m o c . 5 网络安全和业务繁荣的权威指南 b u h t i g 网络安全和业务繁荣的权威指南 现在世界上有50%以上的人口都在上网1。每天约有一百万人使用互联网2 ，三分之二的人拥有移 动设备3。所谓的第四次工业革命（4IR），已经带来了巨大的经济和社会效益。 智能技术在改善人类生活和地球健康方面具有巨大的潜力。例如，基于卫星的应用可以帮助农 民高效地灌溉他们的庄稼4 。假肢可以3D打印。老年人可以使用自动驾驶汽车，带来更好的机动 性。物联网（IoT）甚至可以通过优化能源消耗和减少交通拥堵来帮助降低二氧化碳排放 5 。 然而，许多新的挑战和风险也同时出现。网络攻击已经成为个人和企业的共同危险。2020年世界 经济论坛全球风险报告6 将其列为第七大最有可能和第八大最具影响力的风险，也是未来10年内 全球商业活动第二大最令人担忧的风险。 对强大网络安全的需求是显而易见的。 为什么团队中有合格的网络安全专业人员很重要 威胁形势正在不断变化和 扩展 企业是否被入侵，而是他们何时会面临安全事 企业正在数字化，以提高生产力，同时要降低 ，而两年内遭遇数据泄露的几率从2014年的 总成本，加强员工之间以及与合作伙伴或供应 22.6%上升到2019年的29.6%8。 件。事实上，2019年受成功网络攻击影响的 组织比例达到80.7%，高于2018年的78.0%7 商的合作。数据是所有数字化工作的核心。这 些数据通常是个人的、敏感的，其处理和存储 尽管新兴技术创造了惊人的新的组织能力，但 方式受到众多隐私法规的制约，而这些法规具 它们也创造了新的复杂性、互联性和漏洞，网 有深远的影响，如GDPR(《通用数据保护条 络犯罪分子已经迅速学会了利用这些漏洞。传 例》)和CCPA(《加利福尼亚州消费者隐私保 统的边界和基于规则的网络安全方法不再适用 护法案》)。 于新的数字组织，因为现在用户远程访问组织 m o c . 5 最敏感的资源，并超出了传统的边界安全。 然而，引人注目的数据泄露事件成为新闻头 条，以及政府机构对个人数据的滥用，增加了 人们对处理和存储敏感数据的现有政策和策略 的不信任感。 b u 凭证和个人数据是攻击的主 要目标 h t i g 随着隐私问题的增加，数字化转型举措扩大了 业务威胁的范围，因为安全往往是事后考虑的 问题。在一个超级连接的世界里，问题不是 身份现在是新的边界安全。企业需要对访问企 业数据的用户或设备进行有效的认证，无论这 些数据是在本地还是在云上。数字身份是所有 组织的宝贵资产，但它们也是网络犯罪分子有 利可图的目标。犯罪分子喜欢用简单的方法完 成工作，这就解释了他们为什么使用和滥用偷 来的凭证。黑客攻击和社交违规等攻击类型受 益于凭证盗窃，这使得不再需要使用恶意软件 来维持持久性。因此，账户接管和撞库攻击成 为组织对网络威胁的五大担忧9。 与此同时，个人数据被窃取的频率也比往年 更高。2019年有58%的泄露事件涉及个人数 据，几乎是2018年30%的两倍10。这包括电 子邮件地址、姓名、电话号码、物理地址和其 他类型的数据，这些数据可能隐藏在电子邮件 中或存储在配置错误的数据库中。一旦他们掌 2 为什么团队中有合格的网络安全专业人员很重要 握了这些珍贵的数据，犯罪分子要么在股票市 这些统计数据导致人们对基于云的资产的安全 场价值非常高的暗网上出售，要么利用这些数 态势的信心下降16。事实上，850万条被泄露 据发动其他攻击，如网络钓鱼。 的数据记录中，有86%是由于服务器配置不当 造成的，要么是面向公众的云资产，要么是云 网络钓鱼是攻击者进入企业 网络的第一步 中未加密的数据17。组织无法理解云供应商的 共享责任模式，云中数据的安全是所有者的绝 对责任。 大多数安全报告都认为，网络钓鱼是安全漏洞 中出现的第一个初始感染载体11。网络钓鱼是 社会工程攻击最喜欢的行动方式，96%的情况 下是通过电子邮件到达。虽然凭证是迄今为止 网络钓鱼事件中最常见的受损属性，但个人数 据也被广泛关注12。 m o 攻击者不仅出于经济目的而关注企业。他们还 c . 5 急于破坏国家关键基础设施的可用性和可靠 性。与2018年相比，2019年威胁者针对工业 控制系统（ICS）和类似的操作技术（OT）资 网络钓鱼一直是攻击者一种富有成效的方法。 这就是为什么它是企业最担忧的网络威胁13。 b u 产的事件增加了2000%以上18。大多数观察到 的攻击集中在使用SCADA和ICS硬件组件中已 h t i g 越来越多的攻击者采用网络钓鱼战术，通过 商业电子邮件入侵（BEC）进行所谓的CEO欺 诈，这一令人担忧的事实更加剧了这种担忧。 这类攻击是出于经济动机，并被证明非常有 效：受影响的公司每次损失高达 工业攻击正在增加 44,000美元14。 云安全是一个主要问题 知漏洞的组合上。 还有很多案例是攻击者利用了IT和OT基础设 施的融合。这种重叠使得IT漏洞可以针对控制 物理资产的OT设备，这可能会大大增加恢复 成本。各行业对物联网设备的爆炸性使用扩大 了攻击面，威胁者利用了这一点。具有网络访 问权限的被破坏设备可被攻击者用作支点，试 图在组织中建立立足点。 将企业数据转移到云端是企业数字化转型的一 部分。