSA执行总裁
前言
未来10年,世界经济的发展进步依赖于数位化创造的数十万亿美元的价值。组织机构已经从拥有小规模自动化的系统,发展成为充分利用无处不在的网路连线、海量分析、低成本、高扩展性的技术平台。技术进步显着增加了不同级别客户的亲密度、业务操作的灵活度及决策者的洞察力。在银行业,这意味着几分钟内即可成功开户、批准按揭,而非几天甚至数周。在保险业,这意味着在大量分析数据的支持下,有更好的保险核保及更公平的价格。在航空及酒店领域,这意味着更高的透明度,为旅客减少一些麻烦。
当“一切都是数位化”时,私营、公共及民间机构就越来越依赖信息系统。当今世界是一个超级关联的世界,线上和移动业务增加了企业的安全脆弱性,企业更容易受到富有经验的网路罪犯、政治激进黑客甚至内部员工的攻击。只有当客户及企业在面临越来越强大的网路攻击时,仍对财务记录、患者数据及智慧财产权的机密性和可用性的安全保持信心,数位化进程才能成功。
要保持经济的持续发展,必须保护组织结构免受网路攻击的影响。在2014年达沃斯世界经济论坛年会上,论坛组织者与麦肯锡机构联合提出,要提升网路安全在高管中的关注度。我们一致认为,有两方面的关注度至关重要:一是要充分认识到企业遭受网路攻击后的战略影响和经济影响,另一种是要制定企业获得数位化适应力的规划,即规划整个网路安全生态系统中所有参与者应该怎幺做,特别注重如何将网路安全作为一个商业问题而非技术问题来解决。
经过採访、调查以及参加由数百个组织机构高管参加的工作会议,我们发现了以下几个问题:
第一,如果组织机构在保护自己的方式以及外部支持方面没有巨大变化,网路攻击风险将降低人们对数字经济的信任和信心,到2020年,数字经济所能创造的价值将降低3万亿美元。为应对此问题,全球的组织机构需要提升数位化适应力,只有这样,才能从超级关联的世界中获取价值,即使是冒着业务中断、智慧财产权(IP)流失、声誉损失、网路欺诈等风险。
第二,虽然各公司都一致认识到提升数位化适应力要採取的措施,但并没有儘快落实到位。要提升数位化适应力,公司应将网路安全深度整合到现有业务流程及信息技术(IT)环境中。然而目前大多数公司仍将网路安全视为一种控制功能(control function),这不仅导致保护信息资产的安全需求与数位化进程之间产生冲突,而且还与从技术投资中获取价值的需求发生冲突。即使是最大型、资金最充裕的机构,其网路安全项目也设计得相对落后,它们仅从技术控制入手,而不是控制商业风险,因而没能推动更广泛的组织机构层面和业务流程产生必要的变化。
第三,公司若要提升数位化适应力,需要增强网路安全团队与业务团队之间的协作,让企业IT部门更加注重适应性,大幅提升网路安全功能的技能与水平,唯有执行长及高级管理层才能推动如此大规模的变革。
除了公司自身,其他组织结构都不可能解救公司于网路攻击,但是监管者、执法机关、国防及安全部门、技术供应商及行业协会等机构能够在一个数字生态系统中起到重要作用,可显着提升公司的数位化适应力。目前人们对公司如何保护自身安全有很多一致性看法和对策,但对于如何建设更广泛的数字生态系统,一致性意见较少。此时公共、私营、非营利机构等之间的相互协作将变得至关重要。
建立数位化适应力的前提
在考虑数位化适应力之前,首先要理解网路攻击与网路安全,以及它们与数字生态系统的关係。
网路攻击:面临的多种业务风险
在数位化特徵越来越明显的经济社会中,世界上大部分组织机构都依赖着“信息资产”,这些信息资产,有些是结构化数据,有些是非结构化数据,例如客户数据、智慧财产权、商业计画,以及从客户服务到供应商付款的线上流程。针对这些信息资产的网路攻击,有些是出于攻击者个人炫耀的目的,有些是为了经济利益,而有些则是出于国家政治利益。一般普通老百姓主要关注智慧财产权侵犯、信用卡数据窃取等信息,但对企业来说,需要考虑更多的潜在风险。
