畢馬威：2020網絡安全要點網絡安全威脅日益嚴重保護經營環境你準備好了嗎？[16頁].pdf

1、 共同關注： 2020網絡安全要點 網絡安全威脅日益嚴重 保護經營環境，你準備好了嗎？ 2020 畢馬威國際合作組織 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員所網絡相關聯的瑞士實體，畢馬威國際不提供任何客 戶服務。 qRqPoPsRtOpOwPnPvNrNyQ6McMbRmOrRmOoOlOoOqNfQrQtQ8OnNvNxNsPsOwMsQoR 企業經營不斷變化，第四次工業革命蓬勃發展。隨著董事 會想方設法利用數字經濟的潛力，打造新的客戶體驗，進 行服務轉型，推動效率提升和成本節約，數據已成為企業 的生命線。新業務模式、新技術和新的合作關系融為一 體，將創造嶄新的未來。 在這個千變

2、萬化的世界，有一些不計后果的企業家，他們利 用新經濟的機會賺取豐厚利潤。很可惜，他們是網絡犯罪分 子，站在了法律的對立面。他們對遵紀守法的企業造成新的 挑戰。對于如何保護自己的競爭優勢，開發新的業務模式以 實現和保持網絡安全，企業需要轉變思想。 網絡安全專業人員需要證明，雖然網絡犯罪分子犯罪行為的 節奏和速度很快，但自己能夠利用靈活的思維和行動保護轉 型企業的核心競爭力。 他們需要匯聚整個企業內擅長于合作的人才，這種人才能夠 采取積極主動的態度，直面難題。首席信息安全官無法事必 躬親，需要建立新的合作方式。技術發展是機遇而非威脅， 網絡安全正在成為一股主要的業務推動力量。 我們*選取了將影響今

3、后網絡安全處理方式的六大關注 點，請我們的專業人士分享他們的見解和經驗，以幫助企 業應對未來的挑戰。 *除非另有所指，否則本文件中，“我們”和“畢馬威”是指畢馬威以及與畢馬威國際相關聯的獨立成員所網絡，或指一家或多家相關成員 所，或指畢馬威國際。畢馬威國際不提供任何客戶服務。成員所與第三方的約定對畢馬威國際或任何其他成員所均不具有任何約束力；而 畢馬威國際對任何成員所也不具有任何上述約束力。 2020 畢馬威國際合作組織 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員所網絡相關聯的瑞士實體，畢馬威國際不提供任何客戶服 務。 在安全運維(SecOps)團隊 努力整合重點安全工作與軟 件及流程

4、開發的過程中，為 提高效率和節省成本，分析 型解決方案的核心任務應盡 可能自動化，包括訪問與欺 詐預警、數據隱私與風險降 低等。 Tony Buffomante 持續有效的網絡空間安全性 管理需要將事件處理、業務 連續性與災難恢復計劃統一 協調起來，這需要整個企業 從前臺到后臺的全方位合 作。 Akhilesh Tuteja 協調業務目標與安全需求 數字信任與消費者驗證 與時俱進的安全團隊 迎接下一輪監管潮 云轉型與韌性 自動化安全功能 共同關注：2020網絡安全要點 1 2 共同關注：2020網絡安全要點 2020 畢馬威國際合作組織 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員 所網

5、絡相關聯的瑞士實體，畢馬威國際不提供任何客戶服務。 協調業務目標與安全 需求 無論在工具還是人員方面，很多企業對網絡安全投入了大量資 源，但如今一些企業認為有必要收縮投資。在這個意義上，網 絡安全成本已成為主要關注點，可能變得與安全本身一樣重 要。為了管理成本，并確保業務與安全的協調，企業通過制定 數字化網絡安全風險管理流程，使相當部分的網絡安全功能自 動化，確保網絡安全與企業最重要的運營和業務戰略相協調。 目前的形勢 我們研究了大量風險模型，發現其中缺乏業務驅動的風險場景概 念。業務團隊的觀點需與網絡安全團隊的觀點密不可分，但在太 多企業中卻并非如此。確定這些風險場景應由業務團隊牽頭。 如果

