共同关注：2020网络安全要点-网络安全威胁日益严重 保护经营环境，你准备好了吗？

共同关注： 2020网络安全要点 网络安全威胁日益严重 保护经营环境，你准备好了吗？ kpmg.com/cybersecurity © 2020 毕马威国际合作组织 (“毕马威国际”) 。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体，毕马威国际不提供任何客户服务。 企业经营不断变化，第四次工业革命蓬勃发展。随着董事会想方设法利用数字经济的潜力，打造新的客户体验，进行服务转型，推动效率提升和成本节约，数据已成为企业的生命线。新业务模式、新技术和新的合作关系融为一体，将创造崭新的未来。 在这个千变万化的世界，有一些不计后果的企业家，他们利用新经济的机会赚取丰厚利润。很可惜，他们是网络犯罪分子，站在了法律的对立面。他们对遵纪守法的企业造成新的挑战。对于如何保护自己的竞争优势，开发新的业务模式以实现和保持网络安全，企业需要转变思想。 网络安全专业人员需要证明，虽然网络犯罪分子犯罪行为的节奏和速度很快，但自己能够利用灵活的思维和行动保护转型企业的核心竞争力。 他们需要汇聚整个企业内擅长于合作的人才，这种人才能够采取积极主动的态度，直面难题。首席信息安全官无法事必躬亲，需要建立新的合作方式。技术发展是机遇而非威胁，网络安全正在成为一股主要的业务推动力量。 我们*选取了将影响今后网络安全处理方式的六大关注点，请我们的专业人士分享他们的见解和经验，以帮助企业应对未来的挑战。 **除非另有所指，否则本文件中，“我们”和“毕马威”是指毕马威以及与毕马威国际相关联的独立成员所网络，或指一家或多家相关成员所，或指毕马威国际。毕马威国际不提供任何客户服务。成员所与第三方的约定对毕马威国际或任何其他成员所均不具有任何约束力；而毕马威国际对任何成员所也不具有任何上述约束力。 © 2020 毕马威国际合作组织 (“毕马威国际”) 。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体，毕马威国际不提供任何客户服务。 在安全运维(SecOps)团队努力整合重点安全工作与软件及流程开发的过程中，为提高效率和节省成本，分析型解决方案的核心任务应尽可能自动化，包括访问与欺诈预警、数据隐私与风险降低等。 Tony Buffomante 持续有效的网络空间安全性管理需要将事件处理、业务连续性与灾难恢复计划统一协调起来，这需要整个企业从前台到后台的全方位合作。 Akhilesh Tuteja 协调业务目标与安全需求 数字信任与消费者验证 与时俱进的安全团队 迎接下一轮监管潮 云转型与韧性 自动化安全功能 共同关注：2020网络安全要点 1 2 共同关注：2020网络安全要点 © 2020 毕马威国际合作组织 (“毕马威国际”) 。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体，毕马威国际不提供任何客户服务。 协调业务目标与安全需求 无论在工具还是人员方面，很多企业对网络安全投入了大量资源，但如今一些企业认为有必要收缩投资。在这个意义上，网络安全成本已成为主要关注点，可能变得与安全本身一样重要。为了管理成本，并确保业务与安全的协调，企业通过制定数字化网络安全风险管理流程，使相当部分的网络安全功能自动化，确保网络安全与企业最重要的运营和业务战略相协调。 目前的形势 我们研究了大量风险模型，发现其中缺乏业务驱动的风险场景概念。业务团队的观点需与网络安全团队的观点密不可分，但在太多企业中却并非如此。确定这些风险场景应由业务团队牵头。 如果能通过模型，使业务领导更深入地了解安全控制对风险场景可能产生的影响，流程的效率将显著提高。