内容简介
未来10年,世界经济发展的最大动力来自数字化所创造的数十万亿美元价值。组织机构已经从拥有小规模自动化的系统,发展成为无处不在的网络连接、海量分析、低成本高扩展性的技术平台,技术进步显著增加了不同级别客户的亲密度、业务操作的灵活度及决策者的洞察力。
当“一切都是数字化”时,私营、公共及民间机构就越来越依赖信息系统。当今世界是一个超级关联的世界,在线和移动业务放大了企业的安全脆弱性,企业很容易受到富有经验的网络罪犯、政治激进黑客、甚至内部员工的攻击。只有当客户及企业在面临越来越猛烈的网络攻击,仍对财务记录、患者数据及知识产权的机密性、可用性保持信心,数字化进程才能成功。
《麦肯锡的数字业务安全策略》联合了麦肯锡咨询公司商务技术与金融服务部门的合伙人与多位相关主管共同撰写,为数字化生态系统中的企业、零售客户、供应商、政府部门、民间团体、保险公司提供完备的数字安全策略及指南。
作者简介
詹姆斯 M.卡普兰(James M.Kaplan),詹姆斯是麦肯锡咨询公司商务技术与金融服务部门的合伙人,主管麦肯锡全球IT基础设施与网络安全事务,为银行、医疗保健公司、技术企业、保险公司及制造商提供服务,帮助它们从商务技术中获得大的价值。詹姆斯曾为《麦肯锡季刊》、麦肯锡商务技术、金融时报互联业务、《华尔街日报》《哈佛商业评论》等媒体撰稿。他拥有布朗大学历史学士学位、宾夕法尼亚大学沃顿商学院MBA学位。
图克·拜莱(Tucker Bailey),图克是麦肯锡商务技术办公室的合伙人,该办公室地点位于华盛顿特区,他主要负责国防、安全及IT议题。他曾为诸多《财富》500强公司及公共部门客户提供一系列IT服务,负责麦肯锡在北美的网络安全工作。在麦肯锡工作之前,图克在美国海军任信息统领作战官及海军犯罪调查局的特工。他拥有杜克大学土木工程与政治科学专业的理学士学位及哈佛商学院的MBA学位。
德里克·奥哈洛伦(Derek O'Halloran),德里克是世界经济论坛信息技术产业的负责人,负责由企业CEO构成的领先IT企业团体,为很多企业制订技术规划。他负责管理未来软件与社会及未来电子产品全球议程委员会,该委员会召开整个行业生态系统中的领导人及思想领袖会议。德里克拥有哥伦比亚大学国际和公共事务学院的国际金融与经济政策专业公共行政学硕士及爱丁堡大学哲学专业荣誉文学硕士,也是世界经济论坛全球领导人才培训计划的毕业生。
阿兰·马库斯(Alan Marcus),阿兰是世界经济论坛资讯科技及通信产业的高级主管及负责人,他曾在亚太、北美、欧洲及中东地区担任过工程师与市场营销、市场开发方面的高级管理职位。他拥有新泽西州罗格斯大学的计算机科学与工程专业理学士学位及加州大学伯克利分校的通信工程专业硕士学位。
克里斯·雷策克(Chris Rezek),克里斯是波士顿麦肯锡公司的高级专家顾问,是该公司风险管理与商务技术团队一员,是网络安全事务的核心领导者,为银行、制造商等企业管理信息风险,为投资者及技术企业提供网络安全产品市场战略咨询服务。克里斯帮助云安全联盟、国际金融研究所制定了有关云风险管理及风险技术与操作的实践。他拥有麻省理工学院的理学士学位及耶鲁大学的MBA学位,他与家人一起住在波士顿。
内页插图
目录
推荐序
前 言
导 论
第1章 网络攻击危及公司的创新步伐 / 1
网络攻击风险降低了信息技术的价值 / 2
对每个人来说风险都很高,而且风险无处不在 / 9
防御者落后于攻击者 / 18
第2章 情况会好转,也可能变糟糕:3万亿美元经济损失 / 31
场景规划及网络安全 / 33
场景1:得过且过的未来 / 37
场景2:数字反弹 / 41
场景3:数字化适应力 / 47
第3章 优先考虑风险及目标保护 / 55
漫无目的的安全措施只是在为攻击者服务 / 56
制定信息资产及风险优先级,并让业务领导参与其中 / 59
给最重要的资产提供差别保护 / 69
使用全面控制进行分层 / 71
在实践中为优先级信息资产提供有针对性的保护 / 74
第4章 以数字化适应力方式经营生意 / 81
在所有业务过程中构建数字化适应力 / 82
让一线员工参与保护他们所使用的信息资产 / 93
第5章 将IT现代化,以确保IT安全性 / 103
将网络安全嵌入IT环境的六个方法 / 104
为实现所需的改变,与IT领导合作 / 121
第6章 采取主动防御措施对抗攻击者 / 125
被动防御措施的局限性 / 126
了解敌人,采取相应的措施 / 128
第7章 遭遇攻击后:提升所有业务部门的应急响应能力 / 143
制订应急响应计划 / 145
利用模拟作战来测试计划 / 151
对真正的网络攻击进行事后分析以完善计划 / 156
第8章 构建起推动企业走向数字化适应力的项目 / 159
要实现数字化适应力需要什么条件 / 160
推出数字化适应力项目的六步骤 / 166
第9章 创造有适应力的数字化生态系统 / 185
数字化生态系统 / 186
有适应力的数字化生态系统的影响力 / 187
创建有适应力的数字化生态系统需要什么 / 191
