企業(yè)網(wǎng)絡(luò)安全要點(diǎn)分析報(bào)告

1、共同關(guān)注：2020網(wǎng)絡(luò)安全要點(diǎn)網(wǎng)絡(luò)安全威脅日益嚴(yán)重保護(hù)經(jīng)營(yíng)環(huán)境，你準(zhǔn)備好了嗎？三持續(xù)有效的網(wǎng)絡(luò)空間安全性管理需要將事件處理、業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計(jì)劃統(tǒng)一協(xié)調(diào)起來，這需要整個(gè)企業(yè)從前臺(tái)到后臺(tái)的全方位合作。Akhilesh Tuteja企業(yè)經(jīng)營(yíng)不斷變化，第四次工業(yè)革命蓬勃發(fā)展。隨著董事會(huì)想方設(shè)法利用數(shù)字經(jīng)濟(jì)的潛力，打造新的客戶體驗(yàn)，進(jìn)行服務(wù)轉(zhuǎn)型，推動(dòng)效率提升和成本節(jié)約，數(shù)據(jù)已成為企業(yè)的生命線。新業(yè)務(wù)模式、新技術(shù)和新的合作關(guān)系融為一體，將創(chuàng)造嶄新的未來。在這個(gè)千變?nèi)f化的世界，有一些不計(jì)后果的企業(yè)家，他們利用新經(jīng)濟(jì)的機(jī)會(huì)賺取豐厚利潤(rùn)。很可惜，他們是網(wǎng)絡(luò)犯罪分子，站在了法律的對(duì)立面。他們對(duì)遵紀(jì)守法的企業(yè)

2、造成新的挑戰(zhàn)。對(duì)于如何保護(hù)自己的競(jìng)爭(zhēng)優(yōu)勢(shì)，開發(fā)新的業(yè)務(wù)模式以實(shí)現(xiàn)和保持網(wǎng)絡(luò)安全，企業(yè)需要轉(zhuǎn)變思想。在安全運(yùn)維(SecOps)團(tuán)隊(duì)努力整合重點(diǎn)安全工作與軟件及流程開發(fā)的過程中，為提高效率和節(jié)省成本，分析型解決方案的核心任務(wù)應(yīng)盡可能自動(dòng)化，包括訪問與欺詐預(yù)警、數(shù)據(jù)隱私與風(fēng)險(xiǎn)降低等。Tony Buffomante網(wǎng)絡(luò)安全專業(yè)人員需要證明，雖然網(wǎng)絡(luò)犯罪分子犯罪行為的節(jié)奏和速度很快，但自己能夠利用靈活的思維和行動(dòng)保護(hù)轉(zhuǎn)型企業(yè)的核心競(jìng)爭(zhēng)力。他們需要匯聚整個(gè)企業(yè)內(nèi)擅長(zhǎng)于合作的人才，這種人才能夠采取積極主動(dòng)的態(tài)度，直面難題。首席信息安全官無法事必躬親，需要建立新的合作方式。技術(shù)發(fā)展是機(jī)遇而非威脅， 網(wǎng)絡(luò)安全正

3、在成為一股主要的業(yè)務(wù)推動(dòng)力量。我們*選取了將影響今后網(wǎng)絡(luò)安全處理方式的六大關(guān)注點(diǎn)，請(qǐng)我們的專業(yè)人士分享他們的見解和經(jīng)驗(yàn)，以幫助企業(yè)應(yīng)對(duì)未來的挑戰(zhàn)。協(xié)調(diào)業(yè)務(wù)目標(biāo)與安全需求數(shù)字信任與消費(fèi)者驗(yàn)證與時(shí)俱進(jìn)的安全團(tuán)隊(duì) 迎接下一輪監(jiān)管潮云轉(zhuǎn)型與韌性自動(dòng)化安全功能*除非另有所指，否則本文件中，“我們”和“畢馬威”是指畢馬威以及與畢馬威國(guó)際相關(guān)聯(lián)的獨(dú)立成員所網(wǎng)絡(luò)，或指一家或多家相關(guān)成員所，或指畢馬威國(guó)際。畢馬威國(guó)際不提供任何客戶服務(wù)。成員所與第三方的約定對(duì)畢馬威國(guó)際或任何其他成員所均不具有任何約束力；而畢馬威國(guó)際對(duì)任何成員所也不具有任何上述約束力。我們需要對(duì)整個(gè)企業(yè)進(jìn)行風(fēng)險(xiǎn)分析，并通過業(yè)務(wù)風(fēng)險(xiǎn)的方式發(fā)現(xiàn)信息技

