德勤2021网络安全前瞻调研报告网络安全，为未来赋能您的员工

　　（报告出品方：德勤）数字化转型
　　网络安全及转型挑战
　　在任何行业，保持竞争力都需要快速开发新产品和 服务并推向市场。
　　创新型业务模式不仅仅是简单地将现有 流程数字化，其正在覆盖供应链并打造 新颖的客户体验。这种转型也使企业面 临新的网络风险，要求企业采用新的网 络战略保护不断发展的业务模式。为管 理这些风险，公司高管和董事会成员需 拥抱变革，实施跨业务线的有效治理， 并演进风险管理流程以实现对所有新接 入业务的端到端可见度洞察，也包括由 第三方承接运营的业务领域。能否成功 取决于企业高级管理层的承诺， 以及在 网络安全方面有效投入的同时，他们理 解网络安全风险的能力。 在被问及如何对其未来一年的数字化转 型举措进行排序时，16%的受访者将数 据分析列为首要任务，15%选择云技术， 另有15%选择新购或升级ERP系统。在今 年的调研中， 增加了OT/ICS（运营技术 /工业控制系统）的问题以及回应选项 （14%认为其是首要任务），这表明整 个行业正在努力实现工厂和运营技术环 境的数字化和现代化。
　　真正具有颠覆性的是变革的速度和规模。 新冠疫情爆发后，整个世界都转向线上活 动，这种颠覆立刻变得更加明显。随着企 业大量员工远程协作，所有企业部门几乎 立刻转型。所幸大部分所需的生态系统， 从云到 Shadow IT (影子IT设施) 到 ICS （工业控制系统），均已就位并准备好迅 速扩张。但不太明显的是这种转变背后存 在着网络风险，目前很少有企业掌握识别 并缓释网络风险至可接受水平的的方法。
　　认知网络风险
　　由于网络威胁会影响整个企业，可能使业务瘫痪并迅速摧毁来之 不易的声誉，因此董事会务必要以他们能够理解的方式评估网络 风险。他们需要将网络威胁与其擅长处理的风险进行比较，熟练 分析网络风险情况，就像其了解资产负债表的健康情况一样。 一旦他们能够理解其所面临的网络风险的性质和规模，他们才知 道如何分配资源才能最好地减轻风险。 此次调研发现，41%的受访者使用网络成熟度评估指导网络投资 决策；35%使用风险量化工具；23%称其依赖于公司网络领导层 的经验。当被问及对新的和/或现有应用程序进行风险分析/威胁 建模的频率时，37%的首席信息官和首席信息安全官表示他们每 季度进行一次，29%每月进行一次。尽管这些评估通常属于首席 信息官和首席信息安全官的职责范畴，但更多的利益相关者也务 必要了解这些工作的相关性和重要性。
　　全速前进？
　　面对规模竞争的压力，企业领导人 通常过于关注数字化转型的结果， 而无法充分考虑网络安全的风险。 这种情况下，就算击败竞争对手， 也会产生具有明显盲点的隧道视野 效应。 随着网络安全问题渗透到从客户触点 到智能工厂以及员工的远程设备的各 个角落，IT部门的职责不再局限于管 理防病毒软件和密码安全，它不仅要 保持网络运行，更需要更广泛、更深 入的思考。 目前，首席信息安全官需要获得授权 去影响所有业务线、收集整个企业范 围内的信息并与董事会和高级管理层 直接对话，还要投入资源和人力充分 保障企业最重要的战略重点和资产。
　　这在面对首席财务官时很难说清楚，因为对 大笔网络安全投资的结果通常是毫无结果。 这也意味着零网络事件是花费很多的。那么， 首席信息安全官该如何规划其网络安全预算？ 2019年，首席信息安全官和首席信息官表示 他们的网络预算平均分配给各个网络安全项 目。2021年，这一情况并未改变，受访者再 次表示网络安全预算进行了类似的平均分配。 首席高管应认识到，管理网络风险没有一劳 永逸的解决方案。 因此，网络安全预算正在增加，着重倾向于 威胁情报、监测和监控、网络转型以及数据 安全。在全球范围内，首席信息安全官和首 席信息官正不断投资于云上规模化网络解决 方案；网络/技术韧性；人工智能驱动的威胁 评估和识别，以构建企业的网络防线。（报告来源：未来智库）客户体验
　　个性化体验甚或侵犯权益？ 合乎道德地使用个人数据
　　我们都期望个性化、有针对性的体验，从食品配送到出差旅行和医疗保健的 一切都能基于我们过往的互动轨迹。我们不希望自己总有被营销人员跟踪的 感觉，无休止的硬塞一些我们不感兴趣的优惠券。 公司如何管理客户数据，在保护隐私的同时实现在线连接和个人体验， 可能是盈利或亏损，乃至能否长期存续的差异因素。
