網絡安全：數字化企業的關鍵 - 網安 - 專業的網絡安全產業、社區、知識平臺

寫在前面：這是一篇寫于2019年7月19日的文檔。在網絡安全技術快速變化的今天，似乎是一篇老文檔了。但回過頭來看，還是有很多真知灼見，表明了麥肯錫對業務數字化轉型的獨特思考。

正文

隨著公司實現數字化業務和自動化運營，網絡風險激增；本篇就是關于網絡安全組織如何支持安全數字化的議程。

近年來，在企業技術中出現兩個目標一致、彼此相關的主題，二者都經歷著飛速和激動人心的變化。一是跨越行業、全球化的數字化企業的崛起。一是IT需要快速響應，積極發展創新，滿足企業的數字化期望。圖1展示了“數字化指數“-在不同公司內企業數字化進展的研究結果，包括行業、資產和運營。

圖1

雖然IT組織尋求數字化，然而，很多都面對著重大的網絡安全挑戰。一個又一個公司，在業務需要數字化和網絡安全團隊使用現有的網絡運營模型和實踐，保護組織、員工、客戶的責任之間，產生了不可調和的緊張關系。

如果網絡安全團隊避免成為數字化的障礙，而是成為推動者，他們必須在三個維度上進行轉型。他們必須提高風險管理，使用定量風險分析，必須把網絡安全直接構建到業務價值鏈中，他們必須支持下一代企業技術平臺，包括如敏捷開發、機器人學、基于云的運營模型。

網絡安全在數字化中的角色

數字化企業的每個方面都受到網絡安全的重要影響。這里只是幾個簡單的例子。隨著公司尋求創造更多的數字化客戶體驗，他們需要決定團隊在管理阻止欺騙、安全和產品開發方面保持一致，能夠設計控制措施，例如認證，和創造方便安全的體驗。隨著公司采用大數據分析，他們必須決定如何識別集成多種類型敏感客戶信息的數據設置產生的風險。他們還必須在也許沒使用正式的軟件開發方法分析方案中包含安全控制。隨著公司使用機器人過程自動化（robotic process automation，RPA），他們必須有效地管理機器人憑證，確信“邊界情況“-具有不期望或不常見的因素，或在正常限制之外的輸入-不會引入安全風險。

同樣，隨著公司為外部客戶構建應用編程接口（API），他們必須決定如何識別許多API和服務之間交互產生的漏洞，他們必須為開發人員合適的訪問構建和加強標準。當從瀑布轉移到敏捷的應用開發時，他們必須持續保證應用安全的嚴謹性。

當前網絡安全模型的挑戰

在大多數企業，首席信息官（CIO）、首席信息安全官（CISO）和他們的團隊，已經尋求把網絡安全建成為企業級服務。那意味著什么？他們已經把網絡安全相關的活動合并到一個或多個組織中。他們已經盡力去識別風險，和整個企業內的風險偏好對比，去了解差距和做出彌補的更好決策。他們建立了企業范圍內的策略，并使用標準來支持。他們已經建立了治理措施，平衡開發團隊將推向市場時間的優先級高于風險及安全成本之上的趨勢。他們打造了安全服務，在得到漏洞掃描或滲透測試結果之前，要求開發團隊從中心組生成ticket請求服務。

所有這些行為已經證明了安全對組織絕對必要。沒有他們，網絡安全事件發生的更頻繁-通常有更多的嚴重后果。然而，所需的行動，和新興的數字化企業模型-端到端數字化轉型成果-從客戶界面到后臺流程存在緊張關系。隨著公司尋求使用公有云服務，他們常常發現安全是“帳篷里的長桿“-公有云基礎設施中運行應用程序是問題中最棘手的部分。

在金融機構中，開發團隊受挫于安全團隊對于產品使用、云服務商增量項目，要經過長時間的驗證和批準。其他公司的開發人員也困惑于這個事實-他們能在幾分鐘內啟動服務器，但對所要求的漏洞掃描必須等待幾周，才能推動應用程序上線。任何地方的IT組織都發現，當前的安全模型無法按“云速度“運行，不能給開發人員在分析、機器人過程自動化（RPA）和API方面提供足夠的專業化支持。

圖2

開發人員和網絡安全團隊的不一致，導致錯失了業務機會，因為新的功能被延遲推向市場。在某些情況，彌補差距的壓力引起漏洞的增加，因為開發團隊為了繞過安全策略和標準而改變規則。

數字化企業的網絡安全

為了響應積極的數字化，一些世界上最復雜的網絡安全功能開始在三個維度上轉變他們的能力。使用定量風險分析來決策，把網絡安全融入業務價值鏈，使用結合很多創新的新技術運營平臺。這些創新包括敏捷方法、機器人學、云和DevOps（軟件開發和IT 運營的結合，縮短開發時間和交付符合業務需求的新的功能，修復和更新）。

使用定量風險分析進行決策

網絡安全的核心是決定接受哪些信息風險和如何緩解他們。傳統上，CISO和他們的業務伙伴使用經驗、直覺、判斷和定性分析，做出網絡風險管理決策。然而，在今天的數字化企業中，面對需要保護的資產和流程的數量，一刀切似的保護措施降低了實用性和有效性，極大地降低了傳統決策過程和啟發方法的適用性。