4、術(shù)風(fēng)險(xiǎn)，從而對(duì)企業(yè)風(fēng)險(xiǎn)有全局的了解。網(wǎng)絡(luò)安全職能部門需要更深入地分析業(yè)務(wù)重點(diǎn)，以確定可能存在的薄弱之處，以及這些缺陷被利用可能造成的影 響。Ben Krutzen在很多國(guó)家，企業(yè)（尤其是大銀行）正在建設(shè)共享服務(wù)中心，以集成各種網(wǎng)絡(luò)功能。這些企業(yè)顯然發(fā)現(xiàn)，全憑企業(yè)自身建設(shè)共享服務(wù)中心不具成本效 益，但一般的外包又不可行，因?yàn)橥獍谌讲磺宄臉I(yè)務(wù)角度出發(fā)應(yīng)保護(hù)的對(duì)象。John Hermans協(xié)調(diào)業(yè)務(wù)目標(biāo)與安全需求無論在工具還是人員方面，很多企業(yè)對(duì)網(wǎng)絡(luò)安全投入了大量資源，但如今一些企業(yè)認(rèn)為有必要收縮投資。在這個(gè)意義上，網(wǎng)絡(luò)安全成本已成為主要關(guān)注點(diǎn)，可能變得與安全本身一樣重 要。為了管理成本，并確保

5、業(yè)務(wù)與安全的協(xié)調(diào)，企業(yè)通過制定數(shù)字化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理流程，使相當(dāng)部分的網(wǎng)絡(luò)安全功能自動(dòng)化，確保網(wǎng)絡(luò)安全與企業(yè)最重要的運(yùn)營(yíng)和業(yè)務(wù)戰(zhàn)略相協(xié)調(diào)。目前的形勢(shì)我們研究了大量風(fēng)險(xiǎn)模型，發(fā)現(xiàn)其中缺乏業(yè)務(wù)驅(qū)動(dòng)的風(fēng)險(xiǎn)場(chǎng)景概念。業(yè)務(wù)團(tuán)隊(duì)的觀點(diǎn)需與網(wǎng)絡(luò)安全團(tuán)隊(duì)的觀點(diǎn)密不可分，但在太多企業(yè)中卻并非如此。確定這些風(fēng)險(xiǎn)場(chǎng)景應(yīng)由業(yè)務(wù)團(tuán)隊(duì)牽頭。如果能通過模型，使業(yè)務(wù)領(lǐng)導(dǎo)更深入地了解安全控制對(duì)風(fēng)險(xiǎn)場(chǎng)景可能產(chǎn)生的影響，流程的效率將顯著提高。很多企業(yè)不能一貫地獲得這種洞見，從而難以在控制措施和業(yè)務(wù)之間建立順暢、持續(xù)的關(guān)系。對(duì)于網(wǎng)絡(luò)世界可能發(fā)生的最壞情形，我們?cè)噲D未雨綢繆，但很多事件的發(fā)生不太引人注目，影響不大，更不用說對(duì)業(yè)務(wù)造成震

6、動(dòng)。我們從這一角度發(fā)現(xiàn)，很多企業(yè)不僅設(shè)法將安全嵌入第二道防線，而且還將其嵌入以經(jīng)營(yíng)為主的第一道防線和審計(jì)推動(dòng)的第三道防線。大型企業(yè)在過去10至15年間對(duì)信息技術(shù)安全投入大筆資金，如今他們承認(rèn)需要開發(fā)一種著眼于降低成本的新模型，將安全自動(dòng)化，使 員工各司其職，以降低成本。企業(yè)應(yīng)采取的行動(dòng)全面分析哪些領(lǐng)域需要投資?？紤]需要控制哪些風(fēng)險(xiǎn)場(chǎng)景，哪些控制措施與之最相關(guān)。絕大多數(shù)企業(yè)正在進(jìn)行數(shù)字化轉(zhuǎn)型，這意味著他們還應(yīng)探索網(wǎng)絡(luò)與風(fēng)險(xiǎn)管理流程的自動(dòng)化。如果業(yè)務(wù)中嵌入安全政策和有關(guān)控制，很多事件都能輕易發(fā)現(xiàn)?？傊?，建議企業(yè)在全部三道防線中整合網(wǎng)絡(luò)安全措施，而不是三道防線各自為政。使安全成為一項(xiàng)端到端優(yōu)先工作。

