推荐序
我们正处于一个科技创新涌现的时代,沟通、协作以及企业和机构的变革速度十分惊人。然而,在我们的生活、工作日益依赖于科技进步时, 也出现了同样惊人的安全风险。如果你经常关注每日的安全漏洞新闻,就会了解科技带来的经济风险、经营风险以及信誉风险。
作者将自己多年的研究成果全部写入本书,详尽解释了当今社会造成很多网络不安全的原因,网络安全为何成为一个极为棘手的问题,问题为 什么变得越来越糟糕,以及企业、行业管理部门、政府部门应该采取哪些措施。重要的是,五位作者詹姆斯M.卡普兰(James M.Kaplan)、图克·拜莱(Tucker Bailey)、克里斯·雷策克(Chris Rezek)、德里克·奥哈洛伦(Derek O’Halloran)和阿兰·马库 斯(Alan Marcus)不仅仅介绍了现今面临的网络安全风险,还详尽描述了如何缓解风险,并评估了如果不采取缓解措施可能导致的危害。
在调研过程中,我有机会了解他们的研究方法及初步结果。他们在全球诸多企业机构看到的事实,与我看到的或者我从RSA客户处听到的事情 基本一致。在2014年RSA大会上,作者们将初步研究成果展示给来自欧洲、亚洲、美洲的各国代表,引起了大家的共鸣,一致同意本书所呈现 的事实。让我感到振奋的是,会议中所有国家都认为当前大家共同合作解决网络安全问题非常必要。
从研究成果中可以看出,融合了云计算、移动互联网、社交媒体技术的当代数字化商业发展迅速,大幅增加了组织机构的受攻击面,传统的安 全边界(perimeter)不再是有效的防护。过去各机构与外部世界的屏障已被打破,网络边界呈现新的特点,即碎片化、飘忽不定且与内网 关联紧密,致使我们原来依赖的安全控制效果大大降低。这就需要新的安全模型。本书作者推荐了一种基于数字化适应力(digital resilience)概念的多层次方法,目前一些世界领先公司已经开始使用,并很快接受了这个方法。
数字化适应力不仅是一种理论,也是一种策略,是在日益不安全的世界里带来真正安全的策略、过程以及控制的框架。首先,需要透过企业的 业务目标、发展重点及关键资产,全面理解风险种类以及处理风险的必要性。其次,要在商界领袖群体中创建一种安全文化,使高级管理人员 在商业决策时时刻想到安全,而非事后才想起安全的重要性。再次,要时刻做好应对任何来源的攻击,包括来自内部的威胁。为了及时应对不 可避免的入侵,要采取必要的可视化手段、分析工具及动态控制措施。最后,要将所有这些因素有机地结合起来,创建起真正的深度防御体 系。
但是,每个组织机构都不是孤立的岛屿,仅靠自己的努力很难成功抵御风险。作者认识到,这需要政府、监管者、供应商、行业共同组成生态 系统,通力合作,形成一个保护生态系统的良好对策。
对于很多组织机构来说,网络安全这一话题仍旧是讳莫如深的,恐惧及绝望感弥漫在很多组织机构。如本书作者在阐述持续的网络安全带来的 经济影响时说道,因为恐惧及网络风险的不确定性,阻碍了企业采用创新性、有潜在变革性的技术,因此,由于对网络安全缺乏清晰认识所造 成的影响要远超过目前我们面临的挑战。正如两次荣获诺贝尔奖的居里夫人所说:“生命中没有可畏惧的东西,它只是尚待理解。我们要更 多、更充分地去了解,这样我们就少了畏惧。”
本书作者潜心研究,帮助人们加深这份理解,为读者提供必要的分析,指出了一条非常清晰、有说服力的路径,这条路通往安全的未来。
我相信,本书可以极大地帮助安全从业人员、技术部门主管,不仅让他们用现实世界的安全防御成果来作为衡量标准,而且,本书作为一种工 具,向高层管理人员阐述了网络安全对其所在组织机构的未来以及企业的生存能力都是非常重要的。
政府公务员及行业监管者应将此书视为指南,制定周到、行之有效的政策及切合实际的管理规章,为企业提供更多的安全支持。
最后,本书对于高管及董事会成员来说也颇具价值,可帮助他们很好地理解所有组织机构面临的问题。我经常受邀在组织机构的董事会发言, 讲述他们的网络安全现状与前景,在这些对话中,我时常总结自己的经验和世界各地客户的体验,现在,很感谢让我也能在这里与读者分享本 书。
亚瑟W.科维洛(Arthur W.Coviello,Jr.)
EMC公司信息安全事业部RSA执行总裁
目录
第1章 网络攻击危及公司的创新步伐 / 1
第2章 情况会好转,也可能变糟糕:3万亿美元经济损失 / 31
第3章 优先考虑风险及目标保护 / 55
第4章 以数字化适应力方式经营生意 / 81
第5章 将IT现代化,以确保IT安全性 / 103
第6章 采取主动防御措施对抗攻击者 / 125
第7章 遭遇攻击后:提升所有业务部门的应急响应能力 / 143
第8章 构建起推动企业走向数字化适应力的项目 / 159
第9章 创造有适应力的数字化生态系统 / 185
致谢 / 212
↓免费阅读和下载&加入读书社↓
评论(0)