下面是小编为大家整理的共同关注:,2020网络安全要点,供大家参考。
© 2020
毕马威国际合作组织 (“毕马威国际”) 。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体,毕马威国际不提供任何客户服务。
协调业务目标与安全需求 无论在工具还是人员方面,很多企业对网络安全投入了大量资源,但如今一些企业认为有必要收缩投资。在这个意义上,网络安全成本已成为主要关注点,可能变得与安全本身一样重 要。为了管理成本,并确保业务与安全的协调,企业通过制定数字化网络安全风险管理流程,使相当部分的网络安全功能自动化,确保网络安全与企业最重要的运营和业务战略相协调。
目前的形势
我们研究了大量风险模型,发现其中缺乏业务驱动的风险场景概念。业务团队的观点需与网络安全团队的观点密不可分,但在太多企业中却并非如此。确定这些风险场景应由业务团队牵头。
如果能通过模型,使业务领导更深入地了解安全控制对风险场景可能产生的影响,流程的效率将显著提高。很多企业不能一贯地获得这种洞见,从而难以在控制措施和业务之间建立顺畅、持续的关系。
对于网络世界可能发生的最坏情形,我们试图未雨绸缪,但很多事件的发生不太引人注目,影响不大,更不用说对业务造成震动。我们从这一角度发现,很多企业不仅设法将安全嵌入第二道防线,而且还将其嵌入以经营为主的第一道防线和审计推动的第三道防线。
大型企业在过去 10 至 15 年间对信息技术安全投入大笔资金,如今他们承认需要开发一种着眼于降低成本的新模型,将安全自动化,使员工各司其职,以降低成本。
© 2020
毕马威国际合作组织 (“毕马威国际”) 。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体,毕马威国际不提供任何客户服务。
共同关注:2020网络安全要点
3 我们需要对整个企业进行风险分析,并通过业务风险的方式发现信息技术风险,从而对企业风险有全局的了解。网络安全职能部门需要更深入地分析业务重点,以确定可能存在的薄弱之处,以及这些缺陷被利用可能造成的影 响。
Ben
Krutzen
在很多国家,企业(尤其是大银行)正在建设共享服务中心,以集成各种网络功能。这些企业显然发现,全凭企业自身建设共享服务中心不具成本效 益,但一般的外包又不可行,因为外包第三方不清楚从业务角度出发应保护的对象。
John
Hermans
4
共同关注:
2020 网络安全要点
企业应采取的行动
全面分析哪些领域需要投资。考虑需要控制哪些风险场景,哪些控制措施与之最相关。绝大多数企业正在进行数字化转型,这意味着他们还应探索网络与风险管理流程的自动化。
如果业务中嵌入安全政策和有关控制,很多事件都能轻易发现。总之,建议企业在全部三道防线中整合网络安全措施,而不是三道防线各自为政。
使安全成为一项端到端优先工作。根本措施是建立安全部门与企业其他部门的持续对话,以确保在战略和经营规划方面安全与业务同步。
为达此目的,通过实施工程方法(如安全设计和隐私设计),使开发运维团队开发新的应用程序和服务时将安全意识注入其日常思 维。
最后,我们希望看到网络安全专业人员的职能不再仅仅由 IT 驱动。网络安全团队需要以业务为导向,具有义务意识。否则,业务与网络安全之间的共生关系永远不会巩固。
©
2020
毕马威国际合作组织
(“ 毕马威国际” )
。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体,毕马威国际不提供任何客户服务。
数字信任与消费者验证 显然,年轻的消费者正在把他们的消费期待延伸到网络生活,尤其是在银行和金融服务方面。于是众多全球大品牌感到威胁。实体店逐渐消亡,谁在数字化客户体验方面占上风,谁就可能占有最大的市场份额。
目前的形势
最终消费者很可能会选择交互最简便并使他们感到安全的品牌。
在目前的环境下,提升客户体验的办法是减少摩擦。对于忘记密码的客户,通过短消息向其手机发送验证码,要求重新输入验证码并确认的做法就是摩擦。
为此,很多企业依靠基于机器学习的方法,以了解客户常见而独特的特征与行为模式(比如指纹、声纹和各种物理生物特征)。特别是金融机构,他们正在努力了解客户与金融机构的交互方式:客户通常如何及何时登录,执行交易的类型,经常提取或转移的资金金额范围等。企业可以归集这些要素,生成独特的客户快照。