7、根本措施是建立安全部門與企業(yè)其他部門的持續(xù)對(duì)話，以確保在戰(zhàn)略和經(jīng)營(yíng)規(guī)劃方面安全與業(yè)務(wù)同步。為達(dá)此目的，通過實(shí)施工程方法（如安全設(shè)計(jì)和隱私設(shè)計(jì)），使開發(fā)運(yùn)維團(tuán)隊(duì)開發(fā)新的應(yīng)用程序和服務(wù)時(shí)將安全意識(shí)注入其日常思維。最后，我們希望看到網(wǎng)絡(luò)安全專業(yè)人員的職能不再僅僅由IT驅(qū)動(dòng)。網(wǎng)絡(luò)安全團(tuán)隊(duì)需要以業(yè)務(wù)為導(dǎo)向，具有義務(wù)意識(shí)。否則，業(yè)務(wù)與網(wǎng)絡(luò)安全之間的共生關(guān)系永遠(yuǎn)不會(huì)鞏固。企業(yè)必須開始反思獲取數(shù)據(jù)的方式，使其能夠與特定威脅的場(chǎng)景相 關(guān)。“數(shù)據(jù)湖”(data lake) 概念其實(shí)并不新鮮，但匯入的數(shù)據(jù)，數(shù)據(jù)如何保持安全，以及確保只有最相關(guān)的人士才能訪問和利用這些數(shù)據(jù)都是重要考慮因素。Charlie Jacco數(shù)

8、字信任與消費(fèi)者驗(yàn)證顯然，年輕的消費(fèi)者正在把他們的消費(fèi)期待延伸到網(wǎng)絡(luò)生活，尤其是在銀行和金融服務(wù)方面。于是眾多全球大品牌感到威脅。實(shí)體店逐漸消亡，誰(shuí)在數(shù)字化客戶體驗(yàn)方面占上風(fēng)，誰(shuí)就可能占有最大的市場(chǎng)份額。目前的形勢(shì)最終消費(fèi)者很可能會(huì)選擇交互最簡(jiǎn)便并使他們感到安全的品牌。對(duì)于安全融合中心，近年來人們主要關(guān)注一個(gè)核心問題（尤其是在美國(guó)）， 就是使工作方式轉(zhuǎn)變?yōu)閿?shù)據(jù)推動(dòng)，以監(jiān)測(cè)安全事 件，打造精簡(jiǎn)但隨網(wǎng)絡(luò)威脅形勢(shì)而變化的響應(yīng)流 程，且一直比網(wǎng)絡(luò)攻擊領(lǐng)先一步。Alex Anisie在目前的環(huán)境下，提升客戶體驗(yàn)的辦法是減少摩擦。對(duì)于忘記密碼的客戶，通過短消息向其手機(jī)發(fā)送驗(yàn)證碼，要求重新輸入驗(yàn)證碼并確認(rèn)的做

9、法就是摩擦。為此，很多企業(yè)依靠基于機(jī)器學(xué)習(xí)的方法，以了解客戶常見而獨(dú)特的特征與行為模式（比如指紋、聲紋和各種物理生物特征）。特別是金融機(jī)構(gòu)，他們正在努力了解客戶與金融機(jī)構(gòu)的交互方式：客戶通常如何及何時(shí)登錄，執(zhí)行交易的類型，經(jīng)常提取或轉(zhuǎn)移的資金金額范圍等。企業(yè)可以歸集這些要素，生成獨(dú)特的客戶快照。對(duì)于保有用戶交互界面的企業(yè)來說，減少客戶體驗(yàn)?zāi)Σ辆褪莾?yōu)化客戶旅程、建立信任，使客戶之旅足夠短而高效，以維持客戶參與。如果客戶認(rèn)為自己經(jīng)歷了太多復(fù)雜程序，他們很可能一走了之而與其他企業(yè)做生意。雖然達(dá)到客戶想要的結(jié)果需要客戶感到愉快和順暢，但產(chǎn)品或服務(wù)提供商有責(zé)任保證整個(gè)過程的安全。企業(yè)應(yīng)采取的行動(dòng)首先，最

