借“互联网+”超车 还要“安全”第一

　　向来引领技术潮流的科技企业频遭威胁，自然触发了大众对数字时代网络安全的忧虑，也给众多正在“互联网化”的中国传统企业敲响了警钟。

　　两名安全研究人员公布了特斯拉Model S系统存在的重大安全漏洞，并通过其中一个漏洞实现了对车辆的控制；中国的互联网公司也接连爆出大面积宕机和不明攻击等系统事故。

　　如今，网络安全环境变得异常复杂和凶险，行业中规模居前的大型企业最易成为黑客的攻击对象。据Forrester公司预计，6成以上的企业将在今年内遭受一次安全攻击。同时，企业正为系统漏洞付出惨痛的代价。据估算，企业扼制一次网络攻击所耗费的平均时间多达31天，期间产生的花费则高达近64万美元；而网络安全隐患引发的数据泄露事故，导致企业声誉、品牌价值和市场形象遭受沉重打击，其损失更是难以估量。

　　面对安全威胁，虽然不应在数字时代因噎废食，但必须正视的是，大多数中国企业一面在拥抱“互联网+”的道路上勇往直前，意欲弯道超车，一面却在安全防御上因循守旧。埃森哲的一份调研显示，仅有24%的受访中国企业计划追加网络安全方面的投入，远低于亚洲60%的平均水平。究其原因，许多中国企业仅满足于实施合规要求的安全标准，尚不重视对还未发生的可能性灾难进行投资。

　　与其亡羊补牢，不如防范于未然。埃森哲与波耐蒙研究所的研究发现，全球已有一批跨越型企业通过积极主动的防御策略，以及在信息安全战略、技术和治理机制上的投入，显著提升了绩效。在过去两年间，他们将自身安全工作的有效性提升了53%。我们结合多年调研，总结出了这些跨越型企业的共同特征，因为他们的经验可供中国企业借鉴，助其在“互联网+”时代提高安全保障能力，更稳健地推进数字变革。

　　主动防御，而非被动挨打

　　网络安全威胁日趋复杂。与保守型企业关注预防和合规不同，跨越型企业正从本质上改变以预防为核心的传统防御模式，从自身业务目标出发，采取更积极主动的新态度和全新谋略。

　　在遭遇攻击时，跨越型企业会努力实现主动性的数据保护，并且发现潜在的威胁和攻击路径。这要求企业有能力应对安全局面出现的各种重大变化，随时主动地调整其安全防御机制。一旦发生安全事件，跨越型企业会直接向首席执行官和董事会报告。同时，他们主动利用风险管理技术来调整安全战略，将安控设施与安全系统整合在一起；并且明确界定与安全相关的责任与权利。

　　更为重要的是，在还没有遭受威胁的时候，企业应创新地先于攻击者主动发现自己的系统漏洞。随着技术的快速革新，现有外围防御技术措施会很快变得过时并漏洞百出。理想的网络安全措施不是百分百预防的，因此企业要学会像黑客一样思考，了解他们如何、何时以及在何处发起高级持续性威胁。一些跨越型企业已经通过自我挑战与创新，显著提升自身的抗灾水平。

　　例如，视频流媒体服务企业奈飞公司的工程技术人员积极利用各种自动化检测工具，业内将它们称为“猴子军团”，通过故意破坏来寻找自身系统的漏洞。这种测试会在无法预知的时间展开，但整个过程受到密切监控。通过这些举措，公司不断改善和修补自身的系统，使其更加敏捷和强健。

　　亚马逊、Flickr、雅虎、脸谱网等企业也都先后使用过类似办法，他们采用“游戏日”的策略：每过几个月就进行内部系统故障测试，组织员工发现自身系统中存在的潜在缺陷，并就此修复相应的故障问题，在以后的“游戏日”再对修复方案进行持续测试。这些公司甚至聘请外部网络安全公司攻击自身系统，以类似军演的方式找出系统的安全漏洞。

　　三招提升安全防御水平

　　为了支撑全新的防御模式，企业应在安全战略、技术和治理机制这3个核心领域进行变革，从而整体提升企业的安全防御水平，真正由“御敌于外”转向“主动防御”。

　　秘诀一：重视安全创新，制定正式的安全战略。网络威胁层出不穷，企业应不断寻找全新办法来解决新出现的问题。企业应制定正式的安全战略，并使之成为企业安全计划的主要驱动力。同时，在应对潜在危险的过程中，企业应该努力打造新一代解决方案，通过与高校、研发企业、风险投资者或初创企业合作，持续完善自身的技术能力组合。

　　此外，许多跨越型企业都选择将核心安全运维业务外包出去，自身不在技术或专家资源上进行过多投资，从而显著提升安全投资的效益，并快速提高自身安全职能的成熟度。当然，外包必然会带来一定风险，因此关键在于评估哪些安全业务能够外包，然后挑选管理合适的服务提供商。

　　秘诀二：积极投资于安全技术。跨越型企业都会设立专门的预算投资于企业的安全计划。同时，他们还会拨付专款，用于支持安全领域的颠覆式新技术。相比关注个人设备管控，他们更加注重确保网络和云端的安全。保守型企业往往强调禁用个人设备，但此举很可能会阻碍业务增长。此外，跨越型企业还能够利用经营战略来指导安全战略。

　　同时，企业应妥善平衡预防、侦测和响应工作，不应一味偏重于预防。与保守型企业管控不安全的移动设备（包括自带设备）、限制不安全设备接入不同的是，跨越型企业会侧重精确发现网络流量中的异常状况，对安全威胁、薄弱环节和恶意攻击进行优先排序，避免敏感和机密数据出现未授权的共享，以及促进自适应边界控制。

　　秘诀三：将首席信息安全官作为战略岗位，建立强有力的治理结构。企业要想构筑稳定的安全防御机制，就应任命首席信息安全官，扩充安全团队，在整个企业内统筹安排信息安全工作，并制定自上而下的安全战略和计划。一旦发生重大网络安全事故，首席信息安全官应直接与首席执行官与董事会进行联系，迅速落实应对策略。

　　与此同时，强有力的治理和管控措施至关重要，有利于企业建立完善的安全政策和明确的权责体系。跨越型企业的治理工作相对更加成熟，包括定期向董事会报告安全状况，实施企业风险管理流程。他们更可能采用安全业务评估标准，根据专业同行或参照群体设立安全业务基准，并对安全损害和数据泄露进行事后审查。

　　埃森哲大中华区基础设施服务董事总经理 李晓东