对于保有用户交互界面的企业来说,减少客户体验摩擦就是优化客户旅程、建立信任,使客户之旅足够短而高效,以维持客户参与。如果客户认为自己经历了太多复杂程序,他们很可能一走了之而与其他企业做生意。虽然达到客户想要的结果需要客户感到愉快和顺畅,但产品或服务提供商有责任保证整个过程的安全。
© 2020
毕马威国际合作组织 (“毕马威国际”) 。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体,毕马威国际不提供任何客户服务。
共同关注:2020网络安全要点
5 企业必须开始反思获取数据的方式,使其能够与特定威胁的场景相 关。
“ 数据湖 ”(data lake)
概念其实并不新鲜,但汇入的数据,数据如何保持安全,以及确保只有最相关的人士才能访问和利用这些数据都是重要考虑因素。
Charlie
Jacco
对于安全融合中心,近年来人们主要关注一个核心问题(尤其是在美国),就是使工作方式转变为数据推动,以监测安全事 件,打造精简但随网络威胁形势而变化的响应流 程,且一直比网络攻击领先一步。
Alex
Anisie
6 共同关注:2020网络安全要点
企业应采取的行动
首先,最重要的是,任何行业的企业都应努力将数据、验证和反欺诈团队系统化、程序化地联系起来。了解监管规定、所收集的数 据、数据所有者、数据来源及利用方式。打造全面的安全文化。
在此基础上思考,如果要求客户回答问题以通过验证,如何提升客户体验,从而使得客户更方便地验证身份,但在客户作出异常交易时需加强验证要求。尽可能使客户的日常交互简便轻松,但可以基于常见行为模式分析,在有必要的情况下略微增加摩擦。
优先考虑隐私,了解企业数据将如何使用及被谁使用的问题。今后很多数据可能都在云端,企业需要研究如何加密和保护这些数据。这是企业层面可以通过技术解决的问题,但最终需要企业以提升客户体验为目标,即在客户与企业进行数字交互的每一环节提升端到端用户体验。
企业还应反思对数据的评价方式。对各种数据集应用大量规则的传统方法已不再可行,传统方法会产生大量误报,造成太多用例漏网,使骗子有机可乘。关键的想法是利用机器学习算法更有效地分析这些数据以识别行为趋势。
最后,企业需要时刻注意整个防护/检测/反应流程中人员与技术之间的相互关系。安全流程不仅从内部横跨整个企业,同时还影响字面和引申意义上的外部世界,因为第三方也可能会触发企业的安全事件。最后,还需要吸取经验教训。对于用户验证,企业应花时间研究过去发生的事件,将其重新应用到企业的安全协议进行压力测试,以避免类似事件再次发生。
© 2020
毕马威国际合作组织 (“毕马威国际”) 。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体,毕马威国际不提供任何客户服务。
与时俱进的安全团队 最近几年,企业董事会为提高网络安全的重要性进行了广泛的努力。2020年,很多董事会成员对网络安全工作日程有着清晰认知。虽然董事会成员了解网络安全的重要 性,但安全专业人员面临一项重大挑战,即理解网络安全对业务的重要意义,并将这种认知转变为可行的深刻理 解。
目前的形势
很多企业的网络安全团队仍然由技术、经营合规专业人员组成,但这种局面正在转型,网络安全团队逐渐成为更具战略性、前瞻性的资 源,利用其宏大的视野影响业务动态。
在许多行业,不少首席信息安全官(CISO)及其团队正在针对不断变化的业务格局努力调整,以便在进行战略讨论时发出受信赖的、有价值的声音。他们还努力构想企业的特定经营重点,与内部业务领导合 作,尽可能迅速地将这些分析纳入企业的网络安全方案。安全团队的另一项主要关注点,尤其是在金融服务和医疗健康行业,是如何高效低成本地满足监管要求。
安全专业人员的技能不断在进步。总体而言,核心团队需增强其整体业务卓识和具体产品知识,从而更明确地表达与企业风险相关的网络安全风险。
企业应采取的行动
安全团队应走出自己的领域,倾听不同的观点,加强与业务领导的沟通,去理解企业面对不断演变的生态系统真正需要担心的问题。对于正在进行数字化转型的企业(这种企业占多数),网络安全团队应从战略角度参与数字化转型计划,展示自己作为业务、数字和安全
的桥梁作用。树立共同的目标。
识别企业计划存放在云端的数据类型。了解开发和生产环境之间所需交互的类型,然后将交互的需求与安全方案相协调。
与企业公关团队和密切参与客户体验工作的团队紧密合作。应用信息传递策略,即使最糟糕的情形出现,也要确保企业继续向消费者输出信任。
