What is Risk Management? | Risk Management process
網路安全被定義為保護電腦系統、網路、應用和數據,免受數位攻擊的策略和實踐(參見「什麼是網路安全」)。
正如這個定義似乎表明的那樣,網路安全曾經——而且現在仍然——主要被認為是一個技術問題。但是,那些瞭解系統、網路、應用和數據/資訊,在當今數位經濟中的作用的人,會立即看到從業務角度,保護這些促成因素和資產的重要性。
在日益互聯和數據驅動的數位業務環境中,網路安全已成為企業的必要條件。
88% 的董事會現在報告稱網路安全被視為一種商業風險(Paul Proctor 在 2021 年美洲 Gartner 安全與風險管理峰會上)
我們在商業中看到的無處不在的連接,幾乎存在於所有領域。然而,當這種相互聯繫消失時,它的重要性往往變得顯而易見,或者相反,當它由於意外事件而變得更加重要時。
例如,試想一下有影響力的網路攻擊的後果,或者使常用服務無法訪問的基本服務暫時不可用的後果。新冠危機迫使我們更遠端地工作,更密集地使用數位服務,並加快數位化轉型,這是「網路空間」和網路彈性的重要性變得顯而易見的另一個例子。
網路安全和數位業務的連通性
從技術意義上講,連通性只是使網路安全,成為商業問題的真正互連的「推動者」之一:在我們的生態系統和擴展企業世界中各個層面的業務連通性。
當然,並非所有業務都是數位化的。然而,即使不考慮近年來數位化採用和轉型的發展速度,很明顯,至少,幾乎所有業務都是數位化業務。
同樣明顯的是,在這個數據時代保護支持數位業務的關鍵數位資產、連接和系統是保護業務的問題,因此網路安全也是如此。
數位化應用的加速——危機及其對網路安全的影響
組織讓越來越多的業務數位化。這是由於各種因素造成的,例如人們(即客戶)自己希望並採用更多的數位服務這一事實。
在這方面,新冠危機也起到了加速作用。國際電聯(國際電信聯盟)甚至談到了「COVID 連接性提升」,自 2019 年以來估計有 7.82 億人上網,由於 COVID 措施和數位平台和工具的採用增加等因素,增加了 17%。
正如前面一篇關於所謂新常態下的數位化轉型的報導中提到的,首次使用數位工具完成銀行或在線上購物(電子商務)等任務的人數急劇增加。
然後,當然,整個轉變——暫時的或其他的——轉向遠端工作和混合工作模式,其中增加了另一層技術和去中心化。
這些並不是新的演變,但近年來它們都發展得更快,以及所有這些數位服務的重要性——以及它們的安全性和可用性。如果業務是數位化的,並且(數字)數據確實是我們早就知道的業務資產,那麼與之相關的一切,包括那些系統和網路,最終都是業務和業務風險的問題。
數位化和轉型的陰影面——風險延伸
接下來是提高自動化、數位化和數位化轉型的特點和後果。這些都與客戶體驗、不斷變化的利益相關者期望,以及在無數技術支持下的相對先進的創新目標有關。在實踐中,諸如降低成本和專注於創造更多價值的活動等,更直接的目的仍然是最重要的。
然而,實現這些目標和轉型的努力伴隨著他們自己的一套「實踐」,在這些實踐中,人們通常會看到更多的去中心化和生態系統——各種意義上的風險延伸。技術演進本身、數位化轉型如何導致權力下放,以及幾乎每個部門在沒有 IT 參與的情況下經常採取數位化措施,都增加了安全和風險方面的壓力。保持對業務各個方面保護的集中概覽,也常常帶來挑戰——理想情況下是以整體方式。
因此,人們越來越關注網路安全的組成部分也就不足為奇了,這應該有助於更好地瞭解企業都「擁有」什麼,因此需要保護什麼。對(外部)攻擊面管理的日益重視,就是一個很好的例子。
但數位業務在業務層面也非常相互關聯,正如前面所說,我們更多地通透過生態系統和合作夥伴關係開展工作,這也會帶來風險,因為這些合作夥伴也有自己的環境。因此,我們看到,例如,第三方風險管理(TPRM)和供應商風險管理越來越受到關注。畢竟,正如所有網路安全報告所顯示的那樣,我們生活在一個供應鍊網路攻擊越來越多的時代。
商業和網路安全:不可分割的整體
