普华永道9月17日发布了《2019年中国数字信任洞察报告》。虽然名字比较玄乎,但是考察了中外企业在做的“安全的事情”,以及在数字化转型过程中面临的问题。
「别人家」的「孩子」是什么样的?本报告采访了中国121名安全从业者,得出以下结果:
你想要的和你害怕失去的
随着企业的数字化转型,中国的民营企业发展迅速。就企业期望从数字化进程中获得的价值而言,32%的受访者期望企业收入增加,26%的人希望开发新产品或创新产品,12%的人希望提供更好的客户体验。
数字化转型不仅带来了大量促进企业发展和创新的机遇,也导致企业需要应对转型时期特有的风险。从中国企业高管和IT专业人士的角度来看,数字化过程中最严重的风险是数据治理或隐私问题。
中国企业普遍存在对数据收集和传输的担忧,而加强信息安全和保护个人数据收集是国家战略重点。
企业网络安全团队需要解决客户、员工等利益相关者与新科技成果的互动问题。中国受访者还面临数字化转型带来的创新风险,即引入新产品、服务和流程产生的风险。
我们预测这种情况会发生,因为超过四分之一的中国受访者希望在数字化转型过程中进行产品研发或创新。为了管理这种风险,有必要对业务部门进行企业数字化战略教育,使他们了解创新对其业务运营的影响。
根据中国信息通信研究院的数据,2017年,中国数字经济总量达3.8万亿美元,占中国GDP的近三分之一。鉴于民营企业在数字化进程中的发展,比以前更容易受到网络安全攻击。因此,网络安全是中国企业高管和专业人士面临的另一个重要风险。
在企业数字化转型的风险管理能力方面,中国企业高管和IT专业人士认为自己效率高的比例低于全球受访者。大多数中国受访者对此并不乐观,认为他们在管理这些风险方面只取得了轻微的成效。
虽然大多数中国受访者表示,建立数字信任是企业的优先事项,但在数字化转型的快速发展中,他们的风险管理能力是缺乏的。对于企业高管和IT专业人士来说,他们最缺乏建立数字信任的能力,包括对如何实现企业转型目标的不确定性,对未来10年其数字化战略将如何变化的不确定性,以及对其数字化计划将取得何种结果的不确定性。
科技集团、阿里巴巴和腾讯正在引领中国新的数字趋势,并颠覆金融服务、零售和旅游业的发展。这些互联网巨头不断打破技术壁垒,传统企业面临压力,导致一些老牌企业与时代脱节。由于88%的中国受访者来自非科技行业,包括工业制造、金融服务或零售和消费行业。
显然,这些企业所处的行业中,有一部分受到了科技巨头的颠覆性影响,却跟不上变革的步伐,对于如何完成自己的转型目标或数字化目标,感到无所适从。为了缩短这些差距,中国企业正在逐步加强网络安全计划,并重新规划企业网络安全团队的工作方法。一些企业正在考虑将数字化创新流程外包给第三方技术服务提供商,而另一些企业正在进行行业协会推动的数字化转型。这些措施将加强整体企业生态系统,并为企业追求数字化发展提供支持。
安全团队是否得到企业认可?
当许多企业主动采用技术主导的商业模式时,为了建立数字信任,网络安全计划必须与企业目标相称。所以网络安全团队需要加快企业战略,了解企业风险承受能力,首要的是数字化转型过程中的风险管理。
事实上,从一系列衡量指标来看,大多数中国受访者的网络安全与其业务发展的匹配度高于全球受访者。83%的受访者表示,他们的网络安全团队嵌入到企业的业务中。他们不仅熟悉业务策略,还制定了支持业务需求的网络安全策略。
83%的受访者认为,他们的网络安全团队与所有其他管理企业风险的部门建立了战略合作关系,以防止企业面临的最严峻的威胁和风险。81%的受访者认为他们的网络安全团队能够就网络风险和相关风险与董事会和高级管理层进行有效沟通。
中国保安队的实践
为了实现战略性和业务性,中国的网络安全团队采取了哪些不同的做法?在问卷中,我们调查了那些成功转型并满足业务发展需求的企业,他们对其网络安全团队的工作方式进行了排名。选择最多的26%受访者表示,他们的网络安全团队与业务团队密切合作,以确保网络安全策略符合业务需求。15%的受访者提到他们的团队正在应用自动化和新兴技术来提高网络安全性,而8%的受访者将加强第三方风险管理。
而中国企业网络安全团队的落后之处在于,并没有那么频繁地向公司董事会和首席执行官汇报问题。
网络安全团队必须与董事会和高级管理层讨论网络安全风险。这样,董事会和高级管理层可以在一些领域承担公司网络风险战略的责任,比如提前做好网络安全事件的准备,应对网络安全事件,提高员工的网络安全意识。
