1704246333
为了确保网络弹性,网络防御措施必须成为企业流程规划的组成部分。例如,在工业4.0和工业互联网时代早期的2012年,通用电气公司就宣布,要让安全组件成为其机器、软件和网络设计中不可分割的部分,该公司还在2014年收购了专业安全公司Wurdtech,以增强企业的安全技能。
1704246334
1704246335
(4)网络战争游戏:持续测试安全防御系统。
1704246336
1704246337
对企业来说,与其坐等恶意网络攻击,不如在这之前就请专人来进行模拟攻击,以发现企业IT系统中的薄弱环节。美国联合航空公司就采取了上述方法。通过“漏洞奖励”计划,该企业向能够发现其程序漏洞的黑客提供免费航空里程。巴克莱银行甚至设立了一个专门的内部黑客部门来攻击其IT系统,及时修复漏洞。而一家欧洲电子集团的CEO甚至花了两天时间参与了对该集团的模拟网络攻击。
1704246338
1704246339
已经意识到网络安全重要性的企业也需要演习应对强大网络攻击的紧急措施。因为如果企业数据泄露为公众所知,错误的应对将会产生严重的后果,为此,不仅IT经理,营销、客户服务和公共关系部门都必须制定正确的应对预案。
1704246340
1704246341
(5)安全技术:IT架构中不可分割的一部分。
1704246342
1704246343
操作系统、通信日志和应用程序是IT架构中的重要组成部分。如果这些部分由于配置、测试和维护不佳而给潜在网络攻击提供可乘之机,那么它们都有可能引发安全风险。无论是硬件、中间件还是应用软件,IT架构中所有的组成部分都必须考虑安全要素,并且在开发过程中应当对安全要素的弹性进行持续测试和调整。所有这些组成部分汇集起来意味着大量的潜在安全问题,只有通过持续的测试和维护才能发现。
1704246344
1704246345
鉴于快速数字化的发展趋势,很多企业最近仓促地引进了一些新技术,但对这些新技术缺乏必要的管理能力,也不了解其与现有IT架构的兼容性。同时,企业也将原有IT系统的维护预算转移到新技术的建设上来,这一举措在业务上看似合理,但是通常会对IT架构的中期安全产生严重影响。
1704246346
1704246347
一项重要的安全措施是在系统中设立独立的安全区。例如,一家欧洲运动服装制造商设立了“运动专区”,以便在其中迅速开展在线推广活动。得益于该运动专区与现有系统相互独立的特性,如果其出现安全问题,就可以迅速关闭,甚至删除,保证企业其他系统不会受影响。
1704246348
1704246349
另一个关键因素是安全要素的责任归属。问题通常存在于企业内部,IT部门、安全部门和产品开发部门在安全责任纠纷上耗费了大量的资源和预算。安全技术应该是每个企业治理中的第一要务,例如,通用电气公司就坚持让其董事会承担起IT安全职能,并且定期对各事业部和总部进行系统安全审计。通用电气公司软件部门负责人比尔·鲁哈(Bill Ruh)表示:“在通用电气,我们非常重视软件平台的安全性,保护关键的基础架构要素,以保证我们的客户进行安全可靠的线上交易。”
1704246350
1704246351
(6)保护级别:不是所有的数据都需要相同的保护级别。
1704246352
1704246353
腓特烈大帝非常精通进攻与防御,他曾说过“处处设防等于处处不设防”。同样,企业也要通过采用复杂程度不同的加密技术或者设立不同强度的密码,根据各流程的轻重缓急采用相应的保护级别。
1704246354
1704246355
例如,银行对其网上银行客户的常规查询只采用标准验证程序,但是,如果客户想要转移大量资金,或者进行特殊交易,银行则要向该客户发送额外的短信验证码进行验证。
1704246356
1704246357
(7)最好在网络攻击发起之前就进行积极防御。
1704246358
1704246359
在大多数情况下,企业可以从内外部渠道获得有关潜在网络攻击的大量信息。基于这些信息,企业要在未来有能力建立风险档案及构筑针对性防火墙。一旦有了这些保护措施,企业就能建立起良好的防御以抵御网络攻击。例如,在2011年,防务集团洛克希德·马丁(Lockheed Martin)公司就发起成立了旨在早期发现网络威胁的Nexgen联盟,该联盟的网络合作伙伴云计算公司EMC通过收购NetWitness公司强化了该联盟,NetWitness是一家专注于实时网络追踪、自动分析网络威胁及提供防范非法网络入侵措施的专业公司。
1704246360
1704246361
为了加强网络安全,贯穿整个企业的负责人都要参与到安全建设中来。运营经理负责评估哪些数据最有价值,合规官负责评估在客户数据丢失时可能引发的风险,人力资源部门负责设定员工的各项数据访问权限,采购部门负责与需要接入本企业IT系统的供应商协商安全要求。为了协调如此复杂的工作,最高管理层必须全权承担安全责任。
1704246362
1704246363
如同第二次世界大战中的Enigma密码机,网络安全是一场编码与解码、加密与解密之间永恒的竞赛,如今这场竞赛比以往任何时候都要快,对技能的要求都要高、都要精确,也没有妥协的余地,因为企业价值链向数字化转型已经势不可挡,网络攻击者的潜在收益也日益提高。
1704246364
1704246365
企业管理者要扪心自问的问题:我们现在处于哪个发展阶段?
1704246366
1704246367
在第3章中,我们解释了为什么所有企业都需要数字化的理念。在第4到第6章中,我们介绍了数字化转型要做什么,介绍了最重要的新兴经济生态系统,解释了企业要如何改变其业务架构,并且阐述了企业必须如何基于技术和组织建立数字化的基础,此外还通过数字化开拓者的创意、概念和实例展示了其他企业实施数字化的情况。
1704246368
1704246369
作为管理者,数字化现在就取决于你的决定:贵公司所在行业中的哪些领域出现了新的生态系统?贵公司的业务结构中是否潜藏着一些通过运用数字化和高级分析能够挖掘的效率潜力?贵公司是否已经使用了最先进的技术和安全敏捷的IT系统?贵公司是否拥有适当的数字化人才?贵公司是否正在投资建立有针对性的战略伙伴关系?请花时间进行自我诊断,你的答案会揭示贵公司的不足,并且为掌握下一章的内容做好准备,接下来是如何实现数字化部分:如何制订数字化转型计划,对于向数字化模式的成功转型如何进行监督,以及如何在整个企业推广数字化,即Digital@Scale。
1704246370
1704246371
1704246372
1704246373
1704246374
(1) 感谢王玮和丁轶群对本小节的贡献。
1704246375
1704246376
(2) 感谢霍尔格·许尔特根(Holger Hürtgen)、陈同、宋世研对本小节的贡献。
1704246377
1704246378
(3) 感谢詹姆斯·卡普兰(James Kaplan)对本小节的贡献。
1704246379
1704246380
1704246381
1704246382