作為對策，公司使用定量風險分析，開始加強他們的業務和技術環境，他們能夠做出更好、基于事實的決策。這涵蓋很多方面，包括有經驗的員工和承包商細分，以及行為分析，識別可能的內部威脅跡象，例如可疑電子郵件特征。考慮到元數據，也包括基于風險的認證-例如用戶位置和最近的訪問活動-決定是否批準對關鍵系統的訪問。最后，公司將開始使用管理儀表盤，把業務資產、威脅情報、漏洞和潛在的緩解措施結合到一起，幫助高級管理人員做出最好的網絡安全投資。以便他們關注的投資領域能夠使用最少成本和損壞實現最好的保護。

把網絡安全融入業務價值鏈

關系到網絡安全，沒有機構可以置身度外。各種復雜度的公司，在客戶、供應商、其他的業務伙伴之間，交換敏感數據和網絡互聯。結果是，與網絡安全有關的信任問題和減輕保護負擔變成了很多行業價值鏈的核心。例如，藥品福利管理公司和健康保險公司的CISO必須花費大量的時間，思考如何保護他們的客戶數據，并解釋給客戶。同樣，網絡安全對公司在購買團體健康保險或商業保險、主要經紀業務和許多其他服務方面做出決策特別重要。這是公司購買物聯網（IoT）產品時，需要考慮最重要的單一因素。（圖3）

圖3

領先公司開始把網絡安全融入他們的客戶關系、生產流程、供應商互動中。其中的戰略包括：

使用設計思維打造安全和便捷的在線客戶體驗。例如，一個銀行允許客戶定制化他們的安全控制措施，如果他們同意雙因素認證，可以選擇簡單密碼。
教育客戶如何按照安全可靠的方式交流。一個銀行有高級管理者，他的工作是全球出差，教育高凈值客戶和家族理財室，如何阻止他們的賬戶免受攻擊。
分析安全調查，理解企業客戶期望，生成支持庫，以便銷售團隊在談判時，能以最小的摩擦，響應客戶的安全查詢。例如，一個SaaS提供商發現它的客戶堅持提供強安全性的數據防泄漏（DLP）產品。
把網絡安全作為產品設計的核心功能。例如，醫院網絡將新的手術室設備集成到它廣泛的安全環境中。圖4展示了安全如何嵌入產品開發流程的例子。

圖4

采取無縫的視角，橫跨傳統信息安全和運營技術安全，消除漏洞。一個汽車零件供應商發現，包含其固件主版本的系統，能作為燃油噴射系統的攻擊手段。有了這些知識，就可以設置合適的保護措施。藥物公司發現，他們供應鏈需要端到端信息保護視角，解決某些關鍵漏洞。（圖5）

圖5

使用威脅情報，審核外部供應商技術網絡和評估被攻擊風險

如果協同配合完成，這些行動能帶來好處。提高了客戶信任，加速他們采用數字化方式。他們降低客戶或員工違反安全控制的風險。當供應商和客戶就信息風險的責任和義務談判時，減少摩擦和延遲。把安全真正地構建到面向客戶和操作流程中，減少與安全保護相關的“無謂損失“。

通過DevOps增強敏捷、基于云的運營平臺

許多公司看起來正在試圖改變和IT 運營有關的每件事。他們使用敏捷方法取代了傳統軟件開發流程，他們遣返了廠家的工程人員，讓開發人員自主訪問基礎設施。一些公司使用云服務，放棄了數據中心。所有這些都是為了使技術足夠快速和擴展，支持企業的數字化愿景。反過來，使用現代技術模型，要求更靈活、快速響應、敏捷的網絡安全運營模型。這個模型的關鍵原則包括如下：

從基于ticket接口轉移到安全服務API。這要求自動化每個可能的交互，把網絡安全集成進軟件開發工具鏈。這將允許開發團隊執行漏洞掃描、調整DLP規則、設置應用安全，連接到身份，通過API訪問管理服務。（圖6）

圖6

安全團隊融入敏捷scrum或scrumban團隊，管理開發人員可識別的服務，例如身份和訪問管理（IAM）或DLP。此外，招募開發團隊領導作為安全服務的產品所有者，能有所幫助，就像業務管理者是擔任客戶全程和面向客戶服務產品所有者一樣。
把安全緊密集成到企業終端用戶服務，員工和承包商可以通過直觀的、類似亞馬遜的門戶，能很容易得到生產力和協同工具。
打造云原生安全模型，確保開發人員能在特定的圍欄內，即時無縫訪問云服務。
與基礎設施和架構團隊合作，將要求的安全服務構建到標準方案中，實現大規模分析和機器人過程自動化（RPA）。
轉變人才模式，將擁有好幾個領域深厚知識的網絡安全專家，如綜合問題解決、自動化、開發等“e形”技能人才和安全技術整合到一起。

綜合起來，這些行動會消除障礙，打造數字技術運營模型和平臺。也許更重要的是，他們能確保新的數字平臺生而安全，允許他們的采用能從整體上減少企業的風險。

隨著數字化、分析、機器人過程自動化（RPA）、敏捷、DevOps和云。很明顯企業IT正在以令人激動和價值創造的方式快速發展。這種發展和現存網絡安全運營模式產生了緊張關系。組織如果想克服這種緊張，他們需要應用定量風險分析來實現決策，創建安全業務價值鏈，啟用包括最新創新的運營平臺。這些行為要求網絡安全組織做出重大調整。許多這樣的組織仍然處在早期階段。隨著逐漸深入，他們將變得越來越能夠保護公司，同時支持業務和IT團隊的創新目標。

（完）