我們可以繼續說下去,但本質是清楚的。在當今更加互聯的世界,其平台、生態系統、API 經濟和對數據共享的關注增加了風險。因此,網路安全和風險管理,對企業來說變得越來越重要。
我們正在以數位方式開展更多業務,讓員工遠端工作,將工作負載和資產遷移到雲端,去中心化,從而增加我們的數位足跡;清單是無窮無盡的。
我們往往甚至不知道我們在網路上擁有哪些數位資產,不像駭客總是在尋找新的漏洞。
在這種情況下,知道信任的重要性——以及網路攻擊的有害影響,甚至糟糕的安全分數——網路安全必須是企業的核心。數位業務是安全業務,而網路安全變得越來越複雜。
總而言之,雖然上述演變肯定不是唯一影響網路安全,以及我們如何將其視為業務,甚至董事會優先事項的演變(這一發展也已經持續了很長時間),但它們在 2021 年獲得了發展態勢。
如果不將網路安全置於「數位業務轉型」業務部分的中心,就不可能成功實現數位業務轉型。你的數位化轉型策略也是如此:很多時候,安全性仍然被忽視,其後果我們都知道。
回想一下我們在電暈危機中看到的那些加速,順便說一句,一個新的挑戰已經出現了。
在危機的破壞性影響下,組織在大流行期間做出多項數位業務變革的速度,將被證明是未來幾年的挑戰。不幸的是,快速數位化和數位化的壓力很少有利於網路安全。我們已經在幾個領域看到了這種情況。想想更多遠端工作和影子 IT 的影響。
沒有信任,數位經濟和我們配備數位設備的世界,就無法蓬勃發展。隨著生態系統和連接經濟中攻擊面的不斷擴大,網路安全在越來越多的業務領域發揮作用。
網路實體工業現實中的網路安全
另一個基本要素是網路世界(或網路空間)與實體世界之間的界限,越來越模糊。
網路安全一詞,源於傳統的網路空間概念。我們傳統上指的是網路空間高度連接的數位網路現實的「分離」世界。從那以後,這個概念也已經過時了。我們所說的網路世界和「實體現實」之間的界限已經模糊,工業 4.0和物聯網(IoT)的網路實體系統(名稱說明瞭一切)是這一演變的又一步。
自從我們開始在各個領域建立橋樑以來,網路和實體(最終是兩個人為的區別)一直在「融合和整合」,零售業是最早的領域之一。記住各種店內技術的興起,以及向全通路和多通路方法的演變。
今天,這更進一步。我們甚至不想談論諸如多元宇宙之類的時髦概念,或者關於擴增實境在各個領域的快速成長的應用。畢竟,IT 和 OT與網路實體系統和物聯網技術融合的領域實際上是無數的。
不言而喻,IT 安全和 OT 安全越來越需要一個整體的方法,正如之前的文章所指出的(IT 代表資訊技術,OT 代表營運技術)。
許多公司面臨的生存問題,將是他們能否應對數位經濟中的安全挑戰(TÜV Rheinland)
網路安全在企業和董事會中的作用
如前所述,將網路安全視為企業和董事會問題的呼籲絕非新鮮事。網路安全專家早就知道這一點。
舉個例子:在多年前的一次採訪中,BT 安全研究全球主管 Ben Azvine 指出,安全也是一個業務和董事會層面的問題。事實上,在當時,網絡安全是公司的三大優先事項。
在之前關於網絡安全演變的文章中,我們提到了大量其他研究和調查,證實了董事會對網絡安全的日益關注以及將安全視為企業風險的觀點。
例如,在 2016 年,ISACA 發現 82% 的受訪者「表示他們的企業董事會關注或非常關注網路安全」。然而,這並沒有轉化為行動。
我們在同一篇報導中報告了普華永道、IDC、思科、Dimensional Research 等機構的類似發現。
安全不僅僅是一個技術問題;這也是一個業務和董事會層面的問題(Ben Azvine,BT 安全研究全球主管)
網路風險和企業議程
認識到數位化發展,也伴隨著增加的風險當然也不是什麼新鮮事。那些關注風險晴雨表的人長期以來一直認為網路安全已成為重中之重。
例如,在 2016 年安聯風險晴雨表中,網路事件首次出現在前 3 大商業風險中。
那麼,分析師要求多年來將網路安全,視為商業問題也就不足為奇了。最終,他們的觀點和決策基於專業人士(無論是首席資訊安全官還是風險管理人員)所看到、所說和期望的內容。
