网络安全：数字化企业的关键 - 网安 - 专业的网络安全产业、社区、知识平台

写在前面：这是一篇写于2019年7月19日的文档。在网络安全技术快速变化的今天，似乎是一篇老文档了。但回过头来看，还是有很多真知灼见，表明了麦肯锡对业务数字化转型的独特思考。

正文

随着公司实现数字化业务和自动化运营，网络风险激增；本篇就是关于网络安全组织如何支持安全数字化的议程。

近年来，在企业技术中出现两个目标一致、彼此相关的主题，二者都经历着飞速和激动人心的变化。一是跨越行业、全球化的数字化企业的崛起。一是IT需要快速响应，积极发展创新，满足企业的数字化期望。图1展示了“数字化指数“-在不同公司内企业数字化进展的研究结果，包括行业、资产和运营。

图1

虽然IT组织寻求数字化，然而，很多都面对着重大的网络安全挑战。一个又一个公司，在业务需要数字化和网络安全团队使用现有的网络运营模型和实践，保护组织、员工、客户的责任之间，产生了不可调和的紧张关系。

如果网络安全团队避免成为数字化的障碍，而是成为推动者，他们必须在三个维度上进行转型。他们必须提高风险管理，使用定量风险分析，必须把网络安全直接构建到业务价值链中，他们必须支持下一代企业技术平台，包括如敏捷开发、机器人学、基于云的运营模型。

网络安全在数字化中的角色

数字化企业的每个方面都受到网络安全的重要影响。这里只是几个简单的例子。随着公司寻求创造更多的数字化客户体验，他们需要决定团队在管理阻止欺骗、安全和产品开发方面保持一致，能够设计控制措施，例如认证，和创造方便安全的体验。随着公司采用大数据分析，他们必须决定如何识别集成多种类型敏感客户信息的数据设置产生的风险。他们还必须在也许没使用正式的软件开发方法分析方案中包含安全控制。随着公司使用机器人过程自动化（robotic process automation，RPA），他们必须有效地管理机器人凭证，确信“边界情况“-具有不期望或不常见的因素，或在正常限制之外的输入-不会引入安全风险。

同样，随着公司为外部客户构建应用编程接口（API），他们必须决定如何识别许多API和服务之间交互产生的漏洞，他们必须为开发人员合适的访问构建和加强标准。当从瀑布转移到敏捷的应用开发时，他们必须持续保证应用安全的严谨性。

当前网络安全模型的挑战

在大多数企业，首席信息官（CIO）、首席信息安全官（CISO）和他们的团队，已经寻求把网络安全建成为企业级服务。那意味着什么？他们已经把网络安全相关的活动合并到一个或多个组织中。他们已经尽力去识别风险，和整个企业内的风险偏好对比，去了解差距和做出弥补的更好决策。他们建立了企业范围内的策略，并使用标准来支持。他们已经建立了治理措施，平衡开发团队将推向市场时间的优先级高于风险及安全成本之上的趋势。他们打造了安全服务，在得到漏洞扫描或渗透测试结果之前，要求开发团队从中心组生成ticket请求服务。

所有这些行为已经证明了安全对组织绝对必要。没有他们，网络安全事件发生的更频繁-通常有更多的严重后果。然而，所需的行动，和新兴的数字化企业模型-端到端数字化转型成果-从客户界面到后台流程存在紧张关系。随着公司寻求使用公有云服务，他们常常发现安全是“帐篷里的长杆“-公有云基础设施中运行应用程序是问题中最棘手的部分。

在金融机构中，开发团队受挫于安全团队对于产品使用、云服务商增量项目，要经过长时间的验证和批准。其他公司的开发人员也困惑于这个事实-他们能在几分钟内启动服务器，但对所要求的漏洞扫描必须等待几周，才能推动应用程序上线。任何地方的IT组织都发现，当前的安全模型无法按“云速度“运行，不能给开发人员在分析、机器人过程自动化（RPA）和API方面提供足够的专业化支持。

图2

开发人员和网络安全团队的不一致，导致错失了业务机会，因为新的功能被延迟推向市场。在某些情况，弥补差距的压力引起漏洞的增加，因为开发团队为了绕过安全策略和标准而改变规则。

数字化企业的网络安全

为了响应积极的数字化，一些世界上最复杂的网络安全功能开始在三个维度上转变他们的能力。使用定量风险分析来决策，把网络安全融入业务价值链，使用结合很多创新的新技术运营平台。这些创新包括敏捷方法、机器人学、云和DevOps（软件开发和IT 运营的结合，缩短开发时间和交付符合业务需求的新的功能，修复和更新）。

使用定量风险分析进行决策

网络安全的核心是决定接受哪些信息风险和如何缓解他们。传统上，CISO和他们的业务伙伴使用经验、直觉、判断和定性分析，做出网络风险管理决策。然而，在今天的数字化企业中，面对需要保护的资产和流程的数量，一刀切似的保护措施降低了实用性和有效性，极大地降低了传统决策过程和启发方法的适用性。