　　隐私设计
　　对于每一个面向客户的项目，务必要在项目最初 考虑隐私和安全。反思与客户建立这种程度的接 触度对业务模式的重要性，并仔细思考提供恰当 服务水平所需的信息类型以及此等信息谁可以访 问、如何储存和保护方式。在问到首席营销官是 否能够衡量并证明对全球数据隐私条例的遵守情 况时，绝大多数受访者（85%）回答可以。
　　避免数据膨胀
　　仅仅收集大量数据希望未来有用，这是对资源的浪 费并可能导致失败。若客户没有看到明显的好处， 他们是反感提供个人信息的。收集并有效使用个人 数据打造真实、个性化和人性化的体验将推动企业 发展。但另一方面，所拥有的数据越多，面临的风 险也越多。关键在于如何平衡。在被问及是否收集 个人数据时，受访的首席营销官中有一半表示收集 数据打造个性化客户体验更为重要，另一半则表示 不收集个人数据以防数据泄露更为重要。
　　隐私设计
　　对于每一个面向客户的项目，务必要在项目最初 考虑隐私和安全。反思与客户建立这种程度的接 触度对业务模式的重要性，并仔细思考提供恰当 服务水平所需的信息类型以及此等信息谁可以访 问、如何储存和保护方式。在问到首席营销官是 否能够衡量并证明对全球数据隐私条例的遵守情 况时，绝大多数受访者（85%）回答可以。 避免数据膨胀 仅仅收集大量数据希望未来有用，这是对资源的浪 费并可能导致失败。若客户没有看到明显的好处， 他们是反感提供个人信息的。收集并有效使用个人 数据打造真实、个性化和人性化的体验将推动企业 发展。但另一方面，所拥有的数据越多，面临的风 险也越多。关键在于如何平衡。在被问及是否收集 个人数据时，受访的首席营销官中有一半表示收集 数据打造个性化客户体验更为重要，另一半则表示 不收集个人数据以防数据泄露更为重要。
　　道德监管
　　消费者越来越愿意购买有绿色环保产品公司的 产品，并积极响应社会问题。同时，他们也担 忧公司如何使用其个人数据。 传统而言，公司听从监管机构的指引哪些该做 哪些不该做。虽然遵守世界各地的各种法律至 关重要，但如果无法解释分享数据的目的，仅 仅假设人们愿意分享个人数据已远远不够。另 外，解释要使用通俗易懂的语言。 无论公司处于哪个地区，那些将信任植入公司 DNA并清楚地传达愿意遵守客户隐私权保护的 公司将得到客户的忠实拥护。公司应编制简洁 明了的用户协议，便于用户访问、删除或迁移 其个人数据。当客户看到公司认真考虑数据政 策并公开数据足迹时，他们更愿意与公司分享 数据。
　　打破数据孤岛
　　首席营销官和首席体验官往往先根据品牌和营销要求制定决策，最后才与首 席信息安全官确认数据收集得当与否（通常答案为＂否＂）。不同团队对数 据收集持不同看法。一个团队认为其工作需要收集尽可能多的数据，而另一 团队认为只需收集必要的数据并加以保护。而最佳实践是协力研究如何在收 集用以提供无缝体验所需信息的同时，尽可能地降低公司及其客户所担风险。 在利用数据将客户体验点连接起来之前，企业应有将数据孤岛链接的人才。 反之，在设计隐私政策和沟通机制时，企业也应引入市场营销人才。这对品 牌营销和信息传递而言日益重要，而他们可以提供帮助。零信任
　　保护没有边界的 网络世界
　　在传统环境中，IT资源均包含在明确的网络边界内。外部流量 不得信任，而所有内部流量得以信任。现在呢？我们生活在 一个高度互联的世界，一切事物的联系都日益紧密。对于大 多数现代企业而言，网络边界基本上已经消失。
　　72%的受访者表示，其所在企业仅在去年就经历了1至10起网络攻击和数据泄露事件。 如今企业面临的挑战是＂如何才能完全消除固有的信任＂？这对我们如何建立现代安 全架构而言是一次颠覆性变革。幸运的是，零信任安全架构能够满足要求。
　　关于零信任
　　零信任并非一种技术或单一的解决方案，而是一套基于＂持续验证，从不轻信＂这一 基本原则的安全架构策略。其理念是将传统的基于边界或＂城堡与护城河式＂ 的安 全管理方式，转变为按需在单个资源与客户之间构建信任的安全管理方式。在零信任 模式下，用户将基于经不断重新验证的内外部因素建立可信连接。
　　踏上零信任之旅
