激励负责任和安全的创新：企业家和投资者的框架

塑造网络安全和数字信任的未来激励负责任和安全的创新投资者和企业家的框架2020 年 6 月 1 激励安全和负责任的创新世界经济论坛 91-93 route de la Capite CH-1223 Cologny/Geneva 瑞士电话：41 (0)22 869 1212传真：41 (0)22 786 2744电子邮件：contact@weforum.org www.weforum.org© 2020 世界经济论坛。版权所有。本出版物的任何部分均不得以任何形式或由任何手段，包括影印和记录，或通过任何信息存储和检索系统。 投资者框架和企业家2内容1.2.2.12.2策略——让投资者能够验证网络要素 113.应用程序 – 推荐的 Cyber Essentials 123.1组织安全 123.2产品安全 133.3基础设施安全 144.网络要素评估 154.1网络安全文化 154.2网络安全治理 174.3网络弹性 194.4安全设计 214.5隐私设计 234.6数据治理和保护 254.7第三方安全 275. 3 激励安全和负责任的创新前言Jeremy Jurgens 常务董事 世界经济论坛技术颠覆是 21 世纪最艰巨的挑战之一。技术和创新带来了许多积极的变化和机遇，但如果它们的开发没有考虑到安全性，它们会带来更多风险和潜在的破坏，而不是提供解决方案。近年来，私营和公共部门的领导者越来越意识到网络风险带来的存在层面。根据世界经济论坛 2020 年全球风险报告，网络攻击排名第二未来 10 年全球企业最关注的风险。1对关键基础设施的网络攻击——被专家网络评为 2020 年第五大风险——在能源、医疗保健等领域变得更加突出和运输。 COVID-19 大流行以及由此产生的对技术的依赖比以往任何时候都更加凸显了网络安全的至关重要性。世界经济论坛于 2020 年 5 月发布的 COVID-19 风险展望：初步映射及其影响报告称，网络攻击和数据欺诈的增加是超过 50% 的受访高管和信息细分对公司造成的第三个最令人担忧的后果近 30% 的受访者表示，技术基础设施和网络是公司最关心的问题。2数字技术引入新漏洞的速度超过了它们可以保护的速度，并且随着每增加一种不安全的技术，遏制网络攻击的前景就会减少。技术面临的风险越来越大，因为随着技术扩展到物理世界，网络攻击可能会造成更传统的动态影响，从而创建一个网络物理系统。3然而，应用隐私设计和安全设计等原则并将网络安全功能集成到新产品中是将产品尽快推向市场仍然只是次要问题。上市时间和安全时间之间存在不平衡。市场对闪亮的新产品和技术小工具或应用程序施加压力，他们很少关心嵌入在新技术中的安全性。这种趋势奖励那些尽可能快地开发新产品并尽早上市的企业家，而忽略这为不断更新的产品创造了巨大的攻击面，其中充满了网络犯罪分子可以利用的漏洞。如果企业家和创新者从一开始就鼓励和激励他们在产品开发中优先考虑安全功能，那么一个更安全的网络空间将逐渐成为可能。消费者行为正在发生变化，消费者对隐私和安全的担忧日益增加4，必然导致市场力量的变化。但这些变化发生得不够快。 投资者框架和企业家4这份洞察报告的目的是为企业家、创新者和投资者提供工具和指导，使他们能够改进新技术的安全功能，并从一开始就整合网络安全功能。我们在此提出了在开发新技术、创新和新公司时需要考虑的一些基本网络安全要求，以确保它们的弹性。此外对于网络要素，该报告提供了专门为企业家和投资者设计的网络风险评估的概念框架和指南。该评估过程包括分析网络风险暴露、评估网络安全准备能力、了解组织中的网络文化及其应对网络事件的准备情况。读者将找到每个网络要素的详细描述，然后是企业家实施的实际步骤以及投资者如何验证它们的指导。需要强调的是，需要根据每个组织的规模、性质和产品类型为其量身定制网络要素。世界经济论坛旨在帮助小型组织了解他们需要如何发展网络安全能力，并从运营的早期阶段就制定网络安全战略，专门针对组织的需求量身定制。