很多企业不能一贯地获得这种洞见，从而难以在控制措施和业务之间建立顺畅、持续的关系。 对于网络世界可能发生的最坏情形，我们试图未雨绸缪，但很多事件的发生不太引人注目，影响不大，更不用说对业务造成震动。我们从这一角度发现，很多企业不仅设法将安全嵌入第二道防线，而且还将其嵌入以经营为主的第一道防线和审计推动的第三道防线。 大型企业在过去10至15年间对信息技术安全投入大笔资金，如今他们承认需要开发一种着眼于降低成本的新模型，将安全自动化，使员工各司其职，以降低成本。 © 2020 毕马威国际合作组织 (“毕马威国际”) 。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体，毕马威国际不提供任何客户服务。 共同关注：2020网络安全要点 3 在很多国家，企业（尤其是大银行）正在建设共享服务中心，以集成各种网络功能。这些企业显然发现，全凭企业自身建设共享服务中心不具成本效益，但一般的外包又不可行，因为外包第三方不清楚从业务角度出发应保护的对象。 John Hermans 我们需要对整个企业进行风险分析，并通过业务风险的方式发现信息技术风险，从而对企业风险有全局的了解。网络安全职能部门需要更深入地分析业务重点，以确定可能存在的薄弱之处，以及这些缺陷被利用可能造成的影响。 Ben Krutzen 企业应采取的行动 全面分析哪些领域需要投资。考虑需要控制哪些风险场景，哪些控制措施与之最相关。绝大多数企业正在进行数字化转型，这意味着他们还应探索网络与风险管理流程的自动化。 如果业务中嵌入安全政策和有关控制，很多事件都能轻易发现。总之，建议企业在全部三道防线中整合网络安全措施，而不是三道防线各自为政。 使安全成为一项端到端优先工作。根本措施是建立安全部门与企业其他部门的持续对话，以确保在战略和经营规划方面安全与业务同步。 为达此目的，通过实施工程方法（如安全设计和隐私设计），使开发运维团队开发新的应用程序和服务时将安全意识注入其日常思维。 最后，我们希望看到网络安全专业人员的职能不再仅仅由IT驱动。网络安全团队需要以业务为导向，具有义务意识。否则，业务与网络安全之间的共生关系永远不会巩固。 © 2020 毕马威国际合作组织 (“毕马威国际”) 。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体，毕马威国际不提供任何客户服务。 4 共同关注：2020网络安全要点 数字信任与消费者验证 显然，年轻的消费者正在把他们的消费期待延伸到网络生活，尤其是在银行和金融服务方面。于是众多全球大品牌感到威胁。实体店逐渐消亡，谁在数字化客户体验方面占上风，谁就可能占有最大的市场份额。 目前的形势 最终消费者很可能会选择交互最简便并使他们感到安全的品牌。 在目前的环境下，提升客户体验的办法是减少摩擦。对于忘记密码的客户，通过短消息向其手机发送验证码，要求重新输入验证码并确认的做法就是摩擦。 为此，很多企业依靠基于机器学习的方法，以了解客户常见而独特的特征与行为模式（比如指纹、声纹和各种物理生物特征）。特别是金融机构，他们正在努力了解客户与金融机构的交互方式：客户通常如何及何时登录，执行交易的类型，经常提取或转移的资金金额范围等。企业可以归集这些要素，生成独特的客户快照。 对于保有用户交互界面的企业来说，减少客户体验摩擦就是优化客户旅程、建立信任，使客户之旅足够短而高效，以维持客户参与。如果客户认为自己经历了太多复杂程序，他们很可能一走了之而与其他企业做生意。虽然达到客户想要的结果需要客户感到愉快和顺畅，但产品或服务提供商有责任保证整个过程的安全。 © 2020 毕马威国际合作组织 (“毕马威国际”) 。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体，毕马威国际不提供任何客户服务。 