网络安全如何最好地支持数字企业

近年来，企业技术中出现了两个一致且相关的主题，涉及快速和戏剧性的变化。一个是数字企业在各个部门和国际上的崛起。第二是IT需要快速反应并积极开发创新以满足企业的数字愿望。图表1显示了“数字化指数” - 公司内部企业数字化进展的研究结果，包括行业，资产和运营。

然而，随着IT组织寻求这样做，许多人面临着重大的网络安全挑战。在公司之后，企业需要数字化和网络安全在现有网络运营模式和实践中保护组织，员工和客户的责任之间出现了根本性的紧张关系。

如果网络安全团队要避免成为数字化的障碍而是成为其推动者，他们必须从三个方面转变他们的能力。他们必须改进风险管理，应用定量风险分析。他们必须将网络安全直接建立在业务的价值链中。他们必须支持下一代企业技术平台，包括敏捷开发，机器人和基于云的运营模式等创新。

网络安全在数字化中的作用

数字企业的每个方面都具有重要的网络安全影响。这里只是几个例子。当公司寻求创造更多的数字客户体验时，他们需要确定如何协调他们的团队来管理欺诈预防，安全性和产品开发，以便他们可以设计控制(例如身份验证)，并创建既方便又安全的体验。随着公司采用海量数据分析，他们必须确定如何识别由数据集创建的风险，这些数据集集成了许多类型的极其敏感的客户信息。他们还必须将安全控制纳入可能不使用正式软件开发方法的分析解决方案中。随着公司应用机器人过程自动化(RPA)，他们必须有效地管理机器人凭证，

同样，当公司为外部客户构建应用程序编程接口(API)时，他们必须确定如何识别由许多API和服务之间的交互创建的漏洞，并且他们必须为适当的开发人员访问构建和实施标准。他们必须继续保持应用程序安全性的严格性，因为他们从瀑布式过渡到敏捷应用程序开发。

现有网络安全模型面临的挑战

在大多数公司，首席信息官(CIO)，首席信息安全官(CISO)及其团队都试图将网络安全建立为企业级服务。那是什么意思?他们将与网络安全相关的活动整合到一个或几个组织中。他们试图识别风险并将其与企业范围的风险偏好进行比较，以了解差距并做出更好的决策。他们制定了企业范围的政策，并以标准为其提供支持。他们已经建立了治理，以平衡开发团队优先考虑产品上市时间和成本优先于风险和安全的趋势。

事实证明，所有这些行动对组织的安全都是绝对必要的。没有它们，网络安全漏洞会更频繁地发生，并且往往会带来更严重的后果。然而，所需的行动与新兴的数字企业模式紧密相关，这是从客户界面到后台流程的端到端数字化转型的结果。随着公司寻求使用公共云服务，他们经常发现安全性是“帐篷中的长杆” - 在公共云基础架构上站立应用程序问题中最棘手的部分。

在一家金融机构，开发团队对安全性需要很长一段时间感到沮丧，以确认和批准其云服务提供商的生产用途目录中的增量项目。其他公司的开发人员对这样一个事实感到困惑，他们可以在几分钟内启动服务器，但必须等待数周才能将其应用程序投入生产所需的漏洞扫描。IT组织发现现有的安全模型并非以“云速”运行，也没有为开发人员提供足够的专业支持。

开发和网络安全团队之间的错位导致错失商机，因为新功能在推向市场时被推迟。在某些情况下，缩小差距的压力导致了更大的漏洞，因为开发团队会根据安全策略和标准制定规则。

数字企业的网络安全

为了应对积极的数字化，世界上一些最复杂的网络安全功能开始沿着我们描述的三个维度转变其能力：使用定量风险分析进行决策;将网络安全纳入业务价值链，并实现结合了许多创新的新技术运营平台，例如敏捷方法，机器人技术，云计算和“DevOps”：软件开发和IT运营相结合，缩短了开发时间并提供了新功能，修复和与业务一致的更新。

使用定量风险分析进行决策

网络安全的核心是决定接受哪些信息风险以及如何减轻风险。传统上，CISO及其业务合作伙伴使用经验，直觉，判断和定性分析相结合的方式制定了网络风险管理决策。然而，在今天的数字化企业中，要保护的资产和流程的数量，以及一刀切的保护措施的实用性和功效的降低，大大降低了传统决策过程和启发式的适用性。

作为回应，公司开始通过定量风险分析来加强其业务和技术环境，以便他们能够做出更好的，基于事实的决策。这有很多方面。它包括复杂的员工和承包商细分以及行为分析，以识别可能的内部威胁迹象，例如可疑的电子邮件活动模式。它还包括基于风险的身份验证，用于考虑元数据(如用户位置和最近的访问活动)，以确定是否授予对关键系统的访问权限。最终，公司将开始使用将业务资产，威胁情报，漏洞和潜在缓解联系在一起的管理仪表板，以帮助高级管理人员进行最佳的网络安全投资。

将网络安全构建到业务价值链中

在网络安全方面，没有一个机构是一个孤岛。任何复杂的公司都会与客户，供应商和其他业务合作伙伴交换敏感数据并互连网络。因此，网络安全相关的信任问题(以及减轻保护的负担)已成为许多部门价值链的核心。例如，药房福利管理人员和医疗保险公司的首席信息安全官不得不花费大量时间来确定如何保护客户的数据，然后向这些客户解释。同样，网络安全对于公司如何决定采购团体健康或商业保险，主要经纪业务以及许多其他服务绝对至关重要。