　　方法因战术、架构或战略的主导程度而不同。虽然零信任适用 于所有行业和领域，但并不能提供一个 ＂万能＂的解决方案。 零信任是一项历时多年的倡议，是一次打破业务、IT和各网络 领域之间数据孤岛的变革。任何零信任之旅都将面临荆棘阻碍， 需要整个企业给予强有力的领导层支持、投资和认同才能确保 成功。 您需要考量与企业相关的业务驱动因素、现有功能和用例。牢 记网络安全基本原理至关重要：您想要保护哪些资产？这些资 产在哪里？谁（身份）和哪些（设备）应能够访问这些资产， 且须满足哪些条件？要回答这些问题，企业需确定执行IT资产管 理和数据治理功能的优先顺序，以了解自身资产和数据的类别 和重要性……并由此创建访问控制策略 。然后确定您的目标并 将其嵌入端到端策略，这是实现所期望业务成果的最可靠方法。 然而，这并非易事。受访者纷纷表示＂数据管理/边界和复杂性 加剧＂是在企业在网络安全管理中面临的最大挑战。 零信任不仅仅是一项技术解决方案，更是一次文化变革。其对 整个企业的影响不可小觑。沟通、员工专业培训、认知和运营 流程调整等软因素是取得成功的关键要素。总而言之，此等计 划需要结合所有利益相关者的承诺以制定与业务契合的战略， 以及强有力的领导、专用架构、技术工作组和可落地试点计划 的支持。
　　前行之路
　　科技巨头正引领零信任的成熟度之旅，并应用这些原则开发、 运营和提供安全服务。其他领先企业正采用零信任战略以支持 业务优先事项、数字化转型和企业风险战略。在对自身架构进 行现代化升级时，了解领先企业如何创新及实现规模化部署也 有助于您加速数字化转型。毋庸置疑，变革已然开始。您越早 开始向零信任过渡，此次旅途就越安全。最好是坐在驾驶座里， 决定您的目的地……实现零信任正当时宜。新兴技术
　　连接新兴技术领域
　　大众目光往往聚焦于量子计算、5G和数字孪生等前 沿技术，但在制造业应用了数十年的既有技术（如 运营技术）也属于新兴技术范畴。
　　无论一项技术是全新问世或是部署已久，＂新兴＂是指它与互联网的连接， 也指现实世界与数字世界以几乎任何可以想象到的方式实现互联。我们正 见证一场彻底颠覆医疗设备、交通运输及农业等各个行业的数字化转型。 数字化转型不仅改变了几乎所有事物的制造及使用方式，也带来了前所未 有的安全风险。 首席信息官和首席信息安全官对未来三年将推动其采用新兴技术的因素进 行了排名，提升安全能力位居榜首（64%），其次是加强数据隐私能力 （59%）和合规遵从能力（50%）。（报告来源：未来智库）
　　互联互通不断加速
　　传统上与互联网隔绝的运营技术（OT）领域最近经历了一波又一波的勒索软件 攻击。随着越来越多的公司选择远程管理厂房和设备，此等攻击对生产的直接 影响引起了人们对互联脆弱性的关注，而新冠疫情更是使得这一情况加剧。 重要的是要清楚，所有的互联生态系统——医疗设备、汽车乃至整个城市——都 有类似的风险特征。医疗设备可能是基于医院原有的内部平台而造，而现在借助 互联网便可在家使用。经互联赋能的电动汽车有望在全球范围内迅速取代化石燃 料汽车。互联汽车需要分散于各地的众多供应商提供零部件，但这些供应商可能 并未在其零部件中内置安全机制。随着城市大力推动服务与关键基础设施互联， 其与云服务供应商、平台所有者等众多第三方合作亦是势在必行。上述情形均会 导致互联生态系统的受攻击面增大、风险倍增以及责任不明等情况发生。
　　虽不见，但相连
　　小型全数字化实体仍可从单一视角监控网络风险。但在短期内， 此举对于拥有复杂互联生态系统的大型实体而言已不可取。对此， 解决办法是让各方明确其权限下运营流程的安全责任和问责机制。 即使没有整体视角，但当各方均高效负责其生态系统的一环，提 高其安全性，则整体风险自然降低。 各企业达成整体安全目标的速度因技术类型及其复杂性而异，但 核心理念是有效涵盖安全基本要素并安全地共享信息。现在，解 决办法很简单。从长远来看，企业应牢记，各区域之间若能保持 流程一致，将大大提高效率和效果。越早达成一致性，就能越快 达到更高的安全成熟度。集中式和分散式模型均能奏效，但它们 最终应该合并为一个综合网络风险视图。
　　业务核心