网路安全:公司如何保护自己
虽然企业面临着经营目标、资源限制、合规性要求等压力,但网路安全1仍然是组织机构避免受到网路攻击而应採取的一项业务功能。它包含三个方面:风险管理功能、影响功能及交付(delivery)功能。
首先,网路安全本质上是风险管理,因为没有办法阻止所有网路攻击的发生。正如一位首席信息安全官(CISO)所说:“我的工作不是降低风险,而是让企业能够明智地接受一些风险。”
如果公司打算採用新的客户移动服务平台,就要承担相应的风险。因为新型移动平台给攻击者获取公司数据提供了新途径。但如果公司希望这个平台能提高每个客户的平均收入,那幺作为风险管理者,就需要帮助企业领导权衡网路安全风险。CISO应回答以下问题:
採用新型移动平台将带来哪些安全风险,业务经营收益是否能说明安全风险是可接受的。
在设计平台时,如何既保证平台业务数据丢失风险降到最低,又保证良好的客户体验(进而产生好的业务影响)。
其次,网路安全工作具有影响作用。CISO和企业领导共同商讨企业安全风险与投资回报之间的关係后,企业各个部门再採取相应的执行措施:採购团队就安全需求进行谈判并写入契约;管理者必须限制机密档案的分发範围;开发人员要设计安全的套用软体,编写安全的代码。网路安全工作必然涉及大量的利益相关者,其中有些工作需要按照法律法规开展,有些工作则需要採取更为贴合的、更有效果的措施。
最后,网路安全具有交付作用,包括管理防火墙、入侵检测、恶意软体检测、身份管理和準入管理等技术,也要管理一些保护信息资产和线上流程安全的行为,如採集和分析威胁情报、取证分析。
业务功能的网路安全不同于组织机构功能的网路安全。一家公司可能将所有或大部分风险管理、影响及交付活动整合到单一的网路安全团队或分布到几个组织机构里。
数字生态系统:公司不能仅靠一己之力保护自己
组织机构首先要保证自己安全,才能为庞大的数字生态系统提供安全保护(见图0-1)。数字生态系统包括:
企业客户:企业客户连线到企业网路中处理业务增加了便利性,但也增加了企业的安全风险。攻击者可能会利用客户的IT环境作为入侵企业网路的途径。同时,企业客户也会担心企业是如何保护自己的数据的。这两种情况对企业安全保护能力提出了更高的要求。
零售客户:相对于企业客户,普通消费者对网路风险没有那幺敏感,不过,企业保护数据的方式可能已经影响他们的购买决定了。
企业供应商:某种情况下,律师事务所、会计师事务所、银行、业务流程外包服务商等供应商将会掌握公司最敏感的数据。考虑到公司网路的互联性,供应商网路也可能成为攻击入口点。
技术供应商:供应商既能提供风险控制,但同时也是风险引入源。我们购买的任何技术都可能有安全缺陷,出现让攻击者有机可乘的弱点。技术供应商可提供能让公司降低风险的商品和服务,通过消除漏洞、分析网路攻击等方式降低风险,保护企业的技术环境。
政府部门:公共部门在影响网路安全环境中扮演着多重角色,包括调查攻击、起诉攻击者、规範私营公司,有时要求企业採取特别保护措施,批准企业网路安全策略。它们也调整法律、开展安全研究、分享情报或传播安全技术。
民间团体:从行业协会到标準制定机构和倡议组织,有大量民间团体参与到数字生态系统中。
保险公司:网路保险尚处于早期阶段,但即使在今天,有些保险公司为了换取保险费,愿意承接企业的网路攻击风险。
什幺是数位化适应力