领先的公司开始将网络安全构建到他们的客户关系，生产流程和供应商互动中。他们的一些策略包括：

利用设计思维建立安全便捷的在线客户体验。例如，一家银行允许客户自定义其安全控制，如果他们同意双因素授权，则选择更简单的密码。

教育客户如何以安全可靠的方式进行互动。一家银行有一位高级管理人员，他的工作就是到世界各地教高级净值客户和家庭办公室如何防止他们的帐户受到损害。

分析安全调查，了解企业客户的期望并创建知识库，以便销售团队在谈判期间以最小的摩擦响应客户安全查询。例如，一家(SaaS)软件提供商发现其客户坚持要求具有特别强大的数据丢失防护(DLP)规定。

例如，将网络安全作为产品设计的核心特征来处理，医院网络必须将新的手术室设备集成到更广泛的安全环境中。展示了如何在产品开发过程中嵌入安全性的示例。

对传统信息安全和操作技术安全性进行无缝查看，以消除漏洞。一家汽车零部件供应商发现，拥有某些固件主版本的系统可以作为其制造的燃油喷射系统的攻击载体。凭借这些知识，它能够提供额外的保护。制药公司已经发现需要在整个供应链中采用端到端的信息保护观点来解决某些关键漏洞。

使用威胁情报从外部询问供应商技术网络并评估妥协风险。

一致完成，这些行动产生了好处。它们增强了客户的信任度，加速了他们对数字渠道的采用。它们降低了客户或员工试图规避安全控制的风险。随着供应商和客户就信息风险的责任和责任进行谈判，它们可以减少摩擦和延误。它们本质上构建了面向客户和运营流程的安全性，减少了与安全保护相关的“无谓损失”。

启用DevOps增强的灵活，基于云的操作平台

许多公司似乎都试图改变有关IT运营的一切。他们正在用敏捷方法取代传统的软件开发流程。他们从供应商那里遣返工程人才，并为开发人员提供自助服务访问基础设施。有些人在利用云服务时完全摆脱了他们的数据中心。所有这一切都是为了使技术快速和可扩展到足以支持企业的数字愿望。反过来，建立一个现代技术模型需要一个更加灵活，反应灵敏，敏捷的网络安全运营模式。该模型的主要原则包括：

将安全团队组织成敏捷(scrum或scrumban)团队，管理开发人员可识别的服务，例如身份和访问管理(IAM)或DLP。此外，招聘开发团队领导者作为安全服务的产品所有者可以提供帮助，就像业务经理是客户旅程和客户导向服务的产品所有者一样。

将安全性紧密集成到企业最终用户服务中，以便员工和承包商可以通过类似亚马逊的直观门户轻松获得生产力和协作工具。

构建云原生安全模型，确保开发人员可以在某些护栏内即时无缝地访问云服务。

与基础架构和架构团队协作，将所需的安全服务构建为大规模分析和RPA的标准化解决方案。

转移人才模型以融入具有“E形”技能的人员：具有多个深层知识领域的网络安全专业人员，例如综合解决问题，自动化，开发以及安全技术。

总之，这些行动将消除构建数字技术运营模式和平台的障碍。也许更重要的是，他们可以确保新的数字平台本质上是安全的，允许它们的采用实际上降低了整个企业的风险。

案例：一家大型生物制药公司如何建立网络安全能力，以实现数字化企业。

该公司最近完成了一项重大投资计划，以提高其基础网络安全能力，大大降低其风险状况。然而，业务战略开始以新的方式发展，包括扩展在线消费者关系，数字化产品，增强的供应链自动化以及大量使用分析。该公司现在需要新的网络安全功能，既能解决新的业务风险，又能促进业务和技术创新。

为了开始，网络安全团队聘请了广泛的业务合作伙伴，捕获当前和计划的战略计划。然后，它确定了这些举措将产生的新风险以及网络安全保护可能减缓或阻碍商业机会获取的方式。与此同时，网络安全团队研究了制药行业和其他行业的一系列新兴实践和技术，包括在线服务，银行业务和先进制造业。基于这一切，它为网络安全如何保护和实现公司的数字议程制定了一个总体愿景，并优先考虑了25项举措。一些最重要的是：

与商业团队合作，通过在线病人旅程中设计安全性来建立患者信任

与制造团队合作，提高工厂资产配置的透明度

与更广泛的技术团队合作，创建API和模板，以确保在公共云中运行的系统的安全配置

显着扩展安全环境的自动化，以减少开发人员和用户在与网络安全团队交互时遇到的时间滞后和挫折。

然后，网络安全团队利用其愿景和举措向高级管理层阐明如何实现公司的数字业务战略，以及其他组织需要的支持和帮助。

通过数字化，分析，RPA，敏捷，DevOps和云，很明显，企业IT正在快速发展，并以令人兴奋和创造价值的方式发展。这种演变自然会与现有的网络安全运营模式产生紧张关系。为了克服紧张局势，组织需要将量化风险分析应用于决策，创建安全的业务价值链，并创建包含最新创新的运营平台。这些行动需要网络安全组织的重大调整。其中许多组织仍处于这一旅程的早期阶段。随着他们的继续，他们将越来越有能力保护公司，同时支持业务和IT的创新目标。