传统的网络安全方法在很大程度上与创新保持距离。传统的方法是根据公司安全策略和标准,被动地应用网络安全控制,而不是将安全本质地纳入新产品、服务和业务活动中。在“快速行动,打破陈规”的压力下,开发团队有时会在最初的产品发布中完全忽略安全性,这是可以理解的。这种方法的问题在于,在不详细了解特定业务活动如何运作的情况下部署网络控制,将不可避免地使其不受保护,同时干扰其有效运作。网络安全必须超越其保护公司计算机的传统职责,成为主流业务创新的一个组成部分,共同承担保护和创造商业价值的责任。第一步是将网络安全纳入产品、服务和其他技术驱动项目的初始设计中。
数字技术正在从根本上改变行业的运作方式和为客户提供价值的方式。为了跟上数字转型的颠覆性力量,企业必须快速创新以竞争。然而,随着企业采用新技术或以新颖的方式利用现有技术,这些创新带来了新的网络风险,为网络攻击创造了新的途径。随着数字创新在商业运营、产品和服务中的重要性日益增加,成功的网络攻击的潜在风险和后果不断增加,使风险比以往任何时候都高。
为了取得成功,企业必须通过改变网络安全在数字创新中的作用,确保其产品、服务和业务运营能够主动抵御网络攻击。
在建设山路时,建设者不会简单地决定道路的位置,等待汽车从悬崖上掉下来,然后再实施护栏等安全措施。相反,他们会分析道路的性质及其相关风险,并主动采取必要的保护措施。
同样,在电子商务等成功的数字化转型中,银行和零售商没有实施交换敏感信息或进行交易的手段,只有在黑客攻击发生后才决定实施保护措施。相反,他们提前认识到潜在的风险,并主动实施网络安全控制,作为防范这些风险的基础。
在设计任何新产品或服务时,确定其成功、安全性和可伸缩性所必需的条件是至关重要的。在典型的商业交易的上下文中,这些条件可能涉及验证买方和卖方的身份、保护机密信息和提供付款证明。提前建立这些目标并预测可能阻碍实现这些目标的因素是有可能的。
nent type="promo" is-insight=" Insight - Center " title="Managing Cyber Risk" dek="Exploring challenges and solution ." cta-text="" href="http://www.fjfcw.net/ Insight - Center / Managing - Cyber - Risk" > Insight Center Collection 探索挑战和解决方案。 通过清楚地阐明新业务活动的这些目标,可以识别和部署实现这些目标所需的网络安全技术,并有效地管理这些目标的风险。 但传统的网络安全方法在很大程度上与创新保持距离。传统的方法是根据公司安全策略和标准,被动地应用网络安全控制,而不是将安全本质地纳入新产品、服务和业务活动中。在“快速行动,打破陈规”的压力下,开发团队有时会在最初的产品发布中完全忽略安全性,这是可以理解的。 这种方法的问题在于,在不详细了解特定业务活动如何运作的情况下部署网络控制,将不可避免地使其不受保护,同时干扰其有效运作。从本质上讲,如果你不知道它是如何工作的,你就无法保护它。 虽然网络安全标准和确保其应用的治理流程有助于维护良好的网络安全卫生和保护不变的传统业务实践,但它们使新产品和服务得不到充分保护,并干扰了数字化转型的需求。 正在进行数字化转型的组织面临着两难境地:要么未能实施对企业生存至关重要的数字化转型战略,要么将自己暴露在无法管理的未知风险中,从而危及安全,从而可能导致灾难性后果。 为了确保产品、服务和业务运营能够主动应对网络攻击,需要从根本上转变网络安全的角色及其与组织的关系。网络安全必须超越其保护公司计算机的传统职责,成为主流业务创新的一个组成部分,共同承担保护和创造商业价值的责任。 第一步是将网络安全纳入产品、服务和其他技术驱动项目的初始设计中。为了支持具有常规发布周期的传统软件开发的需求,大多数大型组织已经构建了正式的治理过程,要求在整个开发生命周期的检查点和开发完成后的漏洞测试中进行网络安全审查。 问题是,在产品开发周期的这些后期阶段发现的安全漏洞通常会使项目回到绘图板上,其结果是减缓开发过程,并冒着代价高昂的重新设计风险,以纳入原本可以作为初始设计一部分的安全特性。通过在设计阶段集成网络安全,组织可以避免这些低效率,并确保满足数字化转型需求所需的必要速度和敏捷性。 启动网络安全设计过程是至关重要的一步,但它也需要在网络安全和设计团队之间的协作方面发生重大转变。在实践中,产品团队专注于构建伟大的产品和功能,并且有一种可以理解的倾向,即将网络安全视为需要克服的障碍,或者在某些情况下,完全可以避免。与此同时,网络安全团队专注于管理企业计算机的一般风险,并在此背景下评估与最终产品相关的风险。 为了成功地将网络安全纳入新产品和服务的设计中,网络安全和设计团队必须承担互补的责任。网络安全人员必须提供安全设计和架构方面的建议和支持,这可能需要新的能力和技能。这需要协作文化、面向服务和提供网络安全设计协助的能力,这与简单地评估与安全标准和实践的一致性不同。 另一方面,产品团队必须充分详细地阐明其产品和服务的需求,以促进与网络安全人员的合作。评估复杂系统的网络安全态势最具挑战性的部分是确定它们如何工作以及它们做什么。一旦理解了这一点,确定适当的控制集就变得很简单了。 通过确定项目成功所需的基本要素以及潜在故障的后果,产品团队和网络安全同事可以共同努力,有效地应用网络安全技术,安全地实现业务目标。 通过将网络安全作为创新的基本要素,并促进创造商业价值的共同责任,公司可以超越对其计算机系统的标准风险评估,并在不断变化的数字化转型环境中积极确保其产品、服务和整体业务运营的弹性,抵御潜在的网络攻击。