6、能通過模型，使業務領導更深入地了解安全控制對風險場景 可能產生的影響，流程的效率將顯著提高。很多企業不能一貫地 獲得這種洞見，從而難以在控制措施和業務之間建立順暢、持續 的關系。 對于網絡世界可能發生的最壞情形，我們試圖未雨綢繆，但很多事 件的發生不太引人注目，影響不大，更不用說對業務造成震動。我 們從這一角度發現，很多企業不僅設法將安全嵌入第二道防線，而 且還將其嵌入以經營為主的第一道防線和審計推動的第三道防線。 大型企業在過去10至15年間對信息技術安全投入大筆資金，如今他 們承認需要開發一種著眼于降低成本的新模型，將安全自動化，使 員工各司其職，以降低成本。 2020 畢馬威國際合作組織

7、 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員所網絡相關聯的瑞士實體，畢馬威國際不提供任何客戶 服務。 共同關注：2020網絡安全要點 3 在很多國家，企業（尤其 是大銀行）正在建設共享 服務中心，以集成各種網 絡功能。這些企業顯然發 現，全憑企業自身建設共 享服務中心不具成本效 益，但一般的外包又不可 行，因為外包第三方不清 楚從業務角度出發應保護 的對象。 John Hermans 我們需要對整個企業進行 風險分析，并通過業務風 險的方式發現信息技術風 險，從而對企業風險有全 局的了解。網絡安全職能 部門需要更深入地分析業 務重點，以確定可能存在 的薄弱之處，以及這些缺 陷被利用可能

8、造成的影 響。 Ben Krutzen 企業應采取的行動 全面分析哪些領域需要投資?？紤]需要控制哪些風險場景，哪些控 制措施與之最相關。絕大多數企業正在進行數字化轉型，這意味著 他們還應探索網絡與風險管理流程的自動化。 如果業務中嵌入安全政策和有關控制，很多事件都能輕易發現?？?之，建議企業在全部三道防線中整合網絡安全措施，而不是三道防 線各自為政。 使安全成為一項端到端優先工作。根本措施是建立安全部門與企業 其他部門的持續對話，以確保在戰略和經營規劃方面安全與業務同 步。 為達此目的，通過實施工程方法（如安全設計和隱私設計），使開 發運維團隊開發新的應用程序和服務時將安全意識注入其日常思 維

9、。 最后，我們希望看到網絡安全專業人員的職能不再僅僅由IT驅動。網 絡安全團隊需要以業務為導向，具有義務意識。否則，業務與網絡 安全之間的共生關系永遠不會鞏固。 2020 畢馬威國際合作組織 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員所網絡相關聯的瑞士實體， 畢馬威國際不提供任何客戶服務。 4 共同關注：2020網絡安全要點 數字信任與消費者驗 證 顯然，年輕的消費者正在把他們的消費期待延伸到網絡生 活，尤其是在銀行和金融服務方面。于是眾多全球大品牌 感到威脅。實體店逐漸消亡，誰在數字化客戶體驗方面占 上風，誰就可能占有最大的市場份額。 目前的形勢 最終消費者很可能會選擇交互最簡便并使

10、他們感到安全的品牌。 在目前的環境下，提升客戶體驗的辦法是減少摩擦。對于忘記密碼 的客戶，通過短消息向其手機發送驗證碼，要求重新輸入驗證碼并 確認的做法就是摩擦。 為此，很多企業依靠基于機器學習的方法，以了解客戶常見而獨特 的特征與行為模式（比如指紋、聲紋和各種物理生物特征）。特別 是金融機構，他們正在努力了解客戶與金融機構的交互方式：客戶 通常如何及何時登錄，執行交易的類型，經常提取或轉移的資金金 額范圍等。企業可以歸集這些要素，生成獨特的客戶快照。 對于保有用戶交互界面的企業來說，減少客戶體驗摩擦就是優化客 戶旅程、建立信任，使客戶之旅足夠短而高效，以維持客戶參與。 如果客戶認為自己經歷了

