企業安全血淋淋的真相：121個“安全人”的大實話

普華永道在 9 月 17 日發布了一份《2019年數字信任洞察之中國報告》，雖然名字比較“玄乎”，但是調查的是目前中國企業和國外企業在數字化轉型過程做的“安全事”以及面臨的問題。

“別人家”的“孩子”是什么樣？這份報告對中國地區121位安全從業人士進行了訪談，得到了以下結果：

想獲得的VS怕失去的

隨著企業的數字化轉型，中國私營企業發展迅速。就企業預期從數字化進程中獲取的價值而言，32%的受訪者預計企業收入將會提高（全球：27%） , 26% 的受訪者希望研發出新產品或進行產品創新（全球：9%） ,12%的受訪者則希望提供更好的客戶體驗（全球：16%）。

數字化轉型為促進企業發展和創新帶來了大量機會的同時，也導致了企業需要應對轉型期間所來帶的特有風險。從中國企業高管和 IT專業人士的角度來看，數字化進程中面臨的最嚴峻風險是數據治理或隱私問題（中國：28%；全球：11%）。

中國企業普遍對數據收集和傳輸存在顧慮，而加強信息安全和對個人數據收集的保護是國家戰略重點。

 企業網絡安全團隊需要解決客戶、員工及企業其他利益相關者與新科技成果之間的互動方式問題。中國受訪者也面臨著數字化轉型帶來的創新風險，即推出新產品、服務和流程所產生的風險（中國：19%；全球：8%）。

我們預估到會有這樣的情況發生，因為四分之一以上的中國受訪者想要在數字化轉型過程中進行產品研發或創新，管理這項風險需要對業務部門進行企業數字化戰略的教育培訓，讓其了解創新對其業務運作的影響。

中國信息通信研究院數據顯示，2017 年中國數字經濟總量達到3.8萬億美元，占中國GDP比重近三分之一。鑒于私營企業在數字化進程中的發展狀況，它們比以往更容易受到網絡安全攻擊。因此，網絡安全是中國企業高管和專業人士面臨的另—個重要風險（中國：18%；全球：29%）。

在企業數字化轉型風險管理能力方面，認為自己效率極高的中國企業高管和IT專業人士（24%）比例低于全球受訪者（31%），多數中國受訪者（55%）對此看法不太樂觀，認為在管理這些風險方面只是略有成效（全球：40%）。

雖然大部分中國受訪者表示建立數字信任是企業優先事項（中 國：90%；全球：85%），但在數字化轉型快速發展的情況下，其風險管理能力有所欠缺。對企業高管和 IT 專業人士而言，他們最缺乏建立數字信任的能力，包括不確定如何實現企業轉型目標（中國：17%;全球：11%），不確定未來10年其數字戰略將有何變化（中國：15%；全球：11%），不確定其數字計劃將取得怎樣的成果（中國：14%;全球：13%）。

科技企業集團百度、阿里巴巴和騰訊正在引領中國的數字化新 趨勢，并顛覆著金融服務業、零售業和旅游業的發展。這些互聯網巨頭不斷打破技術障礙，傳統企業面臨壓力，導致一些老牌企業與時代脫節。由于88%的中國受訪者來自非科技行業， 包括工業制造業、金融服務業或零售和消費行業。

顯而易見，其中部分企業所處的行業受到科技巨頭的顛覆性影響，但他們無法跟上變革的速度，發現自己對于如何完成企業轉型目標或數字化目標茫然無措。為了縮短這些差距，中國企業正逐漸加強其網絡安全計劃，重新規劃企業網絡安全團隊的工作方式。一些企業正在考慮將數字創新流程外包給第三方技術服務供應商，其他企業正在經歷由行業協會（以及監管機構）推動的數字化轉型，這些舉措將強化整體企業生態系統，并為企業謀求數字發展提供支持。

安全團隊被企業認可嗎

當很多企業紛紛主動采用科技主導型商業模式之際，為了建立數字信任，網絡安全計劃必須要與企業目標相稱。為此，網絡安全團隊需要加快推進企業戰略，了解企業風險承受能力，而首要事項是在數字化轉型過程中管理風險。

事實上，從一系列衡量指標來看，多數中國受訪者的網絡安全與業務發展相配的程度高于全球受訪者。83%的受訪者表示，其網絡安全團隊正嵌入企業的業務當中，他們不僅熟悉業務策略，而且制定了支持業務需要的網絡安全策略（全球：72%）。

83%的受訪者認為，其網絡安全團隊與其他所有管理企業風險的部門建立起戰略合作關系，防范企業面臨的最嚴峻威脅和風險（全球： 68%）。81%的受訪者認為，其網絡安全團隊在網絡風險和相關風險問題上能夠與董事會和高級管理層進行有效溝通（全球：70%）。

中國安全團隊的做法

為了實現以戰略及業務為導向，中國網絡安全團隊采取哪些不同的做法呢？在問卷中，我們調查了那些成功轉型并滿足業務發展需求的企業，他們對自己的網絡安全團隊工作開展方式進行了排序。選項最多的26%受訪者表示，其網絡安全團隊與業務團隊密切合作，確保網絡安全策略與業務需要 相配（全球：18%）。15%的受訪者提到，其團隊正在應用自動化及新興科技提高網絡安全能力（全球：11%），而8%的受訪者將加強第三方風險管理（全球：13%）。

然而，中國企業網絡安全團隊處于落后的方面是，并沒有那么頻繁地向公司董事會（中國：4%；全球：5%）和企業首席高管（中國：4%；全球：7%）匯報問題。

網絡安全團隊必須與董事會和高級管理層一起探討網絡安全風險問題。這樣一來，董事會和高級管理層才能承擔起公司某些領域的網絡風險策略的責任，例如為網絡安全事件提前做好準備，應對網絡安全事件，以及提高員工網絡安全 意識等。

