（報告出品方：德勤）

數字化轉型

網絡安全及轉型挑戰

在任何行業，保持競爭力都需要快速開發新產品和服務并推向市場。

創新型業務模式不僅僅是簡單地將現有流程數字化，其正在覆蓋供應鏈并打造新穎的客戶體驗。這種轉型也使企業面臨新的網絡風險，要求企業采用新的網絡戰略保護不斷發展的業務模式。為管理這些風險，公司高管和董事會成員需擁抱變革，實施跨業務線的有效治理，并演進風險管理流程以實現對所有新接入業務的端到端可見度洞察，也包括由第三方承接運營的業務領域。能否成功取決于企業高級管理層的承諾，以及在網絡安全方面有效投入的同時，他們理解網絡安全風險的能力。在被問及如何對其未來一年的數字化轉型舉措進行排序時，16%的受訪者將數據分析列為首要任務，15%選擇云技術，另有15%選擇新購或升級ERP系統。在今年的調研中，增加了OT/ICS（運營技術 /工業控制系統）的問題以及回應選項（14%認為其是首要任務），這表明整個行業正在努力實現工廠和運營技術環境的數字化和現代化。

真正具有顛覆性的是變革的速度和規模。新冠疫情爆發后，整個世界都轉向線上活動，這種顛覆立刻變得更加明顯。隨著企業大量員工遠程協作，所有企業部門幾乎立刻轉型。所幸大部分所需的生態系統，從云到 Shadow IT (影子IT設施) 到 ICS （工業控制系統），均已就位并準備好迅速擴張。但不太明顯的是這種轉變背后存在著網絡風險，目前很少有企業掌握識別并緩釋網絡風險至可接受水平的的方法。

認知網絡風險

由于網絡威脅會影響整個企業，可能使業務癱瘓并迅速摧毀來之不易的聲譽，因此董事會務必要以他們能夠理解的方式評估網絡風險。他們需要將網絡威脅與其擅長處理的風險進行比較，熟練分析網絡風險情況，就像其了解資產負債表的健康情況一樣。一旦他們能夠理解其所面臨的網絡風險的性質和規模，他們才知道如何分配資源才能最好地減輕風險。此次調研發現，41%的受訪者使用網絡成熟度評估指導網絡投資決策；35%使用風險量化工具；23%稱其依賴于公司網絡領導層的經驗。當被問及對新的和/或現有應用程序進行風險分析/威脅建模的頻率時，37%的首席信息官和首席信息安全官表示他們每季度進行一次，29%每月進行一次。盡管這些評估通常屬于首席信息官和首席信息安全官的職責范疇，但更多的利益相關者也務必要了解這些工作的相關性和重要性。

全速前進？

面對規模競爭的壓力，企業領導人通常過于關注數字化轉型的結果，而無法充分考慮網絡安全的風險。這種情況下，就算擊敗競爭對手，也會產生具有明顯盲點的隧道視野效應。隨著網絡安全問題滲透到從客戶觸點到智能工廠以及員工的遠程設備的各個角落，IT部門的職責不再局限于管理防病毒軟件和密碼安全，它不僅要保持網絡運行，更需要更廣泛、更深入的思考。目前，首席信息安全官需要獲得授權去影響所有業務線、收集整個企業范圍內的信息并與董事會和高級管理層直接對話，還要投入資源和人力充分保障企業最重要的戰略重點和資產。

這在面對首席財務官時很難說清楚，因為對大筆網絡安全投資的結果通常是毫無結果。這也意味著零網絡事件是花費很多的。那么，首席信息安全官該如何規劃其網絡安全預算？ 2019年，首席信息安全官和首席信息官表示他們的網絡預算平均分配給各個網絡安全項目。2021年，這一情況并未改變，受訪者再次表示網絡安全預算進行了類似的平均分配。首席高管應認識到，管理網絡風險沒有一勞永逸的解決方案。因此，網絡安全預算正在增加，著重傾向于威脅情報、監測和監控、網絡轉型以及數據安全。在全球范圍內，首席信息安全官和首席信息官正不斷投資于云上規模化網絡解決方案；網絡/技術韌性；人工智能驅動的威脅評估和識別，以構建企業的網絡防線。（報告來源：未來智庫）

客戶體驗

個性化體驗甚或侵犯權益？合乎道德地使用個人數據

我們都期望個性化、有針對性的體驗，從食品配送到出差旅行和醫療保健的一切都能基于我們過往的互動軌跡。我們不希望自己總有被營銷人員跟蹤的感覺，無休止的硬塞一些我們不感興趣的優惠券。公司如何管理客戶數據，在保護隱私的同時實現在線連接和個人體驗，可能是盈利或虧損，乃至能否長期存續的差異因素。