明确哪些任务人工智能能够处理,哪些工作需要人工参与。努力实现企业安全环境中基本控制的自动化,力争至少实现50%的自动化。
最后,使倡导网络安全成为企业环境、社会和治理(ESG)议程的 一个突出特点,以展示对网络安全治理的全面观点和处理广泛事 件的能力。
© 2020
毕马威国际合作组织 (“毕马威国际”) 。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体,毕马威国际不提供任何客户服务。
共同关注:2020网络安全要点
7
首席信息安全官已成为受信赖的内部顾问和重要的运营领导。在进行数字化转型、数据资产价值提取和全球重点工作之间,如果网络管理层具有业务思维与战略意 识,每一家企业都将因此得益。他们率领强大、专心致志的团队,在企业追求增长的新阶段保护和赋能企业。
Rik
Parker
接受事实,新世界已不同于往昔。不是侃侃而谈, “ 我们做了 20 年的网络安全工作,一直是这样或那样做 —— 此外别无他法。
”
而是虚心请教, “ 我们作为一家企业到底应当怎么
做? ” 然后评估可用技术,设计适应企业环境的最佳方案。
Dani
Michaux
迎接下一轮监管潮 当你审查技术风险时,其实你说的是信息技术风险。但你讨论网络安全风险时,所有权和责任划分则不在技术部门的职责范围内。我们发现,网络安全监管的方向和规模正在向更加全面的方向发展,主要关注在于业务和责任划分,比如面向客户的信任输出活动,中、后台操作,以及董事会推动的企业治理职能等。简而言之,其实重点在于第一道防线内的管理。
目前的形势
我们预计,在 2020 年及以后,各类监管部门将继续加强各种专项监管。具体来说,我们发现亚洲对网络安全的新监管规定实际上已使用“网络”一词,而之前的用词是“技术”,具有“ IT ”的意味。用词的精确性提高是令人欣喜的进展。
很多国家遵循欧盟《一般数据保护条例》( GDPR )的某些内容发布了相关规定,或本国已有隐私法律,我们发现企业(特别是大型跨国企业)成立了积极的数据管理部门。核心是,企业希望将数据分析作为一种规章,不仅要了解数据在企业中的存储,还要了解数据所有者、数据处理过程,以及更重要的,用户对该数据拥有的权利和许可。
企业认识到有必要为网络安全增加投资,不仅是工具和流程开发方面,更是针对网络安全人才的匮乏,需要从网络安全治理、风险战略到配置和维护方面加大投入。这方面的投资仍然存在很大的缺 口,而且令人遗憾的是,很多企业招聘的 IT 专业人才缺乏关于监管环境的网络安全思维。因此他们提出的建议常常无效,或者虽然目的很好,但被管理层和董事会误解或无法贯彻执行。
8 共同关注:2020网络安全要点 © 2020
毕马威国际合作组织 (“毕马威国际”) 。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体,毕马威国际不提供任何客 户服务。
网络安全监管着重于三大领域(我称之为监管三部曲):基础性的运营技
术、通过第三方处理的数据外包及韧性,即企业监测、应对网络攻击并恢复的整体能力。
Daryl
Pereira
我成为多层网络攻击模拟
(即所谓的红队行动和道德黑客行为)的超级粉 丝。对安全运营进行测试至关重要,以了解是否能够检测出不同类型的攻 击。如果检测出攻击,对应对方案和程序进行压力测试。越来越多的监管团队在其核心流程中考虑这一因素。
Ton
Diemont
企业应采取的行动
对于三道防线模型,我们建议在第一道防线嵌入网络安全责任与首席信息安全官的角色(建议正式化),并将这些工作与年度业绩目标挂钩。首席信息安全官的核心职责应在第一道防线,以涵盖安全战略目标和愿景,而且,首席信息安全官对于日常监控和工具配置的安全运营应有明确的层级概念或至少功能性划分。
第二道防线(即信息技术风险)应对设计质量和韧性政策与标准提供支持,向管理层和董事会汇报。第三道防线应对前两道防线进行审核与评估。三道防线互相配合的理想状态力求扩大整个组织内的网络安全需求,其中包括监管合规需求。
我们还认为,为识别改进空间,在设计、实施和效果方面对监管合规计划进行持续检验很重要。此外,确保网络安全运营韧性嵌入整体架构和流程,以加强信息技术和运营技术的安全。
应任命严格说来非IT专业人员负责监管合规。事实上,新首席信息安全官应该更加熟练运用业务语言,以确保其信息...
推荐访问:共同关注: 2020网络安全要点 网络安全 要点 关注