　　从治理角度来看，新兴技术栈或将十分复杂，应委任安全事宜的 负责人，得到董事会的认可和支持，不仅有助于获取和管理技术， 还有助于建立正确的战略合作伙伴关系。与传统IT不同的是，新 兴技术与核心业务紧密相连，得到高管支持将变得更加容易。 举例而言，如果一家制造企业的OT设施遭遇网络攻击，人们很容 易看出该问题将很快超出首席信息安全官的解决范畴。随着生产 陷入停滞，运营主管即刻便感到担忧，收入损失会令首席财务官 和首席执行官感到头疼，负面报导亦会令首席营销官感到困扰等 等。
　　安全即资产
　　上述情况说明，新兴技术使企业业务管理者对网络安全的影响显著提升。当前市 场环境日益互联，若首席执行官想要提升产品销量，构建安全机制可令其产品更 具竞争力。企业应将对安全机制的关注重点从成本增加转向价值创造，这将开启 如何减少业务中断以推进改进流程的对话。当然，安全机制是必要的，尽管它是 讨论基础，但它也是次要论题。着眼于行业网络安全
　　没有万能的解决方案
　　董事会、管理层以及网络风险管理者纷纷表示，网络风 险一直是各行业中排名前三的企业风险。所有行业愈发 意识到知识产权和客户信任的脆弱性。 各行各业正纷纷踏上数字化转型之路，而围绕网络安全和诸多地域及其他因 素的监管成熟度仍有参差。虽然疫情期间涌现出许多共同主题，如供应链安 全和远程办公加速了对零信任安全架构的需求，但目前尚无可适用于所有行 业解决网络挑战的万能解决方案。 无论企业路在何方，保持对某些日益关键的领域的关注至关重要。为应对无 处不在的网络威胁，许多政府正加大监管力度，部署前沿安全措施已是势在 必行。在法规还没有涉及的领域，技术的日益互联和个性化也迫使生态系统 在安全基础上重新构建。最后，意识到所有行业的脆弱性可以促进信息共 享——适应和学习其他行业的做法将变得愈发重要。
　　监管激增
　　网络攻击已经导致某些行业的监管部门频繁出台新政。2021年5月，美国东 海岸最大的成品油管道运营商Colonial Pipeline遭遇勒索软件攻击，该事件 催生出一项要求能源公司加强网络安全的新行政指令。 在能源资源和工业（ER&I）领域，升级网络防御的紧迫压力与其他长期 行政指令（如脱碳）并存。例如：由于时间紧迫，美国近期修订的2035 年目标——能源领域的转型——将利用大规模的数字化加以实现。这包括 转向5G和部署一系列互联技术，而这些技术本身也对网络安全提出更高 要求。
　　个性化服务越多，风险越高
　　在生命科学与医疗领域，一种与患者直接交互的新型医疗服务模式正推动加强网络安全 的需求。医疗服务提供商为监测患者的治疗进展，以及生命科学公司为提供以患者为中 心的服务，他们使用远程设备和应用程序以改善健康结果，此举引发了人们对数据和隐 私保护的担忧。 这种对应用程序的监控和使用可以快速积累汇集数据，赋能企业创建基于云的数据湖以收 集有用信息，从而优化研发、治疗与支持以及产品发布流程并提升患者便利性。这些技术 进步均可能带来网络安全威胁。生态系统的设计和构建需要考虑到数据的保护、加密、匿 名化处理以及防止泄露。 总体而言，比起应对各地区不同监管要求这一难题，全球生命科学公司更担心遭遇网络 攻击。对于企业而言，与客户沟通过程中建立并维持客户信任非常重要；对于业务而言， 保护知识产权亦是至关重要。
　　知识共享
　　无处不在的网络威胁和疫情期间暴露出来的安全隐患改变了行内的信息共享方式。尽管 遭遇网络攻击事件必然会导致声誉受损，但有企业认为主动公开事件详情也具有价值和 意义，可以补救并修复品牌声誉。企业已经意识到，闭口不谈网络安全不仅不会带来竞 争优势，甚至还可能危及整个行业。 各国政府已经认识到采取集体防御的重要性，并帮助建立了旨在共享信息的公共的/私人 的合作伙伴关系（如美国成立了信息共享与分析中心(ISACs)）。其次，各大企业首席信 息安全官期望相互学习。虽然他们更多是与同行交流，但无论是金融服务、石油天然气 行业，还是生命科学、制造业等行业，均开始出现跨行业交流。此外，拥有丰富的经验 的首席信息安全官们也经常从一个行业投身到另一行业。我们希望在不久的将来看到更 多跨行业和地域的交流与分享。报告节选：
　　（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）
　　精选报告来源：【未来智库】。未来智库 - 官方网站