为创造有适应力的生态系统而协作 / 195
结语 / 209
致谢 / 212
作者简介 / 213
前言/序言
前 言 未来10年,世界经济的发展进步依赖于数字化创造的数十万亿美元的价值。组织机构已经从拥有小规模自动化的系统,发展成为充分利用无处不在的网络连接、海量分析、低成本、高扩展性的技术平台。技术进步显著增加了不同级别客户的亲密度、业务操作的灵活度及决策者的洞察力。在银行业,这意味着几分钟内即可成功开户、批准按揭,而非几天甚至数周。在保险业,这意味着在大量分析数据的支持下,有更好的保险核保及更公平的价格。在航空及酒店领域,这意味着更高的透明度,为旅客减少一些麻烦。 当“一切都是数字化”时,私营、公共及民间机构就越来越依赖信息系统。当今世界是一个超级关联的世界,在线和移动业务增加了企业的安全脆弱性,企业更容易受到富有经验的网络罪犯、政治激进黑客甚至内部员工的攻击。只有当客户及企业在面临越来越强大的网络攻击时,仍对财务记录、患者数据及知识产权的机密性和可用性的安全保持信心,数字化进程才能成功。 要保持经济的持续发展,必须保护组织结构免受网络攻击的影响。在2014年达沃斯世界经济论坛年会上,论坛组织者与麦肯锡机构联合提出,要提升网络安全在高管中的关注度。我们一致认为,有两方面的关注度至关重要:一是要充分认识到企业遭受网络攻击后的战略影响和经济影响,另一种是要制定企业获得数字化适应力的规划,即规划整个网络安全生态系统中所有参与者应该怎么做,特别注重如何将网络安全作为一个商业问题而非技术问题来解决。 经过采访、调查以及参加由数百个组织机构高管参加的工作会议,我们发现了以下几个问题: 第一,如果组织机构在保护自己的方式以及外部支持方面没有巨大变化,网络攻击风险将降低人们对数字经济的信任和信心,到2020年,数字经济所能创造的价值将降低3万亿美元。为应对此问题,全球的组织机构需要提升数字化适应力,只有这样,才能从超级关联的世界中获取价值,即使是冒着业务中断、知识产权(IP)流失、声誉损失、网络欺诈等风险。 第二,虽然各公司都一致认识到提升数字化适应力要采取的措施,但并没有尽快落实到位。要提升数字化适应力,公司应将网络安全深度整合到现有业务流程及信息技术(IT)环境中。然而目前大多数公司仍将网络安全视为一种控制功能(control function),这不仅导致保护信息资产的安全需求与数字化进程之间产生冲突,而且还与从技术投资中获取价值的需求发生冲突。即使是最大型、资金最充裕的机构,其网络安全项目也设计得相对落后,它们仅从技术控制入手,而不是控制商业风险,因而没能推动更广泛的组织机构层面和业务流程产生必要的变化。 第三,公司若要提升数字化适应力,需要增强网络安全团队与业务团队之间的协作,让企业IT部门更加注重适应性,大幅提升网络安全功能的技能与水平,唯有首席执行官及高级管理层才能推动如此大规模的变革。 除了公司自身,其他组织结构都不可能解救公司于网络攻击,但是监管者、执法机关、国防及安全部门、技术供应商及行业协会等机构能够在一个数字生态系统中起到重要作用,可显著提升公司的数字化适应力。目前人们对公司如何保护自身安全有很多一致性看法和对策,但对于如何建设更广泛的数字生态系统,一致性意见较少。此时公共、私营、非营利机构等之间的相互协作将变得至关重要。 建立数字化适应力的前提在考虑数字化适应力之前,首先要理解网络攻击与网络安全,以及它们与数字生态系统的关系。 网络攻击:面临的多种业务风险在数字化特征越来越明显的经济社会中,世界上大部分组织机构都依赖着“信息资产”,这些信息资产,有些是结构化数据,有些是非结构化数据,例如客户数据、知识产权、商业计划,以及从客户服务到供应商付款的在线流程。针对这些信息资产的网络攻击,有些是出于攻击者个人炫耀的目的,有些是为了经济利益,而有些则是出于国家政治利益。一般普通老百姓主要关注知识产权侵犯、信用卡数据窃取等信息,但对企业来说,需要考虑更多的潜在风险(见表0-1)。 表0-1 企业面临的网络安全风险风 险 类 型攻击发起者攻 击 目 的竞争力下降外国竞争对手 为获得经济利益而窃取机密的商业计划外国情报机构 出于国家竞争优势考虑,窃取别国知识产权跳槽到新公司的员工 带走客户信息去为竞争对手工作违反监管与法律网络犯罪组织 窃取客户数据,供日后进行身份盗用或医疗欺诈企业名誉损失员工 对公司政策不满而公开敏感文件黑客活动分子 对公司政策不满而泄露和公开管理层讨论的机密政策诈骗与盗窃网络犯罪组织 破坏在线金融交易以进行欺诈网络犯罪组织 损坏重要信息资产,除非收到赎金业务中断恐怖组织 改变重要业务流程数据,伤害自己不满意的国家或组织内部人士 因为怀疑自己会被炒鱿鱼而破坏企业数据黑客活动分子 为引起注意而扰乱业务流程(如在线客户服务)网络安全:公司如何保护自己虽然企业面临着经营目标、资源限制、合规性要求等压力,但网络安全1仍然是组织机构避免受到网络攻击而应采取的一项业务功能。
麦肯锡的数字业务安全策略 下载 mobi epub pdf txt 电子书 格式