隱私設計

對于每一個面向客戶的項目，務必要在項目最初考慮隱私和安全。反思與客戶建立這種程度的接觸度對業務模式的重要性，并仔細思考提供恰當服務水平所需的信息類型以及此等信息誰可以訪問、如何儲存和保護方式。在問到首席營銷官是否能夠衡量并證明對全球數據隱私條例的遵守情況時，絕大多數受訪者（85%）回答可以。

避免數據膨脹

僅僅收集大量數據希望未來有用，這是對資源的浪費并可能導致失敗。若客戶沒有看到明顯的好處，他們是反感提供個人信息的。收集并有效使用個人數據打造真實、個性化和人性化的體驗將推動企業發展。但另一方面，所擁有的數據越多，面臨的風險也越多。關鍵在于如何平衡。在被問及是否收集個人數據時，受訪的首席營銷官中有一半表示收集數據打造個性化客戶體驗更為重要，另一半則表示不收集個人數據以防數據泄露更為重要。

隱私設計

對于每一個面向客戶的項目，務必要在項目最初考慮隱私和安全。反思與客戶建立這種程度的接觸度對業務模式的重要性，并仔細思考提供恰當服務水平所需的信息類型以及此等信息誰可以訪問、如何儲存和保護方式。在問到首席營銷官是否能夠衡量并證明對全球數據隱私條例的遵守情況時，絕大多數受訪者（85%）回答可以。避免數據膨脹僅僅收集大量數據希望未來有用，這是對資源的浪費并可能導致失敗。若客戶沒有看到明顯的好處，他們是反感提供個人信息的。收集并有效使用個人數據打造真實、個性化和人性化的體驗將推動企業發展。但另一方面，所擁有的數據越多，面臨的風險也越多。關鍵在于如何平衡。在被問及是否收集個人數據時，受訪的首席營銷官中有一半表示收集數據打造個性化客戶體驗更為重要，另一半則表示不收集個人數據以防數據泄露更為重要。

道德監管

消費者越來越愿意購買有綠色環保產品公司的產品，并積極響應社會問題。同時，他們也擔憂公司如何使用其個人數據。傳統而言，公司聽從監管機構的指引哪些該做哪些不該做。雖然遵守世界各地的各種法律至關重要，但如果無法解釋分享數據的目的，僅僅假設人們愿意分享個人數據已遠遠不夠。另外，解釋要使用通俗易懂的語言。無論公司處于哪個地區，那些將信任植入公司 DNA并清楚地傳達愿意遵守客戶隱私權保護的公司將得到客戶的忠實擁護。公司應編制簡潔明了的用戶協議，便于用戶訪問、刪除或遷移其個人數據。當客戶看到公司認真考慮數據政策并公開數據足跡時，他們更愿意與公司分享數據。

打破數據孤島

首席營銷官和首席體驗官往往先根據品牌和營銷要求制定決策，最后才與首席信息安全官確認數據收集得當與否（通常答案為“否”）。不同團隊對數據收集持不同看法。一個團隊認為其工作需要收集盡可能多的數據，而另一團隊認為只需收集必要的數據并加以保護。而最佳實踐是協力研究如何在收集用以提供無縫體驗所需信息的同時，盡可能地降低公司及其客戶所擔風險。在利用數據將客戶體驗點連接起來之前，企業應有將數據孤島鏈接的人才。反之，在設計隱私政策和溝通機制時，企業也應引入市場營銷人才。這對品牌營銷和信息傳遞而言日益重要，而他們可以提供幫助。

零信任

保護沒有邊界的網絡世界

在傳統環境中，IT資源均包含在明確的網絡邊界內。外部流量不得信任，而所有內部流量得以信任。現在呢？我們生活在一個高度互聯的世界，一切事物的聯系都日益緊密。對于大多數現代企業而言，網絡邊界基本上已經消失。

72%的受訪者表示，其所在企業僅在去年就經歷了1至10起網絡攻擊和數據泄露事件。如今企業面臨的挑戰是“如何才能完全消除固有的信任”？這對我們如何建立現代安全架構而言是一次顛覆性變革。幸運的是，零信任安全架構能夠滿足要求。

關于零信任

零信任并非一種技術或單一的解決方案，而是一套基于“持續驗證，從不輕信”這一基本原則的安全架構策略。其理念是將傳統的基于邊界或“城堡與護城河式” 的安全管理方式，轉變為按需在單個資源與客戶之間構建信任的安全管理方式。在零信任模式下，用戶將基于經不斷重新驗證的內外部因素建立可信連接。

