应对亚太地区独特的网络安全以及信任挑战
集聚了忙碌的城市生活以及自然、宁静的美景与深厚的精神传统,亚太地区一直是个与众不同的地方。而在技术方面,也存在着如此对比:一方面,该地区的某些区域在5G、高清媒体与数字基础架构等技术方面处于世界领先地位;与此同时却不难发现,全办公室仍都用Windows 95台式机来操作的组织也并不算罕见。
然而,技术复杂性的水平并不妨碍商业的发展。该地区的经济持续快速发展,市场充斥着合并、收购、接管以及稳健的扩张计划。无论是本土企业还是外国企业,在技术风险方面,从初创企业乃至全球跨国公司都面临着相同的挑战。
亚太地区的具体挑战
当任何公司通过扩展或收购进入新市场时,都将需要开发新产品与服务、或更改其现有产品。而本地化的传统与喜好,都有可能会在几公里的范围内发生变化,这点在亚洲尤其是事实。
每个市场,通常都会有自己的数据供应、基础架构、技术堆栈以及已建立好的业务流程。对于网络安全专家以及整个企业的经理(例如人力资源老板、营销人员、运营经理)而言,这是一个巨大的挑战。
结果往往是没有哪个个人或部门会对公司内每一次的使用技术都怀有深刻的见识。每个连接点、API、接口或与第三方的交接都为数据丢失、隐私遭破坏或平庸、低效的做法提供了机会。
亚太地区的地理位置,也伴随着来自北朝鲜政府激进者的威胁——无论是真实还是假想——而且,如果美国公关所声明的风暴是可以相信的,那么对中国的情况也应同等视之。尽管,数字威胁不是由物理距离来决定,然而感知到的威胁对亚太地区企业的会议室与数据中心以及在该地区运营的跨国公司之董事会与数据中心的政策都有可衡量的影响。
科技所带来的风险
使用多云、混合云或基于边缘技术的最新技术等新技术,意味着公司的网络形态需要改变。边界防御的时代已经过去,甚至,仅在几年前就被认为是尖端科技的技术也不足以保证网络安全,例如:以云为中心的入侵检测或WAF(网路应用防火墙)。
还需要考虑更多的立法与数据的治理。澳大利亚、中国、欧洲与美国都有各自必须遵守的治理程序,而仅仅遵守是不够的:向政府证明制度已经到位是一回事,而证明遵守其做法又是另一回事!
但是,当事情出现问题时(例如:在喜达屋/万豪酒店(Starwood/Marriott)违规的情况下),其后果可能会在财务上造成重大损害,如同见到欧盟因违反GDPR法规对公司征收的罚款所证明的情况一般。当然,这还包括对公共关系、投资者信心以及未来业务的持久不利的影响。
管理风险,保护企业
随着企业在亚洲的规模不断扩大,直至能像香港大数据治理研究所(iBDG – Institute of Big Data Governance)所建议的数据框架成为进行更安全的跨国APAC数据转移的基础之前,公司又将如何保护自己免受网络与立法压力的影响呢?
在整个组织范围内的最终目标,是将思维方式转变为“数据感知”,因此公司现在可以采取实际步骤。应当优先考虑采取这些步骤,并作为内部练习或利用两家供应商中的一家,我们会在Tech Wire Asia的本文中重点介绍。
第一步:创建数据地图
企业通常将其过程映射为企业体系结构练习,以及变更管理程序的一部分。流程图需要包括以技术和信息流所构成的基础条件。在采取任何新的举措或更改流程之前,请提出以下问题:
– 谁拥有数据?
– 信息存储在哪里?
– 还有哪些其他过程有助于、能影响、或以其他方式使用数据?
– 从创建到存档、数据的弹性与安全性都由谁来负责?
第二步:逐步性地考虑风险
与企业体系结构过程再次相关,考虑每个阶段出现的数据移动与风险有助于确定问题可能出现之处。在设计新的手动或自动流程时,基于数据风险进行评估是非常重要的一环:毕竟,对那些不良行为者而言、每个步骤也可能会被列入“考虑”,或者,得由政府官员授予对您的系统作出监督,以确保遵守法规。
新业务流程中的每个步骤,也可能具有更深的复杂性。如果使用安全系统,则该如何对用户(或自动化处理)进行身份验证?企业范围内是否有密码管理?是否存在安全证书、以及如何加密数据?
