在监管压力不断增加和网络威胁不断上升的情况下,高管必须优先考虑网络安全转型,以保护资产、促进增长并确保弹性。
在当今的数字世界中,网络安全不应再被抛在脑后,而是企业至关重要的必需品。如果不积极主动地进行网络安全转型,企业将面临监管处罚、运营中断、网络安全漏洞和声誉受损的风险。通过将网络安全作为企业的优先事项,领导者可以保护数字资产,促进创新,并建立长期的韧性。
据门罗大学称,1971年,鲍勃·托马斯(Bob Thomas)无意中在美国政府的阿帕网(ARPANET,现代互联网的前身)上释放了一种病毒(Creeper)。随后,其同事雷·汤姆林森(Ray Tomlinson)创建了一种病毒检测程序(Reaper),用于检测并消灭Creeper。这些事件开启了网络安全防御的诞生,远早于该行业正式兴起之前。
25年前,我投身信息技术 (IT) 行业,亲眼见证了技术支持、服务交付、服务管理和软件开发等诸多领域的“变革”。在此期间,网络安全基本上被搁置一旁,因为产品团队总会以紧迫的工期、开发问题和其他因素为由,为自己缺乏网络安全集成和尽职调查的缺陷辩解。
直到最近,随着董事会成员寻求制定技术风险管理战略,网络安全转型才成为企业首要任务。根据IBM的《2024年数据泄露成本报告》,数据泄露的平均成本为488万美元。对于许多企业而言,这笔成本不仅包括声誉损失、法律风险和客户信任度下降。网络安全转型能够直接缓解这些风险,并降低网络保险费,因为它体现了企业的尽职尽责。
网络安全转型为何重要?
在当今互联互通的世界,网络安全转型至关重要,技术进步的速度远远超过传统的安全措施。随着企业数字化运营并采用云计算、物联网设备和人工智能驱动的流程,恶意行为者的攻击面呈指数级增长。网络威胁已从简单的网络钓鱼攻击演变为复杂的勒索软件攻击、国家支持的攻击以及供应链漏洞。如果不采取积极主动的网络安全转型措施,企业将面临灾难性的安全漏洞,严重损害其声誉和财务稳定。
此外,监管环境瞬息万变,政府和行业机构的合规要求愈发严格。美国证券交易委员会的新规要求上市公司披露重大网络安全事件,并证明其在董事会层面的监督力度。未能实施和报告网络安全措施可能导致股东诉讼和监管罚款。
网络安全转型确保组织保持敏捷性和合规性,并将安全性融入其运营的每个层面。通过将安全作为核心业务功能,企业可以保护敏感数据,并与客户、合作伙伴和利益相关者建立信任,同时巩固其市场地位。
网络安全转型的核心在于将安全视角从被动的复选框转变为业务增长的战略推动因素。它能够培养一种韧性文化,让安全团队与业务领导者协作,将风险管理纳入长期规划。当网络安全成为所有部门的共同责任时,组织就能满怀信心地拥抱创新。
组织是否需要网络安全转型?
以下是领导者在确定其组织是否需要网络安全转型时可能会考虑的一些关键问题:
- 组织是否持续遭遇安全事件?
如果是这样,您是想找出根本原因,还是只关注症状而不解决问题?
- 各部门是否积极参与网络安全实践?
- 灾难恢复演习有企业参与吗?
- 企业是否维护并实践停机恢复计划?
- 是否定期进行桌面演习,让企业领导层对事件进行角色扮演,并在实际事件发生之前发现解决问题的机会?
- 员工是否需要接受年度网络安全最佳实践培训?
- 组织是否定期进行测试以确定培训的有效性,例如网络钓鱼模拟?
- 网络安全是否由第三方根据 NIST 网络安全框架 (NIST CSF) 等公认框架进行独立评估?