踏上零信任之旅

方法因戰術、架構或戰略的主導程度而不同。雖然零信任適用于所有行業和領域，但并不能提供一個 “萬能”的解決方案。零信任是一項歷時多年的倡議，是一次打破業務、IT和各網絡領域之間數據孤島的變革。任何零信任之旅都將面臨荊棘阻礙，需要整個企業給予強有力的領導層支持、投資和認同才能確保成功。您需要考量與企業相關的業務驅動因素、現有功能和用例。牢記網絡安全基本原理至關重要：您想要保護哪些資產？這些資產在哪里？誰（身份）和哪些（設備）應能夠訪問這些資產，且須滿足哪些條件？要回答這些問題，企業需確定執行IT資產管理和數據治理功能的優先順序，以了解自身資產和數據的類別和重要性……并由此創建訪問控制策略。然后確定您的目標并將其嵌入端到端策略，這是實現所期望業務成果的最可靠方法。然而，這并非易事。受訪者紛紛表示“數據管理/邊界和復雜性加劇”是在企業在網絡安全管理中面臨的最大挑戰。零信任不僅僅是一項技術解決方案，更是一次文化變革。其對整個企業的影響不可小覷。溝通、員工專業培訓、認知和運營流程調整等軟因素是取得成功的關鍵要素。總而言之，此等計劃需要結合所有利益相關者的承諾以制定與業務契合的戰略，以及強有力的領導、專用架構、技術工作組和可落地試點計劃的支持。

前行之路

科技巨頭正引領零信任的成熟度之旅，并應用這些原則開發、運營和提供安全服務。其他領先企業正采用零信任戰略以支持業務優先事項、數字化轉型和企業風險戰略。在對自身架構進行現代化升級時，了解領先企業如何創新及實現規模化部署也有助于您加速數字化轉型。毋庸置疑，變革已然開始。您越早開始向零信任過渡，此次旅途就越安全。最好是坐在駕駛座里，決定您的目的地……實現零信任正當時宜。

新興技術

連接新興技術領域

大眾目光往往聚焦于量子計算、5G和數字孿生等前沿技術，但在制造業應用了數十年的既有技術（如運營技術）也屬于新興技術范疇。

無論一項技術是全新問世或是部署已久，“新興”是指它與互聯網的連接，也指現實世界與數字世界以幾乎任何可以想象到的方式實現互聯。我們正見證一場徹底顛覆醫療設備、交通運輸及農業等各個行業的數字化轉型。數字化轉型不僅改變了幾乎所有事物的制造及使用方式，也帶來了前所未有的安全風險。首席信息官和首席信息安全官對未來三年將推動其采用新興技術的因素進行了排名，提升安全能力位居榜首（64%），其次是加強數據隱私能力（59%）和合規遵從能力（50%）。（報告來源：未來智庫）

互聯互通不斷加速

傳統上與互聯網隔絕的運營技術（OT）領域最近經歷了一波又一波的勒索軟件攻擊。隨著越來越多的公司選擇遠程管理廠房和設備，此等攻擊對生產的直接影響引起了人們對互聯脆弱性的關注，而新冠疫情更是使得這一情況加劇。重要的是要清楚，所有的互聯生態系統——醫療設備、汽車乃至整個城市——都有類似的風險特征。醫療設備可能是基于醫院原有的內部平臺而造，而現在借助互聯網便可在家使用。經互聯賦能的電動汽車有望在全球范圍內迅速取代化石燃料汽車。互聯汽車需要分散于各地的眾多供應商提供零部件，但這些供應商可能并未在其零部件中內置安全機制。隨著城市大力推動服務與關鍵基礎設施互聯，其與云服務供應商、平臺所有者等眾多第三方合作亦是勢在必行。上述情形均會導致互聯生態系統的受攻擊面增大、風險倍增以及責任不明等情況發生。

雖不見，但相連

小型全數字化實體仍可從單一視角監控網絡風險。但在短期內，此舉對于擁有復雜互聯生態系統的大型實體而言已不可取。對此，解決辦法是讓各方明確其權限下運營流程的安全責任和問責機制。即使沒有整體視角，但當各方均高效負責其生態系統的一環，提高其安全性，則整體風險自然降低。各企業達成整體安全目標的速度因技術類型及其復雜性而異，但核心理念是有效涵蓋安全基本要素并安全地共享信息。現在，解決辦法很簡單。從長遠來看，企業應牢記，各區域之間若能保持流程一致，將大大提高效率和效果。越早達成一致性，就能越快達到更高的安全成熟度。集中式和分散式模型均能奏效，但它們最終應該合并為一個綜合網絡風險視圖。