11、太多復雜程序，他們很可能一走了之而與 其他企業做生意。雖然達到客戶想要的結果需要客戶感到愉快和順 暢，但產品或服務提供商有責任保證整個過程的安全。 2020 畢馬威國際合作組織 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員所網絡相關聯的瑞士實體，畢馬威國際不提供任何客戶 服務。 共同關注：2020網絡安全要點 5 企業必須開始反思獲取 數據的方式，使其能夠 與特定威脅的場景相 關?！皵祿?data lake) 概念其實并不新 鮮，但匯入的數據，數 據如何保持安全，以及 確保只有最相關的人士 才能訪問和利用這些數 據都是重要考慮因素。 Charlie Jacco 對于安全融合中心，近年

12、 來人們主要關注一個核心 問題（尤其是在美國）， 就是使工作方式轉變為數 據推動，以監測安全事 件，打造精簡但隨網絡威 脅形勢而變化的響應流 程，且一直比網絡攻擊領 先一步。 Alex Anisie 6 共同關注：2020網絡安全要點 企業應采取的行動 首先，最重要的是，任何行業的企業都應努力將數據、驗證和反欺 詐團隊系統化、程序化地聯系起來。了解監管規定、所收集的數 據、數據所有者、數據來源及利用方式。打造全面的安全文化。 在此基礎上思考，如果要求客戶回答問題以通過驗證，如何提升客 戶體驗，從而使得客戶更方便地驗證身份，但在客戶作出異常交易 時需加強驗證要求。盡可能使客戶的日常交互簡便輕松，

13、但可以基 于常見行為模式分析，在有必要的情況下略微增加摩擦。 優先考慮隱私，了解企業數據將如何使用及被誰使用的問題。今后 很多數據可能都在云端，企業需要研究如何加密和保護這些數據。 這是企業層面可以通過技術解決的問題，但最終需要企業以提升客 戶體驗為目標，即在客戶與企業進行數字交互的每一環節提升端到 端用戶體驗。 企業還應反思對數據的評價方式。對各種數據集應用大量規則的傳統方 法已不再可行，傳統方法會產生大量誤報，造成太多用例漏網，使騙子 有機可乘。關鍵的想法是利用機器學習算法更有效地分析這些數據以識 別行為趨勢。 最后，企業需要時刻注意整個防護/檢測/反應流程中人員與技術之 間的相互關系。安

14、全流程不僅從內部橫跨整個企業，同時還影響字 面和引申意義上的外部世界，因為第三方也可能會觸發企業的安全 事件。最后，還需要吸取經驗教訓。對于用戶驗證，企業應花時間 研究過去發生的事件，將其重新應用到企業的安全協議進行壓力測 試，以避免類似事件再次發生。 2020 畢馬威國際合作組織 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員所網絡相關聯的瑞士實體，畢馬威國際不提供任何客 戶服務。 與時俱進的安全團隊 最近幾年，企業董事會為提高網絡安全的重要性進行了廣 泛的努力。2020年，很多董事會成員對網絡安全工作日 程有著清晰認知。雖然董事會成員了解網絡安全的重要 性，但安全專業人員面臨一項重大挑

15、戰，即理解網絡安全 對業務的重要意義，并將這種認知轉變為可行的深刻理 解。 目前的形勢 很多企業的網絡安全團隊仍然由技術、經營合規專業人員組成，但這 種局面正在轉型，網絡安全團隊逐漸成為更具戰略性、前瞻性的資 源，利用其宏大的視野影響業務動態。 在許多行業，不少首席信息安全官(CISO)及其團隊正在針對不斷變化 的業務格局努力調整，以便在進行戰略討論時發出受信賴的、有價值 的聲音。他們還努力構想企業的特定經營重點，與內部業務領導合 作，盡可能迅速地將這些分析納入企業的網絡安全方案。安全團隊的 另一項主要關注點，尤其是在金融服務和醫療健康行業，是如何高效 低成本地滿足監管要求。 安全專業人員的技