10、重要的是，任何行業(yè)的企業(yè)都應(yīng)努力將數(shù)據(jù)、驗(yàn)證和反欺詐團(tuán)隊(duì)系統(tǒng)化、程序化地聯(lián)系起來。了解監(jiān)管規(guī)定、所收集的數(shù) 據(jù)、數(shù)據(jù)所有者、數(shù)據(jù)來源及利用方式。打造全面的安全文化。在此基礎(chǔ)上思考，如果要求客戶回答問題以通過驗(yàn)證，如何提升客戶體驗(yàn)，從而使得客戶更方便地驗(yàn)證身份，但在客戶作出異常交易時(shí)需加強(qiáng)驗(yàn)證要求。盡可能使客戶的日常交互簡(jiǎn)便輕松，但可以基于常見行為模式分析，在有必要的情況下略微增加摩擦。優(yōu)先考慮隱私，了解企業(yè)數(shù)據(jù)將如何使用及被誰(shuí)使用的問題。今后很多數(shù)據(jù)可能都在云端，企業(yè)需要研究如何加密和保護(hù)這些數(shù)據(jù)。這是企業(yè)層面可以通過技術(shù)解決的問題，但最終需要企業(yè)以提升客戶體驗(yàn)為目標(biāo)，即在客戶與企業(yè)進(jìn)行數(shù)字交

11、互的每一環(huán)節(jié)提升端到端用戶體驗(yàn)。企業(yè)還應(yīng)反思對(duì)數(shù)據(jù)的評(píng)價(jià)方式。對(duì)各種數(shù)據(jù)集應(yīng)用大量規(guī)則的傳統(tǒng)方法已不再可行，傳統(tǒng)方法會(huì)產(chǎn)生大量誤報(bào)，造成太多用例漏網(wǎng)，使騙子有機(jī)可乘。關(guān)鍵的想法是利用機(jī)器學(xué)習(xí)算法更有效地分析這些數(shù)據(jù)以識(shí)別行為趨勢(shì)。最后，企業(yè)需要時(shí)刻注意整個(gè)防護(hù)/檢測(cè)/反應(yīng)流程中人員與技術(shù)之間的相互關(guān)系。安全流程不僅從內(nèi)部橫跨整個(gè)企業(yè)，同時(shí)還影響字面和引申意義上的外部世界，因?yàn)榈谌揭部赡軙?huì)觸發(fā)企業(yè)的安全事件。最后，還需要吸取經(jīng)驗(yàn)教訓(xùn)。對(duì)于用戶驗(yàn)證，企業(yè)應(yīng)花時(shí)間研究過去發(fā)生的事件，將其重新應(yīng)用到企業(yè)的安全協(xié)議進(jìn)行壓力測(cè)試，以避免類似事件再次發(fā)生。與時(shí)俱進(jìn)的安全團(tuán)隊(duì)接受事實(shí)，新世界已不同于往昔。不

12、是侃侃而談， “我們做了20年的網(wǎng)絡(luò)安全工作，一直是這樣或那樣做此外別無他法。” 而是虛心請(qǐng)教，“我們作為一家企業(yè)到底應(yīng)當(dāng)怎么做？”然后評(píng)估可用技術(shù)， 設(shè)計(jì)適應(yīng)企業(yè)環(huán)境的最佳方案。Dani Michaux最近幾年，企業(yè)董事會(huì)為提高網(wǎng)絡(luò)安全的重要性進(jìn)行了廣泛的努力。2020年，很多董事會(huì)成員對(duì)網(wǎng)絡(luò)安全工作日程有著清晰認(rèn)知。雖然董事會(huì)成員了解網(wǎng)絡(luò)安全的重要性，但安全專業(yè)人員面臨一項(xiàng)重大挑戰(zhàn)，即理解網(wǎng)絡(luò)安全對(duì)業(yè)務(wù)的重要意義，并將這種認(rèn)知轉(zhuǎn)變?yōu)榭尚械纳羁汤斫?。目前的形?shì)很多企業(yè)的網(wǎng)絡(luò)安全團(tuán)隊(duì)仍然由技術(shù)、經(jīng)營(yíng)合規(guī)專業(yè)人員組成，但這種局面正在轉(zhuǎn)型，網(wǎng)絡(luò)安全團(tuán)隊(duì)逐漸成為更具戰(zhàn)略性、前瞻性的資 源，利用其宏大