業務核心

從治理角度來看，新興技術棧或將十分復雜，應委任安全事宜的負責人，得到董事會的認可和支持，不僅有助于獲取和管理技術，還有助于建立正確的戰略合作伙伴關系。與傳統IT不同的是，新興技術與核心業務緊密相連，得到高管支持將變得更加容易。舉例而言，如果一家制造企業的OT設施遭遇網絡攻擊，人們很容易看出該問題將很快超出首席信息安全官的解決范疇。隨著生產陷入停滯，運營主管即刻便感到擔憂，收入損失會令首席財務官和首席執行官感到頭疼，負面報導亦會令首席營銷官感到困擾等等。

安全即資產

上述情況說明，新興技術使企業業務管理者對網絡安全的影響顯著提升。當前市場環境日益互聯，若首席執行官想要提升產品銷量，構建安全機制可令其產品更具競爭力。企業應將對安全機制的關注重點從成本增加轉向價值創造，這將開啟如何減少業務中斷以推進改進流程的對話。當然，安全機制是必要的，盡管它是討論基礎，但它也是次要論題。

著眼于行業網絡安全

沒有萬能的解決方案

董事會、管理層以及網絡風險管理者紛紛表示，網絡風險一直是各行業中排名前三的企業風險。所有行業愈發意識到知識產權和客戶信任的脆弱性。各行各業正紛紛踏上數字化轉型之路，而圍繞網絡安全和諸多地域及其他因素的監管成熟度仍有參差。雖然疫情期間涌現出許多共同主題，如供應鏈安全和遠程辦公加速了對零信任安全架構的需求，但目前尚無可適用于所有行業解決網絡挑戰的萬能解決方案。無論企業路在何方，保持對某些日益關鍵的領域的關注至關重要。為應對無處不在的網絡威脅，許多政府正加大監管力度，部署前沿安全措施已是勢在必行。在法規還沒有涉及的領域，技術的日益互聯和個性化也迫使生態系統在安全基礎上重新構建。最后，意識到所有行業的脆弱性可以促進信息共享——適應和學習其他行業的做法將變得愈發重要。

監管激增

網絡攻擊已經導致某些行業的監管部門頻繁出臺新政。2021年5月，美國東海岸最大的成品油管道運營商Colonial Pipeline遭遇勒索軟件攻擊，該事件催生出一項要求能源公司加強網絡安全的新行政指令。在能源資源和工業（ER&I）領域，升級網絡防御的緊迫壓力與其他長期行政指令（如脫碳）并存。例如：由于時間緊迫，美國近期修訂的2035 年目標——能源領域的轉型——將利用大規模的數字化加以實現。這包括轉向5G和部署一系列互聯技術，而這些技術本身也對網絡安全提出更高要求。

個性化服務越多，風險越高

在生命科學與醫療領域，一種與患者直接交互的新型醫療服務模式正推動加強網絡安全的需求。醫療服務提供商為監測患者的治療進展，以及生命科學公司為提供以患者為中心的服務，他們使用遠程設備和應用程序以改善健康結果，此舉引發了人們對數據和隱私保護的擔憂。這種對應用程序的監控和使用可以快速積累匯集數據，賦能企業創建基于云的數據湖以收集有用信息，從而優化研發、治療與支持以及產品發布流程并提升患者便利性。這些技術進步均可能帶來網絡安全威脅。生態系統的設計和構建需要考慮到數據的保護、加密、匿名化處理以及防止泄露。總體而言，比起應對各地區不同監管要求這一難題，全球生命科學公司更擔心遭遇網絡攻擊。對于企業而言，與客戶溝通過程中建立并維持客戶信任非常重要；對于業務而言，保護知識產權亦是至關重要。

知識共享

無處不在的網絡威脅和疫情期間暴露出來的安全隱患改變了行內的信息共享方式。盡管遭遇網絡攻擊事件必然會導致聲譽受損，但有企業認為主動公開事件詳情也具有價值和意義，可以補救并修復品牌聲譽。企業已經意識到，閉口不談網絡安全不僅不會帶來競爭優勢，甚至還可能危及整個行業。各國政府已經認識到采取集體防御的重要性，并幫助建立了旨在共享信息的公共的/私人的合作伙伴關系（如美國成立了信息共享與分析中心(ISACs)）。其次，各大企業首席信息安全官期望相互學習。雖然他們更多是與同行交流，但無論是金融服務、石油天然氣行業，還是生命科學、制造業等行業，均開始出現跨行業交流。此外，擁有豐富的經驗的首席信息安全官們也經常從一個行業投身到另一行業。我們希望在不久的將來看到更多跨行業和地域的交流與分享。