作为对策，公司使用定量风险分析，开始加强他们的业务和技术环境，他们能够做出更好、基于事实的决策。这涵盖很多方面，包括有经验的员工和承包商细分，以及行为分析，识别可能的内部威胁迹象，例如可疑电子邮件特征。考虑到元数据，也包括基于风险的认证-例如用户位置和最近的访问活动-决定是否批准对关键系统的访问。最后，公司将开始使用管理仪表盘，把业务资产、威胁情报、漏洞和潜在的缓解措施结合到一起，帮助高级管理人员做出最好的网络安全投资。以便他们关注的投资领域能够使用最少成本和损坏实现最好的保护。

把网络安全融入业务价值链

关系到网络安全，没有机构可以置身度外。各种复杂度的公司，在客户、供应商、其他的业务伙伴之间，交换敏感数据和网络互联。结果是，与网络安全有关的信任问题和减轻保护负担变成了很多行业价值链的核心。例如，药品福利管理公司和健康保险公司的CISO必须花费大量的时间，思考如何保护他们的客户数据，并解释给客户。同样，网络安全对公司在购买团体健康保险或商业保险、主要经纪业务和许多其他服务方面做出决策特别重要。这是公司购买物联网（IoT）产品时，需要考虑最重要的单一因素。（图3）

图3

领先公司开始把网络安全融入他们的客户关系、生产流程、供应商互动中。其中的战略包括：

使用设计思维打造安全和便捷的在线客户体验。例如，一个银行允许客户定制化他们的安全控制措施，如果他们同意双因素认证，可以选择简单密码。
教育客户如何按照安全可靠的方式交流。一个银行有高级管理者，他的工作是全球出差，教育高净值客户和家族理财室，如何阻止他们的账户免受攻击。
分析安全调查，理解企业客户期望，生成支持库，以便销售团队在谈判时，能以最小的摩擦，响应客户的安全查询。例如，一个SaaS提供商发现它的客户坚持提供强安全性的数据防泄漏（DLP）产品。
把网络安全作为产品设计的核心功能。例如，医院网络将新的手术室设备集成到它广泛的安全环境中。图4展示了安全如何嵌入产品开发流程的例子。

图4

采取无缝的视角，横跨传统信息安全和运营技术安全，消除漏洞。一个汽车零件供应商发现，包含其固件主版本的系统，能作为燃油喷射系统的攻击手段。有了这些知识，就可以设置合适的保护措施。药物公司发现，他们供应链需要端到端信息保护视角，解决某些关键漏洞。（图5）

图5

使用威胁情报，审核外部供应商技术网络和评估被攻击风险

如果协同配合完成，这些行动能带来好处。提高了客户信任，加速他们采用数字化方式。他们降低客户或员工违反安全控制的风险。当供应商和客户就信息风险的责任和义务谈判时，减少摩擦和延迟。把安全真正地构建到面向客户和操作流程中，减少与安全保护相关的“无谓损失“。

通过DevOps增强敏捷、基于云的运营平台

许多公司看起来正在试图改变和IT 运营有关的每件事。他们使用敏捷方法取代了传统软件开发流程，他们遣返了厂家的工程人员，让开发人员自主访问基础设施。一些公司使用云服务，放弃了数据中心。所有这些都是为了使技术足够快速和扩展，支持企业的数字化愿景。反过来，使用现代技术模型，要求更灵活、快速响应、敏捷的网络安全运营模型。这个模型的关键原则包括如下：

从基于ticket接口转移到安全服务API。这要求自动化每个可能的交互，把网络安全集成进软件开发工具链。这将允许开发团队执行漏洞扫描、调整DLP规则、设置应用安全，连接到身份，通过API访问管理服务。（图6）

图6

安全团队融入敏捷scrum或scrumban团队，管理开发人员可识别的服务，例如身份和访问管理（IAM）或DLP。此外，招募开发团队领导作为安全服务的产品所有者，能有所帮助，就像业务管理者是担任客户全程和面向客户服务产品所有者一样。
把安全紧密集成到企业终端用户服务，员工和承包商可以通过直观的、类似亚马逊的门户，能很容易得到生产力和协同工具。
打造云原生安全模型，确保开发人员能在特定的围栏内，即时无缝访问云服务。
与基础设施和架构团队合作，将要求的安全服务构建到标准方案中，实现大规模分析和机器人过程自动化（RPA）。
转变人才模式，将拥有好几个领域深厚知识的网络安全专家，如综合问题解决、自动化、开发等“e形”技能人才和安全技术整合到一起。

综合起来，这些行动会消除障碍，打造数字技术运营模型和平台。也许更重要的是，他们能确保新的数字平台生而安全，允许他们的采用能从整体上减少企业的风险。

随着数字化、分析、机器人过程自动化（RPA）、敏捷、DevOps和云。很明显企业IT正在以令人激动和价值创造的方式快速发展。这种发展和现存网络安全运营模式产生了紧张关系。组织如果想克服这种紧张，他们需要应用定量风险分析来实现决策，创建安全业务价值链，启用包括最新创新的运营平台。这些行为要求网络安全组织做出重大调整。许多这样的组织仍然处在早期阶段。随着逐渐深入，他们将变得越来越能够保护公司，同时支持业务和IT团队的创新目标。

（完）