13、的視野影響業(yè)務(wù)動(dòng)態(tài)。在許多行業(yè)，不少首席信息安全官(CISO)及其團(tuán)隊(duì)正在針對(duì)不斷變化的業(yè)務(wù)格局努力調(diào)整，以便在進(jìn)行戰(zhàn)略討論時(shí)發(fā)出受信賴的、有價(jià)值的聲音。他們還努力構(gòu)想企業(yè)的特定經(jīng)營(yíng)重點(diǎn)，與內(nèi)部業(yè)務(wù)領(lǐng)導(dǎo)合 作，盡可能迅速地將這些分析納入企業(yè)的網(wǎng)絡(luò)安全方案。安全團(tuán)隊(duì)的另一項(xiàng)主要關(guān)注點(diǎn)，尤其是在金融服務(wù)和醫(yī)療健康行業(yè)，是如何高效低成本地滿足監(jiān)管要求。首席信息安全官已成為受信賴的內(nèi)部顧問和重要的運(yùn)營(yíng)領(lǐng)導(dǎo)。在進(jìn)行數(shù)字化轉(zhuǎn)型、數(shù)據(jù)資產(chǎn)價(jià)值提取和全球重點(diǎn)工作之間，如果網(wǎng)絡(luò)管理層具有業(yè)務(wù)思維與戰(zhàn)略意 識(shí)，每一家企業(yè)都將因此得益。他們率領(lǐng)強(qiáng)大、專心致志的團(tuán)隊(duì)，在企業(yè)追求增長(zhǎng)的新階段保護(hù)和賦能企業(yè)。Rik Pa

14、rker安全專業(yè)人員的技能不斷在進(jìn)步?？傮w而言，核心團(tuán)隊(duì)需增強(qiáng)其整體業(yè)務(wù)卓識(shí)和具體產(chǎn)品知識(shí)，從而更明確地表達(dá)與企業(yè)風(fēng)險(xiǎn)相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。企業(yè)應(yīng)采取的行動(dòng)安全團(tuán)隊(duì)?wèi)?yīng)走出自己的領(lǐng)域，傾聽不同的觀點(diǎn)，加強(qiáng)與業(yè)務(wù)領(lǐng)導(dǎo)的 溝通，去理解企業(yè)面對(duì)不斷演變的生態(tài)系統(tǒng)真正需要擔(dān)心的問題。 對(duì)于正在進(jìn)行數(shù)字化轉(zhuǎn)型的企業(yè)（這種企業(yè)占多數(shù)），網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)從戰(zhàn)略角度參與數(shù)字化轉(zhuǎn)型計(jì)劃，展示自己作為業(yè)務(wù)、數(shù)字和安全的橋梁作用。樹立共同的目標(biāo)。識(shí)別企業(yè)計(jì)劃存放在云端的數(shù)據(jù)類型。了解開發(fā)和生產(chǎn)環(huán)境之間所需交互的類型，然后將交互的需求與安全方案相協(xié)調(diào)。與企業(yè)公關(guān)團(tuán)隊(duì)和密切參與客戶體驗(yàn)工作的團(tuán)隊(duì)緊密合作。應(yīng)用信息傳遞策略，即

15、使最糟糕的情形出現(xiàn)，也要確保企業(yè)繼續(xù)向消費(fèi)者輸出信任。明確哪些任務(wù)人工智能能夠處理，哪些工作需要人工參與。努力實(shí)現(xiàn)企業(yè)安全環(huán)境中基本控制的自動(dòng)化，力爭(zhēng)至少實(shí)現(xiàn)50%的自動(dòng)化。 最后，使倡導(dǎo)網(wǎng)絡(luò)安全成為企業(yè)環(huán)境、社會(huì)和治理(ESG)議程的一個(gè)突出特點(diǎn)，以展示對(duì)網(wǎng)絡(luò)安全治理的全面觀點(diǎn)和處理廣泛事件的能力。網(wǎng)絡(luò)安全監(jiān)管著重于三大領(lǐng)域（我稱之為監(jiān)管三部曲）：基礎(chǔ)性的運(yùn)營(yíng)技 術(shù)、通過第三方處理的數(shù)據(jù)外包及韌性，即企業(yè)監(jiān)測(cè)、應(yīng)對(duì)網(wǎng)絡(luò)攻擊并恢復(fù)的整體能力。Daryl Pereira我成為多層網(wǎng)絡(luò)攻擊模擬（即所謂的紅隊(duì)行動(dòng)和道德黑客行為）的超級(jí)粉 絲。對(duì)安全運(yùn)營(yíng)進(jìn)行測(cè)試至關(guān)重要，以了解是否能夠檢測(cè)出不同類型的

