数字化时代下的网络安全战略框架系列之三 规划未来安全之路 数字化时代下对网络安全规划的要求 数字化变革,作为全球范围内炙手可热的关注焦点,要求企业从 生产到服务等多方面进行全方位变革。而由此带来的大量且快速 变换的数字和信息威胁,成为了企业迎接挑战的过程中亟待解决 的问题。不断变化的网络威胁环境和网络攻击模式,使得企业无 法在一个安全可靠的环境下持续响应数字化变革的要求,甚至会 因此损失大量企业信息资产。正因如此,如何摆脱数字化变革中 的被动地位,提前做好应对网络安全风险的规划措施,将成为企 业数字化战略历程中最具价值的一环。 根据 Risk Based Security (RBS) 2019年Q3季度报告,从2012 年开始,数据泄露事件的数量整体呈现出递增趋势,其中2019年 泄露事件数量(5183)比2018年(3886)上涨33.3%,而2019年泄 露记录数量(37.66亿)比2018年(79.95亿)上涨112%。面对近年 来愈加严峻的网络安全形势,企业对网络安全规划的需求也逐步 提高。据调查显示,自2015年起,企业对网络安全规划的高度重 视以及大量投资促使我国网络安全硬件市场规模逐年同比增涨 20%,网络安全软件市场规模逐年同比扩张12%。 而随着企业转换视野,加大对自身网络安全的投资,如何使得企 业不盲目投入,做好高投资回报率的网络安全战略规划,成为在 日益激烈的网络安全战场上提前占据有利地势的第一把“利 刃”。 CSF: 一个面向未来的网络安全战略框架 德勤网络安全战略框架(CSF)是一个以企业业务为导向、基于 威胁管理的网络安全战略平台。CSF是德勤在网络安全战略方面 花费了四年多研究和投资得到的产出成果,它所依靠的成熟方法 论可以帮助企业确定其网络安全的目前成熟度,识别其网络环境 存在的威胁,并提供针对目标成熟度的可视化战略报告和高弹性 的战略路线,从而形成一个强大有效的网络安全风险规划平台, 有预见性地帮助企业规避未来网络安全风险。 具体来说,依靠CSF平台的核心方法论,战略框架从企业业务, 网络威胁和网络能力三个维度对企业所需保护的业务资产进行全 方位的分析,识别出资产所面临的不同程度的风险,从而针对企 业的网络安全投资给出有建设性的战略决策。而针对战略规划 中,最核心的网络威胁识别和面向未来的网络能力战略性提升两 部分,我们的平台在网络安全战略规划市场上具有其自身独特的 优势。 针对网络安全威胁识别,我们的网络安全战略框架目前覆盖了包 括ISO,NIST和SANS在内的多个行业安全标准,并持续更新自身 的数据库,以满足多方位不断升级的未来网络安全要求。而在帮 助企业进行网络战略规划上,我们的平台可以在帮助企业了解自 身所处行业的网络安全水平的基础上,为企业的独特情况进行定 制化评估。对于评估中的每一项,我们都会定义其当前所处网络 环境的安全水平和目标安全水平并分析两者间差距,同时参考网 络环境的变化趋势,从而得到着手于当下且放眼于未来的企业战 略转型路线图,帮助企业迎合不断变化的科技市场。 如何制定企业网络安全规划 ? 1/4 在日新月异的科技创新大环境下,现代化企业既需要及时识别自 身目前存在的网络安全风险,更需要认识到企业网络安全能力需 要保持不断升级,防止在优胜劣汰的未知竞争中处于险恶地位。 规划企业未来网络安全之路,可以帮助企业从长远的角度确立自 己的优先项目清单,并且基于平台的精细化领域划分和不间断捕 捉最新行业规范和标准,持续精准地优化企业网络安全投资,以 应对潜在的网络安全风险。 而CSF作为一个成熟的网络安全战略框架,得益于以下几个方 面: 面向不断变化的潜在网络安全威胁——威胁评估模型 默认情况下,我们的威胁评估模型基于MITRE通用攻击模 式枚举和分类(CAPEC)模型。该模型包含基于威胁攻击 者和威胁技术的通用分类法,可用于对企业重要资产的最 相关威胁进行建模,并根据固有风险优先级,建立具有组 织固有暴露评分的威胁情景列表,从而为我们的网络安全 战略规划精准找出需要着手处理的威胁根源。 面对不断提升的网络安全能力要求——网络安全能力模型 德勤网络安全能力模型涵盖了多个行业的标准,如 FFIEC、ISO/IEC 27001/2、NIST网络安全框架、 CMMC、GDPR、SANS/CIS 20关键安全控制和工控安全 等。并且,安全能力模型每季度都会更新最新行业经验, 来确保平台所覆盖的各行业范围都准确更新了最新安全标 准。 除此之外,最新版本的CSF平台同时也具备创建自定义内 容包的功能。