同樣在 OT 安全方面,人們早就意識到網路安全正在成為工業企業的重中之重。例如,在 2019 年,卡巴斯基發現87% 的受訪決策者都是這種情況。同樣在 2019 年,德國萊茵 TÜV明確表示,許多公司面臨的生存問題將是他們是否能夠應對數位經濟中的安全挑戰。而這一切都發生在新冠危機之前。
Gartner 網路安全和董事會
如前所述,網路安全是董事會層面的事情與實踐中發生的事情之間存在差異。
Gartner 是長期倡導採用商業方法,和董事會參與網路安全的分析師之一,他在 2022 年末總結了一些調查結果和建議。讓我們來看看。
根據 Garter的說法,88% 的董事會將網路安全視為業務風險而非技術風險。
然而,如前所述,觀點並不一定會轉化為行動或組織措施。儘管2022 年 Gartner 董事會調查的受訪者中,有 88%表示他們將網路安全視為業務風險,但董事會層面幾乎沒有專門關注該業務風險。
Gartner 發現,只有 12% 的董事會擁有專門的董事會級網路安全委員會。
此外,如果網路安全被有效地視為一種業務風險,人們可以預期組織可能會讓一名非 IT 高級經理對網路安全負責。然而,這僅適用於 10% 的組織。在 85% 的組織中,負責網路安全的最高級別人員是首席資訊官(或同等職位),其次是首席資訊安全官(或同等職位) ,儘管他們意識到網路安全是一個業務/董事會問題,並且組織需要受到保護威脅。
CIO 和 CISO 的作用:重新平衡網路安全責任
當然,這將我們帶到了 CIO 和 CISO 的位置 。對 CIO 的業務角色的強調一點也不新鮮,我們知道它多年來一直在發展。
然而,正如 Gartner 傑出研究副總裁 Paul Proctor 所說:「IT 和安全領導者通常被認為是保護企業免受威脅的最終權威。然而,業務領導者每天都在不諮詢 CIO 或 CISO 的情況下,做出影響組織安全的決策。」
有什麼更好的方法?首先,Gartner 建議 CIO 和 CISO 重新平衡網路安全責任,以便與業務和企業領導者共享。
建議 IT 和安全領導者與高管和董事會合作,建立共同負責影響企業安全的業務決策的治理。
對於 Proctor 來說,整個 2021 年勒索軟體和供應鏈攻擊的湧入,其中許多針對操作和任務關鍵型環境,應該是一個警鐘,即安全是一個業務問題,而不僅僅是 IT 需要解決的另一個問題。
其次,建議首席資訊官和首席資訊官與高管密切合作,以「重新建構業務環境中的網路安全投資」。
情況尤其如此,因為董事會希望瞭解安全投資取得的成果,而根據 Gartner 的說法,安全預算預計將在 2023 年放緩(然而,66% 的 CIO 打算在 2022 年增加網路安全投資)。
在 2021 年 11 月舉行的 2021 年美洲 Gartner 安全與風險管理峰會上,Paul Proctor 深入探討了,如何將網路安全視為業務風險,尤其是業務決策。
「安全程序的目的不是確保我們不會被駭客入侵,」Proctor 說。相反,「安全計劃的目的,是平衡保護需求和業務營運需求。」
目的在這裡很重要。很多時候,關注的焦點不是結果——提供的實際保護——而是「工具或能力的存在」。
建議 CIO 和 CISO 為企業提供不同的解決方案,以保護企業,每個選項的成本和風險。
新興法律目的在讓董事會成員對網路安全故障承擔個人責任,其結果是在董事會演講中指出風險變得不可接受。這種缺乏透明度與將網路安全視為商業決策的對立面(Paul Proctor 在 2021 年美洲 Gartner 安全與風險管理峰會上)
更多關於Proctor 在 2021 年美洲 Gartner 安全與風險管理峰會上的演講,請點擊此處。
Gartner 客戶可以在「 CIO 需要重新平衡業務領導者的網路安全責任」中瞭解更多資訊。
在 Shutterstock 許可下購買的頂級圖片(由 jijomathaidesigners 提供)。所有其他插圖均由其各自提及的所有者提供,僅用於說明目的。
沒有留言:
張貼留言