共同关注：2020网络安全要点 5 企业必须开始反思获取数据的方式，使其能够与特定威胁的场景相关。“数据湖”(data lake) 概念其实并不新鲜，但汇入的数据，数据如何保持安全，以及确保只有最相关的人士才能访问和利用这些数据都是重要考虑因素。 Charlie Jacco 对于安全融合中心，近年来人们主要关注一个核心问题（尤其是在美国），就是使工作方式转变为数据推动，以监测安全事件，打造精简但随网络威胁形势而变化的响应流程，且一直比网络攻击领先一步。 Alex Anisie 6 共同关注：2020网络安全要点 企业应采取的行动 首先，最重要的是，任何行业的企业都应努力将数据、验证和反欺诈团队系统化、程序化地联系起来。了解监管规定、所收集的数据、数据所有者、数据来源及利用方式。打造全面的安全文化。 在此基础上思考，如果要求客户回答问题以通过验证，如何提升客户体验，从而使得客户更方便地验证身份，但在客户作出异常交易时需加强验证要求。尽可能使客户的日常交互简便轻松，但可以基于常见行为模式分析，在有必要的情况下略微增加摩擦。 优先考虑隐私，了解企业数据将如何使用及被谁使用的问题。今后很多数据可能都在云端，企业需要研究如何加密和保护这些数据。这是企业层面可以通过技术解决的问题，但最终需要企业以提升客户体验为目标，即在客户与企业进行数字交互的每一环节提升端到端用户体验。 企业还应反思对数据的评价方式。对各种数据集应用大量规则的传统方法已不再可行，传统方法会产生大量误报，造成太多用例漏网，使骗子有机可乘。关键的想法是利用机器学习算法更有效地分析这些数据以识别行为趋势。 最后，企业需要时刻注意整个防护/检测/反应流程中人员与技术之间的相互关系。安全流程不仅从内部横跨整个企业，同时还影响字面和引申意义上的外部世界，因为第三方也可能会触发企业的安全事件。最后，还需要吸取经验教训。对于用户验证，企业应花时间研究过去发生的事件，将其重新应用到企业的安全协议进行压力测试，以避免类似事件再次发生。 © 2020 毕马威国际合作组织 (“毕马威国际”) 。毕马威国际是与毕马威独立成员所网络相关联的瑞士实体，毕马威国际不提供任何客户服务。 与时俱进的安全团队 最近几年，企业董事会为提高网络安全的重要性进行了广泛的努力。2020年，很多董事会成员对网络安全工作日程有着清晰认知。虽然董事会成员了解网络安全的重要性，但安全专业人员面临一项重大挑战，即理解网络安全对业务的重要意义，并将这种认知转变为可行的深刻理解。 目前的形势 很多企业的网络安全团队仍然由技术、经营合规专业人员组成，但这种局面正在转型，网络安全团队逐渐成为更具战略性、前瞻性的资源，利用其宏大的视野影响业务动态。 在许多行业，不少首席信息安全官(CISO)及其团队正在针对不断变化的业务格局努力调整，以便在进行战略讨论时发出受信赖的、有价值的声音。他们还努力构想企业的特定经营重点，与内部业务领导合作，尽可能迅速地将这些分析纳入企业的网络安全方案。安全团队的另一项主要关注点，尤其是在金融服务和医疗健康行业，是如何高效低成本地满足监管要求。 安全专业人员的技能不断在进步。总体而言，核心团队需增强其整体业务卓识和具体产品知识，从而更明确地表达与企业风险相关的网络安全风险。 企业应采取的行动 安全团队应走出自己的领域，倾听不同的观点，加强与业务领导的沟通，去理解企业面对不断演变的生态系统真正需要担心的问题。 对于正在进行数字化转型的企业（这种企业占多数），网络安全团队应从战略角度参与数字化转型计划，展示自己作为业务、数字和安全的桥梁作用。树立共同的目标。 识别企业计划存放在云端的数据类型。了解开发和生产环境之间所需交互的类型，然后将交互的需求与安全方案相协调。 与企业公关团队和密切参与客户体验工作的团队紧密合作。应用信息传递策略，即使最糟糕