第三步:仔细评估现有而新的技术以及硬件
即使是简单的基本连接设备也可以打开新的关注领域,因此,对其设施的安全性也需仔细考量。举个典型的例子,在工业环境中,物联网给从事工业4.0式转型的公司带来巨大的机遇。然而,就此将设备在线连接到现有网络中、也会相对带来新的攻击媒介与风险。
具连接性的智能设备(例如楼宇管理系统、监控摄像头与数字门卫系统)可能旨在保护公司组织的安全,然而也可能会提供漏洞,具有可以让人加以利用的空间。
第四步:建立控制与风险意识心理
网络安全与风险意识的首要规则,是要养成一种“当发生时”的态度,而非“如果发生时”的心态。因此,必须在考虑每个业务决策时都考虑到数据的弹性与风险因素。提议的业务流程或策略可能会起到一定作用,但是,如果涉及到不安全的数据操作,则可能必须更改决策。
以数据来讲,即改造控制效率低下,几乎未能100%有效。举例来说,推出新的云服务可能是基于解决流程的问题,但是,除非该服务器可以集成企业的中央PAM系统(密码访问管理),否则可能还是需要避免这种情况。
在Tech Wire Asia,我们正在考虑与两种类型的供应商合作,以提供安全、风险与治理管理的解决方案。我们认为,针对公司在保护自己免受不必要风险方面,这些供应商有助于帮您改变立场。与以往一样,我们无法提供100%的安全保证、亦无法提供确保适当的法律合规性的简易票务平台。保护自己仍然是组织的责任。我们认为,以下供应商提供了独特的产品。
EY
安永作为世界上提供网络安全与风险管理解决方案的最大公司之一,其地位十分优越,在亚太地区的业务提供特别相关的服务类型,包括本地及其他地区的运营。
随着公司拓扑结构的变化,其风险状况也会发生变化,因此,安永建议针对数据安全性与弹性采用一种创新方法:信赖设计 (Trust by Design)。
“信赖设计”不仅有效地将良好的数据操作“引入”企业的运营中,更又向前迈进了一大步,从而确保公司中的所有利益相关者都能建立起重要的信任感。除了内部机构、服务与职能,利益相关者还将包括合作伙伴、供应商、承包商与客户。从公关的角度来看,外部利益相关者与客户对数据管理不善的问题尤为敏感,因此,确保在所有步骤中正确权衡信息安全对于维持良好的业务关系至关重要。
公司的整体方法意味着“信赖设计”可以直接在整个企业中传播,而不仅仅是集中在IT部门与CISO:当今每个部门,师团与业务职能部门都在处理数据,因此,确保端到端的最佳操作是重中之重。
在Tech Wire Asia上了解有关安永如何在整个亚太地区发展安全与信任创新的更多信息,点击此处。[链接到个人资料]
IBM
正如您所期望的一般,公司事实上已从一硬件供应商成功地过渡到了世界领先的IT服务公司之一,IBM大量的产品组合已然成为全方位数据安全解决方案的典范来源。
随着您的公司从内部数据中心过渡到多个云网络,并具有不断变化的混合拓扑、内部与多云配置、IBM框架有助于在其中发挥保护与保障的作用。
例如,IBM关键数据保护计划首先对整个企业的安全立场进行分析,并从操作的角度及潜在的数据泄露点来确定潜在的弱点。审核过程有助于对数据的类型与其重要性进行分类,并建立用于在企业中为每个离散筒仓(以及筒仓之间的相互作用)分配责任的框架。
接着,IBM安全服务便可在信息可能存在的地方提供对数据进行总体监视与控制,无论是在治理、安全性乃至数据的完整性方面。公司的集中式数据安全自动化与管理解决方案、将总体控制带到企业中不同的责任点上,即:IT、财务、人力资源、物流等。
您可以在此阅读有关IBM关键数据保护计划的更多信息。
READ MORE
- Elon Musk takes AI and brain chips mainstream with Grok and Neuralink
- Global concerns rise over alleged cyber hacking activities linked to China
- China’s new tech policies challenge Intel and AMD in a shifting landscape
- Aussies don’t believe in the generative AI hype?
- Epic Games, Joined by Meta, Microsoft, X, and Match Group, challenges Apple in court