实现数字自由——克服网络安全挑战,助力企业实现自己的数字梦想

数字革命正当时。它一直被称为物联网（IoT），甚至万物网。应用于工业领域，则称之为工业物联网（IIoT）、工业4.0和数字化企业。无论名称为何，据麦肯锡全球研究所（McKinsey Global Institute）预测，到2025年，可能会释放11万亿美元的经济价值。在这一过程中，众多行业将会发生颠覆性变革，竞争力将被重新定义，就业机会重新洗牌，日常生活将发生奇妙的变化。

本博客探讨有关实现数字自由的话题– 克服网络安全挑战，助力各组织追求实现自己的数字梦想。这是一个涉及众多方面的重要话题。我的目标是帮助决策者理清头绪，提高他们组织的网络安全水平，助他们走向数字化。

“燃烧的平台”– 生存之道。作为一名商界领袖，如果还没有人问您如何“走向数字化”，那么很快就会被问到。目前正在发生数字化转型，具体的示例不断涌现：

享经济 – Uber、Lyft、AirBnB；四次工业革命 – 工业0、数字化制造；互联自动驾驶汽车 – Intelligent Mobility (Nissan)、Tesla；智能电网 – 技术、设备和控制系统通信以及协同合作；医疗保健互联服务 – 从临床转向家庭护理数字平台 – Amazon、Apple、Facebook、Google、Netflix

如果您是侏罗纪公园迷，就可以将其联想为每家企业和组织的霸王龙BOOM, BOOM, BOOM时刻。哦，有大事要发生。

您必须实现数字化才能生存。实现数字化需要前所未有的数据生成能力、连接性和设备/系统自治水平。在这种环境下，网络安全是成功的关键。

网络安全终局 – 弹性取胜。最终是要提高弹性。这意味着顺利渡过网络事件，并尽快恢复正常运作。这是个很棒的概念，它以结果为导向。方法和策略需要根据它们对弹性的影响来进行评估。NIST框架为此提供了一个很好的模型：识别、保护、检测、响应和恢复。后续文章将会详细介绍。

至关重要的网络安全 – 网络经济。基于投资回报率制定网络安全决策涉及网络经济的概念。我们来运用这一概念。

如果弹性是目标，那么应优先考虑时间和金钱投入，以对弹性产生最大的影响。拥有杰出成员的AFCEA国际网络委员会发表的两份报告非常清楚地阐述了这一点。2013年，AFCEA发表了The Economics of Cybersecurity: A Practical Framework for Cybersecurity Investment（网络安全经济：网络安全投资的实用框架）。2014年，AFCEA发表了The Economics of Cybersecurity Part II: Extending the Cybersecurity Framework（网络安全经济第二部分：扩展网络安全框架）。我翻出这些过去的报告，是因为这些建议迄今为止最实用。

在网络经济中，存在两个主要考虑因素：

1)网络攻击的复杂程度

2) 所支持任务和/或正在存储或传输数据的关键程度。

利用网络经济，主要投资以下方面：

应对大多数攻击：很大比例的成功网络攻击并“不复杂”。其中包括钓鱼攻击，即员工收到看似合法（实际不合法）的电子邮件，点击附件，不知不觉地发动了攻击。因此，要防范这些攻击，这是很容易关注到的一个环节。很多产品和服务都提供安全意识培训，并衡量组织对这种攻击的“天真无知”程度。引用AFCEA报告，

“原则#1：实施全面的安全控制基准，以应对中低水平的安全威胁至关重要，而且在经济上是有利的。”这第一步走得不错，但是并没有解决我们的实际目标 — 弹性。

保护重要的东西：要实现弹性目标，必须将第一笔投资用于保护关键任务功能；诸如人类生命、国家机密、关键基础设施、知识产权和重要数据。其中任何一项遭受丧失或损害都将带来灾难性的后果。考虑到这些目标的价值，您的投资应该同时应对复杂和简单的攻击。

“原则#2：关注安全控制范围之外的安全投资，以应对组织中最关键的功能和数据面临的更复杂的攻击。”- AFCEA报告。

弹性 –“保护面”：对任何组织而言，“威胁面”都很大。重点关注威胁面后，我们下意识就会知道“它们会进入”，而事实上，它们已经在网络中。随它去，这听起来很令人震惊。改变心态转向“保护面”非常重要。我们关注的是弹性，不是零漏洞。（我对所有完美主义者表示歉意。）因此，投资于先进的安全控制系统和方法，以保护组织的重要职能和资产 - 保护面就小很多。

“原则#3：对于复杂的攻击，组织应承担不保护对组织任务影响最小且成本超过效益的职能和数据的安全风险。”- AFCEA报告。

这个网络投资是投资于处理大多数简单攻击的安全控制系统，并应用先进的控制手段和方法来保护“最重要的资产”。

而市场反馈是：数字自由是当今的一个挑战。德勤（Deloitte）最近对制造业高管进行的一项调查发现，超过一半的人认为工业4.0（数字化制造）对他们的业务具有战略意义。在同一项调查中，网络安全问题被认为是阻碍采用数字化制造的主要因素。如果能够改进网络安全，客户就能加速采用。