高管们有时会问首席信息官(CIO)和首席信息安全官(CISO),网路安全何时会得到解决、网路攻击的风险何时能远去、何时能不再为此担心。有时,他们会将这些与民航业务类比。在喷气机时代,会发生一些可怕的事故,现在,航空公司非常注重安全,搭乘计程车前往机场却成为飞机旅行最危险的一个环节。
或许拿开车来比喻网路安全更合适。比起民航出行风险,开车是更多人利用更多车辆从事更为广泛的活动,风险更大。我们可以通过提高最低驾车年龄至30岁、限制最高时速25英里,把机动车事故降至几乎为零,然而如果这样做,这种个人出行交通方式就遭到毁灭性打击。
如果一位银行业CEO不用担心市场风险和信用风险,他就绝不会询问有关事情。但他明白他所在的机构是通过接受这些风险来换取有经济收益的业务的,因此,他的业务需要了解市场风险、信用风险以及其他风险,并在有潜在收益的情况下,适当地管理这些风险。
考虑到当前社会数位化程度越来越高,科技创新速度加快,攻击者可能超出执法机关的控制等情况,我们不能期望很快消除网路攻击对世界经济的影响。不过,企业和全球经济体可寄希望于达到数位化适应力的状态,包括:
应了解网路攻击的风险,并且能做出恰当的商业决策。通过经济收益证明,不断递增的风险是可以接受的。
应坚信网路攻击风险是可以控制的,网路攻击风险不会将公司置于风险高位。
消费者与企业应对线上业务有信心—信息资产面临的风险及线上欺诈风险并不会阻碍电子商务的发展。
网路攻击风险不会阻碍公司的技术创新步伐。
在这样的背景下,世界经济论坛和麦肯锡谘询公司已经开展合作,了解如何帮助企业与国家都达到自己的安全期望。
背景与方法
自2011年以来,“超级互联世界中的风险与责任”成为世界经济论坛的一个议题。2012年年中,该论坛又与近百家公司合作签署了《网路适应力标準》。标準中要求各参与公司承担起义务,要认识到自己在促进弹性数字经济中能够发挥的作用,并制订实用、有效的实施计画。该标準也鼓励高级管理层增强风险意识,提高对网路风险的管理能力,并且在适当的情况下,促使供应商和客户对弹性数字经济具有同样的认识。
2014年达沃斯世界经济论坛中,麦肯锡受邀对论坛高层管理人员进行辅导,以提升应对网路攻击、网路安全及行业数位化适应力的管理水平,行业不仅局限于技术与通信,还包括金融服务、製造业、生活消费品、交通运输、能源及公营部门。
麦肯锡与该论坛共同认为,该项目的最佳成果是形成了一套网路攻击战略定位和经济定位的真实观点,以及一份计画—网路安全生态系统中的所有参与者都应制订如何实现数位化适应力的计画,更重要的是,让高层管理者将网路安全看作一个业务问题,而非技术问题。
我们从2013年晚春开始收集数据,在夏、秋季节构思并验证我们的假设,2014年达沃斯世界经济论坛年会上我们分享了成果。
事实基础
通过採访180多位CIO、CISO、首席技术官(CTO)、首席风险官(CRO)、业务部门主管、监管者、政策制定者、技术供应商,我们获得了生态系统中所有参与者对网路安全整体环境理解的信息。此外,通过对近百个企业技术用户的调查,我们清晰地了解到业务风险、环境威胁及一系列措施的潜在影响。最后,有超过60家世界500强企业参与了针对网路安全风险管理实践的详细调查(见表0-2)。
不同场景与经济影响
我们从被採访人的观点中发现,在未来5~7年网路安全环境如何变化由20多种因素决定,可以概括为威胁的强度及应急回响的质量这两个巨观类别,未来可能出现三种网路安全场景:对网路安全环境不了解、网路安全环境受到强烈攻击、网路安全环境具有数字适应性。
基于来自採访及调查研究中的信息,我们估计了每个场景将如何影响云计算、移动网际网路、物联网等一系列重要科技创新的套用,以及对价值创造的影响程度。
实现数位化适应力的关键措施