安全团队只做出响应,但不识别风险。
深入了解网络安全团队的哪些做法更能匹配企业目标,无疑是非常重要的。同时也有助于衡量网络安全团队现有网络安全措施的成熟度。
本次调查从这方面对企业进行评估。该评估基于美国国家标准与技术研究所发布的网络安全框架中的特定类别,6包括五个主要的网络安全功能:识别、保护、检测、响应和恢复。
从成熟度来看,中国的网络安全团队在“响应”和“保护”两个职能中成熟度最高,在“识别”职能中成熟度最低。这种情况令人担忧,因为它表明调查受访者只是处于响应状态,在风险发生后采取缓解措施,而未能充分识别风险并防止风险发生。这说明网络安全团队在识别关键资源和企业情况方面比较薄弱,从而督促企业根据企业风险管理策略和业务需求重点保障网络安全。因此,网络安全团队只能控制损害,或者只能在检测到事故后为企业提供支持,保护企业的方式只是削弱或遏制事件的影响。
原因可能是更小比例的中国受访者认为他们的网络安全团队采用基于风险的方法来保护企业生态系统,而不是根据具体情况处理问题。
与同行相比,较少比例的受访者认为他们的企业采用NIST网络安全框架和其他标准框架来评估网络安全团队的能力。只有对网络安全活动采取基于风险的方法,并使用标准框架进行自我管理,中国的网络安全团队才能全面预测和管理系统、人员、资产、数据和性能方面的网络安全问题。
与其他类别相比,企业高管和IT专业人士认为“资产管理”类别相对落后。为了确保与网络安全的一致性,有必要识别组织中的物理资产和软件资产。与其他类别相比,相对较少的中国网络安全团队参与新产品和服务的“安全和隐私”设计。
中国企业在“治理”这一类别的成熟度也相对较低,这包括确定满足外部法律法规要求的治理项目或网络安全策略。这与过去一年中,与其他类别相比,更少的网络安全团队采取跨部门措施来遵守新规定的事实相一致。国内网络安全团队必须清楚中国的网络安全监管框架,并确保现有的控制措施与当前和未来的法律法规保持一致。
虽然《中华人民共和国网络安全法》已经在2017年6月开始实施,但是很多法律条文仍然需要通过法规、规章的实施来完善和解释。
但中国的网络安全团队在“沟通”这一类别表现出色,因此在网络安全问题发生后,能够有效管理与内外部利益相关方的沟通。“数据安全”类别的成熟度也较高,对公司数据进行妥善管理,保证信息的机密性、完整性和可用性。
商业灵感
过去20年,数字化转型带动了中国企业的快速发展,却导致了数字信任度的下降。为了重新建立数字信任,网络安全团队需要从应对重大风险转变为主动识别重大风险,包括:
1.遵循基于风险的方法和标准框架,加强“识别”功能。
在从事网络安全活动时,网络安全团队需要倡导使用基于风险的方法和标准框架来解决问题。通过这种方式,他们可以加强自身对关键资源和企业情况的识别能力,从而促使企业根据企业风险管理策略和业务需求,重点确保网络安全。
2.确保网络安全策略与业务发展保持同步。
这就需要网络安全团队加快企业战略,了解企业风险承受能力,有效管理数字化转型相关的企业风险。例如,可能需要将安全和隐私保护纳入企业的新产品和服务中。
3.利用自动化和新兴技术提高网络安全能力。
通过机器学习实现的自动化以及人工智能、机器人过程自动化或物联网等新兴技术的使用,为网络安全团队带来了独特的机会,帮助他们改善网络威胁情报、预防和恢复方面的功能。
4.制定治理计划以符合外部法规要求。
由于其战略重要性和该领域的快速发展,网络安全团队有必要制定治理计划,以满足网络安全、数据治理和隐私的外部监管要求,尤其是在中国。
5.将网络安全视为企业问题,而不是IT问题。
网络风险是一个企业范围的问题,因此它涉及董事会、管理层、业务部门负责人以及IT和安全职能部门。网络安全团队需要与董事会和高级管理层讨论网络安全风险,以便董事会和高级管理层承担企业网络风险战略的责任。为了制定适当的网络安全计划,企业还需要考虑让员工参与进来。员工可以通过培训和遵守企业标准和准则为网络安全做出贡献。
6.灵活的响应和改进
灵活性是产品或服务开发领域中最流行的概念之一。将灵活性与网络安全计划结合起来,不仅要关注技术本身,还要关注整个管理过程。通过追求灵活的响应和建立卓越的文化,网络安全团队可以提高效率并建立对其计划的高度信任。
