文章
共享、共治——商业生态圈中网络安全风险管理的重定位
在中国经济发展新常态下,商业关系不断改革和创新,向着商业生态圈的关系模式不断转化。随着供应链、价值链的不断延展,互联网、云计算和大数据的不断渗透,企业甚至行业的边界不断模糊。业务模式和技术架构的创新在给企业带来信息共享程度提升的同时,传统意义上安全防范的边界也变得模糊,网络安全的共享共治成为企业应对新态势下的安全挑战的基本理念和要求。
商业生态圈中同时包含合作和竞争的关系,且这种关系呈现动态变化的特点,对于所有参与其中的企业,不同商业关系下,信息的采集、处理、存储、展现均呈现不同的特点且面临不同的风险。从安全保护的角度上看,需要遵循自顶向下的思路,从商业关系出发再逐层落到技术和操作层面,实现对于关键商业信息的精细化管理和动态分析。从安全预防的角度,与传统企业侧重于内部的安全防范思路不同,CISO们(Chief Information Security Officer首席信息安全官)则需要将视线转向企业之外,一方面关注那些与本企业建立共生关系的其他利益相关方,掌握关键商业信息的流动,促使其他相关方加强安全保护,另一方面,对来自于企业外部、针对企业所属行业或区域的特定安全威胁,也需引起充分的重视和警觉,防患于未然。从安全响应的角度,则更显共享共治思路的重要性,企业需要与利益相关方一致行动,共同面对潜在的安全威胁,协同作战,抵抗来自外部的攻击行为,实现企业间的网络安全共治。
德勤企业风险管理部长期致力于网络安全领域的研究和实践,我们认为有效的网络安全体系涉及治理、保护、防范、响应等多层次、多角度的分析和管控,而商业生态圈的延伸又增加了企业构建和维护网络安全体系的复杂程度,对于企业的安全能力提出了更高的要求,我们可以协助企业快速诊断在商业生态圈中的安全状态,补足安全防护的短板,提升对抗安全威胁的持续运营能力。