16、攻 擊。如果檢測(cè)出攻擊，對(duì)應(yīng)對(duì)方案和程序進(jìn)行壓力測(cè)試。越來越多的監(jiān)管團(tuán)隊(duì)在其核心流程中考慮這一因素。Ton Diemont迎接下一輪監(jiān)管潮當(dāng)你審查技術(shù)風(fēng)險(xiǎn)時(shí)，其實(shí)你說的是信息技術(shù)風(fēng)險(xiǎn)。但你討論網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)，所有權(quán)和責(zé)任劃分則不在技術(shù)部門的職責(zé)范圍內(nèi)。我們發(fā)現(xiàn)，網(wǎng)絡(luò)安全監(jiān)管的方向和規(guī)模正在向更加全面的方向發(fā)展，主要關(guān)注在于業(yè)務(wù)和責(zé)任劃分，比如面向客戶的信任輸出活動(dòng)，中、后臺(tái)操作，以及董事會(huì)推動(dòng)的企業(yè)治理職能等。簡(jiǎn)而言之，其實(shí)重點(diǎn)在于第一道防線內(nèi)的管理。目前的形勢(shì)我們預(yù)計(jì)，在2020年及以后，各類監(jiān)管部門將繼續(xù)加強(qiáng)各種專項(xiàng)監(jiān)管。具體來說，我們發(fā)現(xiàn)亞洲對(duì)網(wǎng)絡(luò)安全的新監(jiān)管規(guī)定實(shí)際上已使用“網(wǎng)絡(luò)”一詞

17、，而之前的用詞是“技術(shù)”，具有“IT”的意味。用詞的精確性提高是令人欣喜的進(jìn)展。很多國(guó)家遵循歐盟一般數(shù)據(jù)保護(hù)條例（GDPR）的某些內(nèi)容發(fā)布了相關(guān)規(guī)定，或本國(guó)已有隱私法律，我們發(fā)現(xiàn)企業(yè)（特別是大型跨國(guó)企業(yè)）成立了積極的數(shù)據(jù)管理部門。核心是，企業(yè)希望將數(shù)據(jù)分析作為一種規(guī)章，不僅要了解數(shù)據(jù)在企業(yè)中的存儲(chǔ)，還要了解數(shù)據(jù)所有者、數(shù)據(jù)處理過程，以及更重要的，用戶對(duì)該數(shù)據(jù)擁有的權(quán)利和許可。企業(yè)認(rèn)識(shí)到有必要為網(wǎng)絡(luò)安全增加投資，不僅是工具和流程開發(fā)方面，更是針對(duì)網(wǎng)絡(luò)安全人才的匱乏，需要從網(wǎng)絡(luò)安全治理、風(fēng)險(xiǎn)戰(zhàn)略到配置和維護(hù)方面加大投入。這方面的投資仍然存在很大的缺口，而且令人遺憾的是，很多企業(yè)招聘的IT專業(yè)人才缺

18、乏關(guān)于監(jiān)管環(huán)境的網(wǎng)絡(luò)安全思維。因此他們提出的建議常常無效，或者雖然目的很好，但被管理層和董事會(huì)誤解或無法貫徹執(zhí)行。企業(yè)應(yīng)采取的行動(dòng)對(duì)于三道防線模型，我們建議在第一道防線嵌入網(wǎng)絡(luò)安全責(zé)任與首席信息安全官的角色（建議正式化），并將這些工作與年度業(yè)績(jī)目標(biāo)掛鉤。首席信息安全官的核心職責(zé)應(yīng)在第一道防線，以涵蓋安全戰(zhàn)略目標(biāo)和愿景，而且，首席信息安全官對(duì)于日常監(jiān)控和工具配置的安全運(yùn)營(yíng)應(yīng)有明確的層級(jí)概念或至少功能性劃分。第二道防線（即信息技術(shù)風(fēng)險(xiǎn)）應(yīng)對(duì)設(shè)計(jì)質(zhì)量和韌性政策與標(biāo)準(zhǔn)提供支持，向管理層和董事會(huì)匯報(bào)。第三道防線應(yīng)對(duì)前兩道防線進(jìn)行審核與評(píng)估。三道防線互相配合的理想狀態(tài)力求擴(kuò)大整個(gè)組織內(nèi)的網(wǎng)絡(luò)安全需求，其中