在採访及调查研究中,网路安全生态系统中每个参与者已经採取哪些最重要措施,是我们特别关注的,尤为注重公司在自我保护时,在所有业务功能中会採取什幺措施。
在定义安全场景、评估经济影响和识别关键措施的时候,我们都会将偶然发现与几十位CIO、CISO、决策者及其他相关高管一起评审。我们会在硅谷、日内瓦及华盛顿等地的工作会上,麦肯锡组织召开的执行官圆桌会议,大连举行的世界经济论坛新领军者年会上进行这些评审工作。
2014年1月26日,我们将自己的研究成果总结髮表在一份报告中3,并且,在达沃斯世界经济论坛的召开过程中,我们与80多位高管及决策者在非公开会议中讨论了我们的研究成果。目前,已有证据表明研究成果逐渐达到了预期目标。《CSO杂誌》解释,我们估计的3万亿美元经济影响“吸引了每个人的注意,原因在于,这看上去不仅仅是直接损失,还有因企业和个人迴避‘数位化’而未能实现的价值创造值”。
我们展示了研究成果后,麦肯锡及世界经济论坛就开始着手研究要实现数位化适应力需要开展哪些工作。在支持重要机构制定网路安全策略、实施网路安全项目的基础上,麦肯锡进一步帮助企业机构明确应採取的自我保护措施。同时,世界经济论坛举行了数十次有几百家公司参与的工作会议,目的是在网路安全生态系统所有参与者中构建起相互协作支持的关係,达成数位化适应力。
作者简介
詹姆斯 M.卡普兰(James M.Kaplan)
詹姆斯是麦肯锡谘询公司商务技术与金融服务部门的合伙人,主管麦肯锡全球IT基础设施与网路安全事务,为银行、医疗保健公司、技术企业、保险公司及製造商提供服务,帮助它们从商务技术中获得最大的价值。詹姆斯曾为《麦肯锡季刊》、麦肯锡商务技术、金融时报互联业务、《华尔街日报》《哈佛商业评论》等媒体撰稿。他拥有布朗大学历史学士学位、宾夕法尼亚大学沃顿商学院MBA学位。
图克·拜莱(Tucker Bailey)
图克是麦肯锡商务技术办公室的合伙人,该办公室地点位于华盛顿特区,他主要负责国防、安全及IT议题。他曾为诸多《财富》500强公司及公共部门客户提供一系列IT服务,负责麦肯锡在北美的网路安全工作。在麦肯锡工作之前,图克在美国海军任信息统领作战官及海军犯罪调查局的特工。他拥有杜克大学土木工程与政治科学专业的理学士学位及哈佛商学院的MBA学位。
德里克·奥哈洛伦(Derek O'Halloran)
德里克是世界经济论坛信息技术产业的负责人,负责由企业CEO构成的世界领先IT企业团体,为很多企业制订技术规划。他负责管理未来软体与社会及未来电子产品全球议程委员会,该委员会召开整个行业生态系统中的领导人及思想领袖会议。德里克拥有哥伦比亚大学国际和公共事务学院的国际金融与经济政策专业公共行政学硕士及爱丁堡大学哲学专业荣誉文学硕士,也是世界经济论坛全球领导人才培训计画的毕业生。
阿兰·马库斯(Alan Marcus)
阿兰是世界经济论坛资讯科技及通信产业的高级主管及负责人,他曾在亚太、北美、欧洲及中东地区担任过工程师与市场行销、市场开发方面的高级管理职位。他拥有新泽西州罗格斯大学的计算机科学与工程专业理学士学位及加州大学伯克利分校的通信工程专业硕士学位。
克里斯·雷策克(Chris Rezek)
克里斯是波士顿麦肯锡公司的高级专家顾问,是该公司风险管理与商务技术团队一员,是网路安全事务的核心领导者,为银行、製造商等企业管理信息风险,为投资者及技术企业提供网路安全产品市场战略谘询服务。克里斯帮助云安全联盟、国际金融研究所制定了有关云风险管理及风险技术与操作的最佳实践。他拥有麻省理工学院的理学士学位及耶鲁大学的MBA学位,他与家人一起住在波士顿。
转载请注明出处累积网 » 麦肯锡的数字业务安全策略