解决这些问题可以为安全计划的弱点和机会提供宝贵的见解,为有意义的网络安全转型铺平道路。
网络安全转型的好处
通过现代化安全框架、技术和实践,组织可以获得多重优势。这些优势凸显了网络安全转型对于希望在复杂威胁环境中蓬勃发展并保持竞争优势的组织至关重要。
- 风险管理。提高识别、评估、确定风险优先次序以及有效缓解或管理风险的能力。
- 业务弹性。最大限度地减少停机时间,使 IT 团队能够根据恢复时间目标和恢复点目标完全恢复系统。
- 提高合规性。符合法规和行业标准,避免处罚和声誉损害。
- 增强信任。增强利益相关者、客户和顾客对组织安全态势的信心。
- 成本管理。减少违规造成的财务损失,降低网络保险成本。
- 业务支持。鼓励通过标准架构采用安全技术和实践,实现快速部署。
如何实施网络安全转型
这个五步框架为组织通过网络安全转型改善其安全态势提供了实用的路线图和起点。
- 使用第三方评估工具评估当前的网络安全计划,根据通用框架(例如NIST 网络安全框架)评估其成熟度水平。这将揭示计划中的优势和劣势。
- 将贵组织的风险登记册或风险优先级与网络安全框架进行匹配。确保贵组织的首要风险优先级与每种风险对应的成熟度评分保持一致。例如,如果贵组织的首要风险是第三方风险,请确保您的网络安全供应链风险管理 ( NIST 2.0 GV.SC ) 能力足够成熟。
- 解决网络安全技术问题,既要解决技术债务问题,又要建立标准,防止未来蔓延。例如,不要只关注现有系统的补丁和漏洞管理。要建立基准标准,防止在没有必要补丁和技术控制的情况下将系统部署到生产环境中。要专注于替换旧系统,而不是使其达到标准。
- 建立员工培训和意识计划。不幸的是,终端用户是恶意行为者经常利用的常见弱点。确保最终用户对可疑电子邮件和请求保持警惕,不仅可以增强您的网络安全计划,还可以确保每个人都明白,网络防御不仅仅是网络安全部门的责任。
- 制定沟通计划,解决董事会和高管层的担忧,并将可能直接感受到新安全工具(例如数据丢失防护)影响的一线员工纳入其中。邀请所有业务线的利益相关者参与技术推广,并制定“网络安全冠军”计划。
网络安全转型的挑战
开展网络安全转型的组织经常面临许多障碍,其中一些主要挑战包括:
- 高管认同与员工抵触。文化是网络安全转型成功的关键。让所有员工和高管理解网络安全转型的重要性并非易事,这往往是网络安全面临的最大挑战之一。定期沟通和培训对于营造满足各级网络安全需求所需的文化至关重要。
- 资源限制。有限的网络安全预算和技能人才短缺可能会阻碍全面网络安全改进措施的实施。据Cyberseek称,目前美国有超过 50 万个网络安全职位空缺。在新冠疫情爆发之前,网络安全行业的薪资存在地域差异。如今,各大机构正在争夺人才,要求的薪资待遇已经超越了此前东海岸和西海岸的水平。
- 跨部门协作。确保所有业务线的协调一致和有效沟通至关重要,但这往往难以实现。我之前的首席信息安全官 (CISO) 曾说过:“我们希望网络安全是我们与你们共同努力的事情,而不是针对你们。” 在启动网络安全转型计划之前,应投入时间与业务负责人建立联系。创建一个由不同部门组成的跨代表网络风险委员会,以帮助解决整个组织的安全问题。该委员会还应定期与 CISO 和其他安全负责人会面,以解决任何安全问题。
人工智能如何改变网络安全转型
人工智能 ( AI ) 正在改变组织在各个业务领域(包括网络安全)的运营方式。采用 AI 流程和工作流程可以减少甚至消除对入门级网络安全分析师的需求,使组织能够专注于战略和业务协调。以下是组织在网络安全转型过程中应考虑使用 AI 的一些领域。
- 日常任务的自动化。人工智能可以自动执行重复性任务,例如事件优先级排序和日志分析,从而使网络安全团队能够专注于战略计划。
- 增强威胁检测。人工智能驱动的系统可以实时分析大量数据,比传统方法更快地识别异常行为和潜在威胁。
- 改进事件响应。人工智能工具通过提供可操作的见解并减少缓解违规所需的时间来简化事件响应流程。
然而,人工智能存在一些安全风险,包括操纵输入数据以获取有害输出的对抗性攻击,以及数据泄露。在组织中实施人工智能时,制定人工智能安全策略将有助于缓解任何安全问题。
随着人工智能的加速应用,企业高管将承担起人工智能安全且合乎道德使用的责任。欧盟《人工智能法案》和美国新兴政策要求各组织对人工智能模型的偏见、可解释性和数据使用负责。正因如此,网络安全转型还必须涵盖人工智能治理,例如成立人工智能伦理委员会或采用NIST AI RMF等框架,以维护利益相关者的信任和合规性。
John Doan 是一家世界知名医疗保健组织的网络安全咨询高级主管和网络安全领域架构师。