19、包括監(jiān)管合規(guī)需求。我們還認(rèn)為，為識(shí)別改進(jìn)空間，在設(shè)計(jì)、實(shí)施和效果方面對(duì)監(jiān)管合規(guī)計(jì)劃進(jìn)行持續(xù)檢驗(yàn)很重要。此外，確保網(wǎng)絡(luò)安全運(yùn)營(yíng)韌性嵌入整體架構(gòu)和流程，以加強(qiáng)信息技術(shù)和運(yùn)營(yíng)技術(shù)的安全。應(yīng)任命嚴(yán)格說來非IT專業(yè)人員負(fù)責(zé)監(jiān)管合規(guī)。事實(shí)上，新首席信息安全官應(yīng)該更加熟練運(yùn)用業(yè)務(wù)語(yǔ)言，以確保其信息得到理解和執(zhí)行。合適的人選應(yīng)該對(duì)企業(yè)的運(yùn)營(yíng)模式具有開闊的思路，首席風(fēng)險(xiǎn)官、首席財(cái)務(wù)官或副首席執(zhí)行官是理想的人選，因?yàn)樗麄冞€對(duì)企業(yè)的整體風(fēng)險(xiǎn)議程有認(rèn)識(shí)。合適的人選應(yīng)該是整個(gè)企業(yè)網(wǎng)絡(luò)安全的主持者或捍衛(wèi)者，與首席運(yùn)營(yíng)官和首席信息安全官密切合作。從內(nèi)部控制政策到各種地區(qū)性國(guó)家的監(jiān)管規(guī)定，企業(yè)花時(shí)間將各種監(jiān)管規(guī)定納入“統(tǒng)一控

20、制框架”，以提高內(nèi)部治理、風(fēng)險(xiǎn)、合規(guī)、測(cè)試工作的成效。在隱私、韌性和安全監(jiān)管規(guī)定所要求的控制措施之間的尋找協(xié)同效應(yīng)，其結(jié)果可能出人意料。建議企業(yè)將重點(diǎn)從系統(tǒng)和技術(shù)轉(zhuǎn)移至信息。確定賦予企業(yè)市場(chǎng)競(jìng)爭(zhēng)力的因素，這些因素可能是知識(shí)產(chǎn)權(quán)、供應(yīng)鏈或定價(jià)能力。但無論什么因素，從網(wǎng)絡(luò)安全角度來看都是需要企業(yè)保護(hù)的對(duì)象。我們發(fā)現(xiàn)，具有計(jì)算機(jī)科學(xué)背景、對(duì)代碼編寫流程有所涉獵的安全架構(gòu)師越來越 多。他們明白自己必須做出表率，讓同事能夠使用這套新的云工具并支持安全設(shè) 計(jì)。所以我們開始發(fā)現(xiàn)，云和安全（云安全專業(yè)人員） 的連接開始出現(xiàn)，但這種現(xiàn)象仍然十分少見。Katherine Robins安全團(tuán)隊(duì)必須認(rèn)識(shí)到破舊沒有問題

21、，只要能夠從中迅速獲得借鑒，并卓有成效地應(yīng)用學(xué)到的知識(shí)。但是大量企業(yè)不敢這樣想。一種積極嘗試和學(xué)習(xí)的企業(yè)文化，將吸引企業(yè)在當(dāng)今迅速演變的市場(chǎng)形勢(shì)下所需的那類網(wǎng)絡(luò)人才。云技術(shù)能使企業(yè)迅速破舊立新、進(jìn)行重建和一步步地走向成功。Caleb Queern云轉(zhuǎn)型與韌性隨著云技術(shù)的成熟應(yīng)用，很多企業(yè)需要使首席信息安全官的團(tuán)隊(duì)與企業(yè)的其他部門協(xié)調(diào)。企業(yè)可能會(huì)說，我們準(zhǔn)備在接下來的18個(gè)月通過云技術(shù)做這樣那樣的工作。與此同時(shí)，首席信息安全官及其團(tuán)隊(duì)正在開發(fā)有關(guān)流程和工具，這些流程和工具對(duì)業(yè)務(wù)推動(dòng)力和實(shí)現(xiàn)理想業(yè)務(wù)成果所需的技術(shù)至關(guān)重要，但不一定與其協(xié)調(diào)。這種情況必須改變。目前的形勢(shì)過去IT一直負(fù)責(zé)提供基礎(chǔ)設(shè)施，