因此,我们能够以德勤网络能力模型为通用 标准,为客户提供符合当地标准或法规甚至内部定制框架 的专属评估,从而持续提升我们网络安全战略规划的灵活 性和可塑性,以适应不断变更的网络安全市场要求。 面临极为激烈的未来网络安全市场竞争——可视化目标管 理 基于网络安全能力模型对企业安全能力的现状评估,以及 根据客户暴露于潜在的特定威胁情境下的建议目标成熟 度。最终在我们的平台内可生成可视化的报告仪表盘,以 动态管理的形式,显示当前企业资产网络安全成熟度、目 标成熟度和整体网络弹性。 同时,您也可以利用平台不断搜集的丰富的基线数据,将 企业的网络安全成熟度与特定地区、行业或部门的平均成 熟度进行多维度比较,从而及时了解企业在行业内所处的 水平,以对比定位的方式,及时更新调整企业网络安全战 略导向。 案例分析 某科技企业需要了解企业当前的安全能力是否能为自身的核心资 产提供可靠保障,并且自身的网络安全战略规划是否与企业战略规 划相吻合。高管们清楚地意识到,高速发展的网络安全领域和迭 代更新过程中暴露出的大量信息威胁,都在推动着企业客观评估 自身的网络安全能力。 可是,什么样的方法论可以全面覆盖企业核心资产安全,什么样 的数据库能够持续不断地追踪安全领域的技术升级和法规更替, 什么样的动态分析平台能够针对企业需求提供精准客观的网络安 全行业数据分析报告,什么样的战略流程规划能够支撑企业,使 其保持高度的风险防范意识及时防御风险,成为行业内网络安全 正确防范的业界标杆,这些问题无一不困扰着企业高管们。 这时,企业高管中有人想起了前段时间参加了“数字化转型,安 全先行”的网络安全宣讲会,会议介绍了多功能动态化的CSF平 台会针对各个行业的网络安全发展趋势,持续不断地捕获网络上 2/4 的相关数据,并更新在平台共享数据库中,帮助企业对标当前行 业平均网络安全水平。 进而,根据行业大环境的网络安全要求,企业可以结合自身的业 务战略规划,利用平台将离散的企业核心资产项目集中整合到战 略流程规划图中。对于每一个企业核心资产项目,平台都会为企 业进行现状成熟度分析,再结合行业网络安全环境波动趋势,平 台会综合考量,对目标成熟度提出建议,最终进行可靠的差异分 析生成执行报告,以匹配出最优的战略规划流程图,建立完善的 网络安全规划。并且,在得出战略规划路径之后,平台也会定期 提供可视化进度报告,持续不断地提高企业网络安全成熟度和网 络弹性总体水平,满足企业对网络安全战略规划的所有要求。 在平台展示的环节,CSF平台给高管们留下最深刻印象的就是网 络安全成熟度差异分析模块和网络安全战略路径规划模块。并且 这两个环节,也正是企业在实施面向未来的网络安全战略规划 中,最为关注的部分。 如下图所示:针对所评估的安全领域,CSF平台可提供清晰的差 异分析报告。这使得用户能够准确识别自身的优势和短板,以战 略性的眼光,从源头调整企业的整体网络资源分布。 基于CSF平台清晰明了的差异分析报告,平台最终交付给企业的 可视化战略路线规划图可以帮助企业对比行业的网络安全水平, 对企业目标实时动态化管理。 更重要的是,CSF平台是一个和网络安全领域共同进步的存在, 在得到初次的网络安全战略规划后,客户就可以根据战略流程 图,对企业的网络安全资源,做战略性调整。并在每季度末,根 据CSF平台数据库对行业内最新安全规范和安全标准的更新,及 持续捕捉到的行业内网络安全趋势,对行业要求升级的部分重新 进行检测,再对原本的网络安全战略规划进行精细化调整,使得 企业的网络安全战略规划总是准确可靠,且具有前瞻性。 3/4 结语 数字化时代下,每个企业都在享受数字化技术给企业带来的便 利,但与此同时,企业也必须要预见到数字化进程下潜在的网络 安全固有威胁。为了在激烈的竞争环境下存活,每家公司都应该 找到目前形势下,企业存在的网络安全问题是什么,针对问题的 可行解决方案需要投入多少资源,且资源该如何去有效分配。但 是事实上,来自网络的攻击是大量且随机的,如何从长远发展的 角度决定企业投资的优先级是非常困难的。 而针对大部分企业网络安全战略规划不足的现状,CSF平台可以 为企业提供最好的定制化服务,以满足企业内部和外部利益相关 者的需求。 4/4
德勤中国 数字化时代下的网络安全战略框架系列之三
文档预览
中文文档
4 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共4页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-10-21 10:40:29上传分享