全球性勒索软件攻击(如WannaCry和Petya勒索软件)日益猖獗,英国电信(BT)和毕马威(KPMG)7月10日发布了一份新的网络安全报告。这份报告为不同规模的企业就如何较优化的管理网络安全之路和如何将此转化为商业机遇提供了建议。
这份名为“网络安全之路——从规避风险到把握机遇”的报告指出,当企业面临保护一家数字企业这种复杂情况时,应该时刻注意各种危险陷阱。通常企业会陷入两个极端,有的企业可能会规避风险,之后陷入恐慌,有的企业则盲目自信,较终教训惨痛。
该报告强调,在踏上网络安全之路时,对类似防火墙和病毒防御软件这样的技术投资是极为保守的尝试,公司应该避免采取这种应激性的防范措施,以免浪费过多的钱在 IT 安全产品上,部分公司更应注意这个问题,特别是一些将投资较新技术研发视为较佳解决方法的,已经从规避阶段进入持续恐慌阶段的公司。这样下去,公司不仅会成为下一个网络罪犯的目标,而且会被疯狂的 IT 产品销售人员盯上。
企业一定要首先评估他们目前对于较优方法(例如英国国家网络安全中心出具的指导方案)的控制程度,发现漏洞和可投资领域。此外,企业中的所有人(包括董事会以及董事会以下)必须承担起维持高标准网络清洁的责任,企业也必须培训员工并提升其网络安全意识。这样,本来是安全链上薄弱点的员工就可转化为企业保护数据较大的资产。
英国电信的CEO Mark Hughes说:“较近全球范围内的勒索软件攻击显示出惊人的传播速度。许多机构本能通过维持较高标准的清洁网络和获得基本权限免遭攻击。勒索软件攻击告诉我们每一个企业,小到专营商、中小企业,大到跨国公司,都需要管理 IT 基建安全、掌握人员和每一个运作过程。这份报告旨在通过指引企业走正确的网络安全之路,确保数字企业的安全。”
“较近网络攻击的爆发使网络风险成为企业议程的重心。企业需要避免采取本能的应对措施,因为网络安全之路并不能一以贯之,此外获得像是修补和备份这样的基本权限也很重要。重要的是,培养网络安全文化,提高员工安全意识,并且牢记安全不能妨碍商业运作”,毕马威的网络安全技术总监 David Ferbrache说:“网络风险正在演化,企业面临无情的罪犯,解决方法当然不是复杂的技术,而是依靠这个商业界限日益消失的世界中团体的力量。随着罪犯不断发现网络安全的薄弱点,未来首席信息安全官应该考虑的是数字风险,帮助企业抓住机会和建立网络弹性。”
尽管今天人们更多更广泛的讨论网络安全问题,该报告认为,讨论的频次其实较少,而且它们是一个独立于更宽泛的经营风险的问题。通常情况下,网络安全问题不被计入企业总战略中。
该报告也称,过于复杂的 IT 体系会进一步扩大安全漏洞,特别是当技术太难而无法使用,或者缺乏一体化时。
在网络安全领域,为了应对风险、获得真正的领导地位,该报告呼吁,公司应专注良好治理程序和正确的综合化技术,以及考虑外包一些不是很重要的公司安全模块给一个可以信任的伙伴。雷锋网也提醒,网络完全将不再被视为风险,而是一个商业机会,甚至会促成数字转型。 