22、而且在云技術(shù)出現(xiàn)之前，主要著眼于“地面”的挑戰(zhàn)。安全團(tuán)隊(duì)負(fù)責(zé)掃描基礎(chǔ)設(shè)施的漏洞，但他們經(jīng)常不清楚掃描什么，因?yàn)橥{更新列表常常與IT脫節(jié)。管理基礎(chǔ)設(shè)施和相關(guān)資產(chǎn)一直很不容易，但是在云端，一切更加瞬息萬變，提前進(jìn)行安全考量并嵌入云解決方案是很多企業(yè)正在竭力應(yīng)對(duì)的挑 戰(zhàn)。就云技術(shù)而言，很多行業(yè)內(nèi)的首席信息安全官團(tuán)隊(duì)主要不是準(zhǔn)備在技術(shù)或人才方面賦能業(yè)務(wù)。在云端，信息保護(hù)是優(yōu)先工作。我們發(fā)現(xiàn)， 數(shù)據(jù)在云端部署的方式常常不一定具有韌性，這種情況越來越多。我們不只是在討論多可用區(qū)域，而且還在討論發(fā)生重大破壞的情況下恢復(fù)關(guān)鍵資產(chǎn)的能力。我們發(fā)現(xiàn)，很多企業(yè)存在兩個(gè)陣營(yíng)，在安全方面似乎走向兩個(gè)極端。一派是傳統(tǒng)的

23、工作人員，他們?cè)诎踩軜?gòu)領(lǐng)域工作了20多年， 但未充分適應(yīng)云端的生活。另一派是走在前沿的安全專業(yè)人員，他們浸淫當(dāng)今技術(shù)，努力推動(dòng)和實(shí)現(xiàn)云思想，以便能夠通過設(shè)計(jì)和規(guī)?；度氚踩Ｗ寖膳蛇_(dá)成共識(shí)是一項(xiàng)重點(diǎn)工作。安全團(tuán)隊(duì)行動(dòng)建議成為學(xué)習(xí)型企業(yè)。吸引云人才的除了高工資，還有企業(yè)文化。潛在員工想知道他們?nèi)肼毜牟皇且患夜虐?、高度厭惡風(fēng)險(xiǎn)和行動(dòng)遲緩的企 業(yè)。通過培育勇于創(chuàng)新和嘗試的文化，企業(yè)能夠吸引優(yōu)秀的云人才。同樣企業(yè)還應(yīng)小處著眼，但迅速行動(dòng)。宣傳企業(yè)能夠迅速破舊立新、然后吸取經(jīng)驗(yàn)教訓(xùn)重建。安全能使企業(yè)一步步走向成功，例如，逐漸適應(yīng)數(shù)據(jù)容器保護(hù)新戰(zhàn)略，使業(yè)務(wù)迅速發(fā)展。在軟件開發(fā)生命周期中，盡早進(jìn)行測(cè)試左移

24、和推進(jìn)控制，以便為客戶和用戶提供最大價(jià)值。在生命周期中，盡可能逐步地左移安全應(yīng)用，這通常需要“基礎(chǔ)架構(gòu)即代碼”的設(shè)計(jì)。賦能開發(fā)者在不用安全團(tuán)隊(duì)參與的情況下硬編碼所需的安全措施，即可實(shí)現(xiàn)“基礎(chǔ)架構(gòu)即代碼”，而云技術(shù)可以促進(jìn)這一變革。理解底層代碼，具備讀寫代碼能力能夠贏得開發(fā)運(yùn)維工程師的尊重。抓住機(jī)會(huì)真正理解自己應(yīng)當(dāng)所處的位置。我們會(huì)發(fā)現(xiàn)，安全專業(yè)人員越來越具備讀寫代碼的能力，因?yàn)槲覀內(nèi)找婷撾x傳統(tǒng)的安全架構(gòu)角色，即推敲架構(gòu)圖、將其轉(zhuǎn)交方案設(shè)計(jì)師或方案架構(gòu)師供其打造解決方案，然后交給工程師建立實(shí)際基礎(chǔ)架構(gòu)。努力理解并向整個(gè)企業(yè)溝通業(yè)務(wù)賦能、業(yè)務(wù)韌性和信息保護(hù)之間的聯(lián)系。這與本地部署的工作方式差別不大，但將關(guān)鍵數(shù)據(jù)跨區(qū)域放在云端略有不同。將云技術(shù)融入企業(yè)的基因能使企業(yè)根除運(yùn)營(yíng)“噪音”，從而讓企業(yè)專注于更重大的安全重點(diǎn)工作。隨著首席信息安全官設(shè)法減少開支和提高團(tuán)隊(duì)效率，自動(dòng)處置過時(shí)數(shù)字資產(chǎn)應(yīng)成為其首要戰(zhàn)略的一大支柱。通過與領(lǐng)先的云服務(wù)提供商及安全信息和事件管理提供商的合作，他們同樣應(yīng)探索自動(dòng)化安全運(yùn)