我们的关键信息是，以网络安全为中心的文化是或应该是任何发展的起点，并得到安全设计和隐私设计原则的支持和实践，并以路线图为指导，根据组织的发展持续发展网络安全要求（例如治理、弹性）。我们的目标是为了提高认识并为企业家和投资者提供一个实用的框架，以便他们能够将网络安全在他们的战略决策中，使网络安全成为他们企业增长战略的一个组成部分，并将网络安全视为业务推动者。 5 激励安全和负责任的创新前言玛蒂娜·张总统标准普尔全球市场情报美国我们与世界经济论坛的合作重点是为商界领袖和投资者开发指导和工具，通过给予在我们创新和创造新技术时，认真关注并负责任地强调网络安全。每个企业和行业都受到数字化的影响。世界经济论坛创始人克劳斯·施瓦布（Klaus Schwab）将这一转变称为第四次工业革命：一个建立和扩展数字化影响的时代，并引入了技术融入社会的全新方式。5 组织正在利用数字化并开发与客户、合作伙伴和员工沟通的全新方式，以改进业务流程并通过数字供应链开发新产品。 2020 年初的 COVID-19 大流行已导致全球数百万企业仅依靠数字工具作为员工和客户之间的沟通方式。标准普尔全球公司 451 Research 对 800 多名信息技术决策者进行了调查，发现由于冠状病毒的爆发，不到 20% 的人在信息安全上花费更多6，可能会使其他企业面临安全漏洞。随着对技术和数字解决方案的依赖呈指数增长，68% 的企业领导者承认他们的网络安全风险也在上升。7 近 80% 的组织引入数字化创新的速度超过了保护其免受网络攻击的速度。8 数字技术的本质使它们本质上很脆弱到可能采取多种形式的网络攻击——从数据盗窃和勒索软件到可能造成大规模有害后果的系统超车。9自互联网诞生以来，数字工具和技术的开发都将便利性和速度放在首位，而安全性则是次要问题。创新和物联网 (IoT) 的引入极大地增加了潜在的网络攻击面。例如，据估计全球已经有超过 210 亿台物联网设备10，到 2025 年，它们的数量将翻一番。11 2019 年上半年，针对物联网设备的攻击增加了 300% 以上。12这些行为不仅仅是为了攻击端点，而是为了访问整个网络并恶意使用物联网设备。由于 COVID-19，现在有更多的员工、客户、供应商和其他人在远程工作，其中许多未受保护的端点引起了信息安全专业人员的关注。经历网络安全事件的组织可能会产生大量成本，例如补救、系统维修和法律费用。在某些极端情况下，后果 投资者框架和企业家6还可能包括国家、州和联邦政府当局的监管行动，以及对客户或投资者信心产生不利影响的声誉损害。所有这些后果都可能损害公司的竞争力、股价和长期价值。根据 IBM 安全报告，2019 年数据泄露的平均成本为 400 万美元，需要大约 279 天来识别和控制组织中的泄露。 IBM 还发现，三分之二的成本往往发生在违规后的第一年。13随着数字化在全球经济和企业内部蔓延，我们通常关注具有重大影响的事件、媒体报道的大型组织、或监管机构要求一定程度披露的企业。然而，我们不应忘记，企业家通常是中小型企业 (SME)，中小企业代表着全球约 90% 的企业和超过 50% 的就业机会。14 网络相关事件可能对其生存产生巨大影响。在本报告中提供网络要点的目的是提升企业家、创新者和投资者的网络安全文化和意识，并鼓励公共和私人合作继续构建具有安全性的创新生态系统。本报告面向大型企业的决策者和投资者，但也在中小型企业。有了这些实用的指导方针，我们希望市场能够成功地确保创新是安全的、负责任的，并且——最重要的是——值得信赖。 7 激励安全和负责任的创新社会越来越依赖数字技术，这些技术越来越多地以直接的物理方式影响世界。一个强大而有弹性的网络安全需要两件事：解决问题的整体方法和提出解决方案的多样性。每个人都需要加强：用户和消费者、政府和监管机构、企业和投资者。我们数字经济的成功未来取决于从技术开发的一开始就通过设计整合隐私和安全等网络安全原则。