随着公司向云端转移，犯罪分子也在 转移。2019年约有24%的泄露事件涉及云资 产，73%的泄露行为涉及电子邮件或网络应用 服务器。此外，77%的云泄露事件也涉及到被 泄露的凭证15。这与其说是对云安全的控诉， 不如说是说明了网络犯罪分子寻找最快速、最 便捷的途径接近受害者的趋势。 网络安全可以推动业务增长 组织不应将网络安全视为防范迫在眉睫的外 部和内部网络安全威胁的另一项IT费用。事实 上，网络安全可以在推动企业发展方面发挥 重要作用19。拥有强大网络安全战略的组织比 那些没有网络安全战略的组织具有强大的竞争 优势。随着网络攻击和安全漏洞每天都成为新 3 为什么团队中有合格的网络安全专业人员很重要 闻头条，消费者对数字服务和产品的安全及隐 私变得更加敏感，无论它们是由大型企业还是 小型企业提供的。根据沃达丰20 最近的一项研 究，89%的高管相信，改善企业网络安全可以 提高客户的忠诚度和信任度。 建立和扩大关系之前，确保您有适当的安全措 施，因为他们不希望您的漏洞破坏他们的系 统。最后，强大的网络安全策略提供了能受益 于将数据和应用程序迁移到云、提供托管服务 和扩展到全球、无所不在的业务的基础。 然而，企业仍在努力使网络安全成为其战略、 运营和文化的综合和主动的一部分。尽管网络 安全专业人员负责保障企业的安全，但当公司 保护、合规及增长制定强有力的网络安全战 略。您的业务环境将推动您的选择。监管压 才想到的，从而增加了安全和商业风险。这意 g 味着公司正在失去网络安全功能所能提供的附 企业现在需要的是有才华、有经验、有知识的 员工，他们既了解新兴技术的潜力，也了解与 之相关的风险。随着技术越来越多地融入业务 流程，这些专家可以引领并使网络安全意识和 安全成为业务成功的助推器。 人力资源经理可以为促进网 络安全成功做些什么 现在是时候让董事会和高管们重新设定他们对 网络安全在其组织内部定位的期望了，而人力 资源经理可以在这方面发挥重要作用。 因素。例如，一家电力公司可能会优先考虑业 务连续性，以确保在成本压力较大的市场中获 得最高的服务正常运行时间，而一家物联网制 造商可能会专注于增长，拥有设计安全的产品 m o 以证明合理的溢价。 c . 5 促进合作关系 人力资源部门处于独特的地位，可以与从执行 b u 委员会到初级员工的所有业务部门进行沟通和 合作。人力资源经理可以促进内部合作，让 ti h 做出重大的战略决策时，网络安全往往是事后 4 人力资源经理可以倡导围绕业务连续性、品牌 力、风险暴露和客户价值等因素可能都是推动 您的业务合作伙伴和投资者还希望在他们与您 加价值。 网络安全策略倡导者 安全部门的声音被听到。网络安全不能孤立运 作；它必须是一个横向的功能，并在所有业务 决策中加以考虑。有必要激励相关的利益相关 者与网络安全专业人士密切合作。 另一方面，企业并不是在真空中运作。一家公 司做出的决定和采取的激励措施会影响到同一 行业的所有企业。人力资源经理可以促进健康 的同行压力，鼓励高管与网络安全职能部门合 作，并在所有部门整合基于风险的安全思维。 促进企业团队培训和意识 熟练IT安全人员短缺的企业比例每年都在上 升。解决缺乏高技能IT安全人员的解决方案之 一是培训现有的IT团队成员，使他们能够担任 安全管理员、分析员、事件响应者和测试员等 新角色。 为什么团队中有合格的网络安全专业人员很重要 人力资源经理可以促进安全团队的培训，因为 虑心态而不是技术技能。纵观成功的网络领导 员工对培训的态度一般是积极的。根据最近的 者所做的事情，心态特征非常突出，如拥有广 一份报告，在接受过培训的人中，80%的人同 阔的商业视野，渴望让他人成长，并有学习的 意 “课堂和/或在线IT安全培训帮助我更好地 欲望。 保护我的组织和/或我客户的资产。21” 虽然组织需要网络安全、威胁情报和事件响应 推广安全领域的专业认证 等关键技能，但在评估未来的网络安全领导人 当我们在讨论培训以填补高级IT安全技能的空 备这些技术能力，但专家本身需要与众不同： 白时，人力资源经理可以考虑并推广安全方面 在商业战略、技术决策和企业风险管理方面发 的专业认证。最近的一项研究强调，获得这些 出有影响力的声音。 时，这些不应该是最重要的。尽管他们必须具 认证有很多好处。最常提到的好处是扩大知识 面，其次是提高可信度和尊重，以及提高工作 满意度21。 雇用合适的网络安全领导者 g 所以值得我们剖析要寻找哪些特征。人力资源 经理在考虑和评估网络领导者时，应该优先考 c . 5 网络安全领导者的基本素质 有什么？ b u 未来的网络安全领导者需要一套广泛的技 ti h 对于关键的领导职位来说，”谁 “很重要， m o 能，而仅靠工作经验是无法提供的。他们需 要培训以获得这些技能，从而成长为自信、 拥有牢固安全基础的专家，才能在您的组织 中产生影响。 5 为什么团队中有合格的网络安全专业人员很重要 技术技能组合 • 数据管理，以处理、分析和安全地存储 所有类型的数据，无论是在本地还是在 新兴技术改变了企业的工作方式，也将在未 云端。 来创造新的角色。物联网、人工智能、机器 学习、云计算和自动化都被视为支持数字化