安全團隊只響應，沒有識別風險

深入了解網絡安全團隊的哪些做法能更好地與企業目標相配無疑非常重要，與此同時，衡量網絡安全團隊現有的網絡安全措施成熟度同樣大有裨益。

此次調研在這方面對企業進行評價，評價的依據是美國國家標準與技術研究院（NIST）所發布的《網絡安全框架》中的具體類別，6包括五個主要網絡安全功能：識別、保護、檢測、響應和恢復。

成熟度方面，中國網絡安全團隊在“響應”和“保護”兩項功能中成熟度最高，在“識別”功能中成熟度最低，這一情況堪憂，因為這說明調研受訪者只處于響應狀態，在風險發生后采取緩解措施，而未能充分識別風險并防范于未然。這表明網絡安全團隊在識別關鍵資源和企業情況，從而根據企業風險管理策略和業務需要促使企業重點保障網絡安全方面較為薄弱。于是，網絡安全團隊只能進行損害控制，或只能在偵測到事故后為企業提供支持，而且對企業的保護方式也只是減弱或遏制事件的影響。

究其原因，或許是更少比例的中國受訪者（相對其他類別）認為，其網絡安全團隊在保障企業生態系統時采用的是基于風險的方法，而不是就事論事處理問題（中國：69%；全球：63%）。

與同業相比，更少比例的受訪者認為其企業采用NIST《網絡安全框架》等標準框架對網絡安全團隊的能力進行評估（中國：75%；全球：68%）。采用基于風險的方法開展網絡安全活動，使用標準框架進行自我管理，中國網絡安全團隊才能充分預測和管理系統、人員、資產、數據以及性能方面的網絡安全問題。

與其他類別相比，企業高管和IT專業人士認為（“識別”功能內的）“資產管理”類別相對落后，若要保證與網絡安全的一致性，則需要識別機構中的實物資產和軟件資產。與其他類別相比，相對較少的中國網絡安全團隊參與到企業新產品和服務的“安全與隱私”設計當中 （中國64%，全球：60%）。

中國企業在（“識別”功能內的）“治理”類別中成熟度也相對較低，該類別內容包括識別符合外部法律及監管要求的治理項 目或網絡安全政策。這與事實相符，過去一年內，相對其他類別，較少網絡安全團隊為了遵循新法規要求而采取跨部門措施（中國：60%；全球：53%）。國內網絡安全團隊必須清楚中國網絡安全監管架構，并確?，F有控制措施與當前及未來法律法規保持一致。

雖然《中華人民共和國網絡安全法》已于2017年6月開始施行，但是許多法律條文仍有待通過規定和條例的實施來加以完善和解釋。

然而，中國網絡安全團隊在（“響應”功能內的）“溝通”類別中表現出色，因此在網絡安全問題發生后，能夠有效地管理與內部和外部利益相關者的溝通。（“保護”功能內的）“數據安全”類別的成熟度也較高，公司數據管理得當，以保障信息的保密性、完整性和可用性。

商業啟發

過去 20 年，數字化轉型帶動中國企業快速發展，卻導致數 字信任度下降。為了重新建立數字信任，網絡安全團隊需要從應對重大風險轉變為主動識別重大風險，其中包括：

1.遵循基于風險的方法和標準框架，以加強“識別”功能

網絡安全團隊在從事網絡安全活動時，需要提倡使用基于風險的方法和標準框架解決問題。如此，他們可以加強自身能力，以識別關鍵資源和企業情況，從而根據企業風險管理策略和業務需要促使企業重點保障 網絡安全。

2.確保網絡安全策略與業務發展并進

這需要網絡安全團隊加快推進企業戰略，了解企業風險承受能力，有效管理與數字化轉型相關的企業風 險。例如，這或許需要將安全和隱私保護納入到企業新產品和服務中。

3.使用自動化及新興科技提高網絡安全能力

通過機器學習實現自動化以及使用人工智能、機器人流程自動化或物聯網等新興科技，為網絡安全團隊帶來獨特機會，幫助其提升網絡威脅情報、防范和恢復方面的功能。

4.定治理計劃，以遵守外部監管要求

網絡安全團隊有必要制定治理計劃，以滿足網絡安全、數據治理和隱私方面的外部監管要求，在中國尤應如此，原因在于其戰略重要性，以及該領域發展一日千里。

5.將網絡安全作為企業問題處理，而非將其 歸為IT問題

網絡風險是整個企業范圍內面臨的問題，因此涉及公司董事會、管理層、業務部門主管以及IT和安全職能部門。網絡安全團隊需要與董事會和高級管理層共同探討網絡安全風險問題，以便董事會和高級管理層負起企業網絡風險策略的責任。為了制定適當的網絡安全計劃，企業還需要考慮讓員工參與其中。員工可通過培訓和遵守企業標準及指引的方式為網絡安全出一份力。

6.靈活響應和改進

靈活性是產品或服務開發領域中非常熱門的概念之一。要將靈活性與網絡安全計劃相結合，不能只關注技術本身，還要重視整個管理流程。通過追求靈活響應和樹立精益求精的文化，網絡安全團隊可以在其計劃中實現效率和建立高度信任。

雷鋒網注：上述圖文來自普華永道《2019年數字信任洞察之中國報告》，想要獲得更多網絡安全訊息，可以關注雷鋒網旗下微信公眾號“宅客頻道”（微信ID：letshome）。

雷鋒網。

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。