挑战|企业该如何应对新时代下的网络安全挑战？知识科普|工作|业

_原题为 企业该如何应对新时代下的网络安全挑战？

文章图片

在上篇文章《新时代下的网络安全挑战有哪些？》中，我们看到在数字化转型变革的时代大背景下，新兴技术对商业环境和企业发展，将带来双面性的影响；以及企业网络安全在新环境中面临着系统性沟通障碍等诸多因素的影响，而需要被重新定位。本文从数字化及网络安全同时兼顾的角度提出企业的解题思路和多方应对措施，助力企业在机遇与挑战并存的网络环境中更好促进数字化转型和提升行业竞争力。
快速链接：乘风破浪 | 变革转型：新时代下的网络安全挑战有哪些？
企业如何应对要有效应对上述挑战，需要将事后驱动型的安全体系转型升级为以“Security by Design”为思路的新时代网络安全体系。数字化转型的今天将网络安全提升到新的高度，企业需要摒弃原有管理模式，将安全管理要素纳入各业务开展的初始阶段，而不再是采取事后补救的方式。
如何实现Security by Design ，可从以下几个方面考虑：
01. 重建关系，增进信任

安永2020全球信息安全调研报告显示，仍有大部分企业的董事会议题中缺乏网络安全内容，且CISO未准确向董事会及管理层准确传达网络安全价值：

文章图片

是时候与董事会开展新的对话：

安全负责人制定向管理层汇报和量化网络安全价值的方法，向董事会和管理团队传递网络安全对企业的价值。其中一个关键步骤是实施网络风险量化计划，从业务的角度对网络风险进行分析和说明，并在与管理层的沟通中获得正面的反馈；
解读国内外网络安全环境与变化、分析其他企业网络安全管理案例、结合本企业实际的业务场景等方式，持续引导、改变管理层的观念，让其理解网络安全不再是一个成本中心，也能为企业带来价值，并直接影响企业的数字化转型成果；
实施符合企业目标的治理架构：企业的董事会和高层领导，重新定位网络安全地位、预算空间、责任范围以及CISO地位，匹配网络安全在数字化转型和创新中的新作用， CISO不应是操作层面的安全负责人，而是企业管理层中的重要组成部分；
将网络安全订立为数字化转型中的关键因素， CISO主动与各部门充分沟通和合作，将网络安全融合到业务流程中，评估网络安全对业务的影响并在业务的规划阶段引入网络安全考量，为产品或服务建立网络安全信任；

安永2020全球信息安全调研报告显示，对网络安全部门不信任的情况在公司大部分部门仍普遍存在：

文章图片

CISO应具备的新能力。网络安全领导者，必须具备商业意识，用业务能够理解的语言和方式进行沟通并就安全问题共同寻找最优的解决方案，而不是盲目地通过控制手段来解决问题。其首先应了解网络安全职能的优势和劣势，以确定CISO的话语权。其次，需确保提供满足业务需要且有竞争力的服务。最后，需要提升自动化和内部协作的能力，减少网络安全相关的人工工作，提升工作效率及效益。

02. 构建立体化合规体系
企业需要通过健全的合规体系应对不同市场繁复的法律法规、监管要求和行业标准，即通过系统的方式，主动将合规工作从组织、流程和技术三方面融合到业务规划、实现、运行到变更的每一个环节中：

文章图片

在组织层面：设立合规运营和执行团队，并采取充分措施保证团队地位，也需要将网络安全合规纳入到治理层的决策范畴，建立“直达天听”的渠道；
在流程层面：建立标准化、覆盖企业不同层级、业务线的合规流程，并有效实施。流程需包含合规要求持续识别与更新、合规流程触发条件、实施方式、决策层级、执行、监控、事件响应等。应通过宣导让员工清晰What (什么情景下涉及合规问题)、How (应该执行什么样的流程)、Who (什么团队能协助处理)；
在技术层面：构建网络安全合规治理平台对合规体系进行流程执行、监控和展示，如线上流程、合规状态展示板、合规要求清单、合规风险评估等，提升效率并降低人力投入。

为了更好开展合规工作，构建数字化合规治理平台是一个有效的方案，构建线上平台以及必要的数据对接，自下而上实现资料收集、分析和展示，提升工作的效果与效率，更让企业管理层能更直观了解合规工作的开展成果：