世界经济论坛提出的这些实用步骤和最佳实践将帮助公司从一开始就将安全性融入到他们的新产品中布鲁斯·施奈尔讲师美国哈佛肯尼迪政府学院 投资者框架和企业家81.介绍这是在世界经济论坛关于激励安全和负责任的创新倡议框架内发布的一系列见解和资源中的第二份报告，该倡议由塑造网络安全和数字信任的未来平台进行。在第一份报告提出作为投资界的网络安全尽职调查框架，本版侧重于为参与开发技术创新的更广泛社区（包括企业家和投资者）提供实用指导。只有让不同的利益相关者和影响者参与进来，以确保整个创新和技术生态系统都意识到稳健的好处，才能实现网络安全的弹性。网络安全。要认识到网络安全是支持敏捷性、改进创新和确保稳定增长的业务推动力，需要彻底改变思维方式。领先的科技公司一致认为，随着消费者越来越关注技术发展对隐私和安全的影响，网络安全正在成为技术开发商和平台提供商之间的竞争优势。本报告包含三个部分，以帮助指导企业家和投资者进行网络安全：将网络要素纳入业务生命周期本节重点介绍如何在业务流程中实施网络要素。企业家在推出新产品、创新和开发新实体时必须了解网络安全的重要性。另一方面，投资者应该拥有评估其潜在投资的网络准备状况的工具。这里提出的网络要领是由一个利益相关者社区，包括来自科技公司、投资公司、信用评级机构、企业家、学者和公共政策专家的高管。他们的目的是使企业家能够评估和发展其公司和产品的网络安全能力。值得注意的是，企业家需要根据其组织的资源、人才、规模和成熟度水平，有效地调整他们对网络安全的承诺。报告的第二部分是为两个焦点群体编写的：企业家和投资者。企业家的网络要领和实用指南网络要素分为三个不同的安全类别：组织、产品和基础设施，然后是它们的解释和实际实施指南企业家。企业家根据成熟度不断应用和发展其网络安全能力至关重要他们的企业和产品开发生命周期。实用指南旨在促进每个网络要素的实施。投资者的网络要点和实用指南每个网络基本描述都遵循实用指南，使投资者能够验证和验证他们的目标投资。网络要素清单为投资者提供了对潜在投资的网络安全能力进行强有力的尽职调查评估的工具。每个网络必需品的实用验证指南提供了投资者需要问的最重要的问题才能准确评估他们的投资目标。收集建议的数据将为投资决策提供信息。 9 激励安全和负责任的创新2.将网络要素纳入业务生命周期在构建创新的商业模式和技术解决方案时，网络安全对于保护数据、知识产权、在线交易和确保用户信任至关重要。网络安全是当今大多数企业日常运营的推动力，其重要性只会在未来增长。就成功的业务条件而言，网络安全是一项业务管理挑战，需要跨所有业务部门采取战略性和统一的方法。高管们需要做出决定：网络安全在他们的组织中的重要性是什么？他们可以选择致力于网络安全并努力申请通过实施网络安全要素来确保业务运营的寿命的最佳实践，或者他们可以将网络安全视为单纯的合规要求。我们认为，如果新企业的创始人和投资者要成功建立网络能力并营造以网络为中心的环境，他们必须致力于网络安全。一个承诺网络安全涉及意识并确保资源的初始分配，以优先考虑企业和产品中的网络安全发展。为所有业务部门制定网络安全战略并将其作为业务战略的一个组成部分同样重要。完善的网络战略有助于保证网络要素在从启动阶段到成熟的整个业务生命周期中得到应用。早期承诺网络安全允许高管确保他们有一个策略来保护他们企业的潜在攻击面，包括所有系统、网络和第三方暴露。网络意识对所有公司都很重要，无论其规模和发展阶段如何。一个组织需要将生命周期商业整个业务生命周期的网络必需品应用英文 投资者框架和企业家10网络要素融入他们的业务流程、技术应用和员工意识。网络要领描绘了一条超越合规性的网络安全之路，专注于网络弹性和准备。公司领导层应定期审查和评估对网络基本要素的遵守情况，以了解和评估公司的安全绩效。执行领导层应确保发现的任何差距和需要改进的领域实际上都在网络安全治理、隐私和安全设计方面的广泛解决方案中得到解决。网络安全是一个不断发展的动态过程，需要定期评估风险并考虑所有参