16、能不斷在進步?？傮w而言，核心團隊需增強其 整體業務卓識和具體產品知識，從而更明確地表達與企業風險相 關的網絡安全風險。 企業應采取的行動 安全團隊應走出自己的領域，傾聽不同的觀點，加強與業務領導的 溝通，去理解企業面對不斷演變的生態系統真正需要擔心的問題。 對于正在進行數字化轉型的企業（這種企業占多數），網絡安全團隊 應從戰略角度參與數字化轉型計劃，展示自己作為業務、數字和安全 的橋梁作用。樹立共同的目標。 識別企業計劃存放在云端的數據類型。了解開發和生產環境之間所 需交互的類型，然后將交互的需求與安全方案相協調。 與企業公關團隊和密切參與客戶體驗工作的團隊緊密合作。應用信 息傳遞策略，即使最

17、糟糕的情形出現，也要確保企業繼續向消費者 輸出信任。 明確哪些任務人工智能能夠處理，哪些工作需要人工參與。努力實現 企業安全環境中基本控制的自動化，力爭至少實現50%的自動化。 最后，使倡導網絡安全成為企業環境、社會和治理(ESG)議程的 一個突出特點，以展示對網絡安全治理的全面觀點和處理廣泛事 件的能力。 2020 畢馬威國際合作組織 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員所網絡相關聯的瑞士實體，畢馬威國際不提供任何客戶 服務。 共同關注：2020網絡安全要點 7 接受事實，新世界已不同 于往昔。不是侃侃而談， “我們做了20年的網絡安全 工作，一直是這樣或那樣 做此外別無他法。

18、” 而是虛心請教，“我們作為 一家企業到底應當怎么 做？”然后評估可用技術， 設計適應企業環境的最佳 方案。 Dani Michaux 首席信息安全官已成為受信 賴的內部顧問和重要的運營 領導。在進行數字化轉型、 數據資產價值提取和全球重 點工作之間，如果網絡管理 層具有業務思維與戰略意 識，每一家企業都將因此得 益。他們率領強大、專心致 志的團隊，在企業追求增長 的新階段保護和賦能企業。 Rik Parker 迎接下一輪監管潮 當你審查技術風險時，其實你說的是信息技術風險。但你討論 網絡安全風險時，所有權和責任劃分則不在技術部門的職責范 圍內。我們發現，網絡安全監管的方向和規模正在向更加全面

19、 的方向發展，主要關注在于業務和責任劃分，比如面向客戶的 信任輸出活動，中、后臺操作，以及董事會推動的企業治理職 能等。簡而言之，其實重點在于第一道防線內的管理。 目前的形勢 我們預計，在2020年及以后，各類監管部門將繼續加強各種專項監管。具 體來說，我們發現亞洲對網絡安全的新監管規定實際上已使用“網絡”一 詞，而之前的用詞是“技術”，具有“IT”的意味。用詞的精確性提高是 令人欣喜的進展。 很多國家遵循歐盟一般數據保護條例（GDPR）的某些內容發 布了相關規定，或本國已有隱私法律，我們發現企業（特別是大型 跨國企業）成立了積極的數據管理部門。核心是，企業希望將數據 分析作為一種規章，不僅要

20、了解數據在企業中的存儲，還要了解數 據所有者、數據處理過程，以及更重要的，用戶對該數據擁有的權 利和許可。 企業認識到有必要為網絡安全增加投資，不僅是工具和流程開發方 面，更是針對網絡安全人才的匱乏，需要從網絡安全治理、風險戰 略到配置和維護方面加大投入。這方面的投資仍然存在很大的缺 口，而且令人遺憾的是，很多企業招聘的IT專業人才缺乏關于監管 環境的網絡安全思維。因此他們提出的建議常常無效，或者雖然目 的很好，但被管理層和董事會誤解或無法貫徹執行。 8 共同關注：2020網絡安全要點 2020 畢馬威國際合作組織 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員所網絡相關聯的瑞士實體，畢馬

21、威國際不提供任何客 戶服務。 我成為多層網絡攻擊模擬 （即所謂的紅隊行動和道 德黑客行為）的超級粉 絲。對安全運營進行測試 至關重要，以了解是否能 夠檢測出不同類型的攻 擊。如果檢測出攻擊，對 應對方案和程序進行壓力 測試。越來越多的監管團 隊在其核心流程中考慮這 一因素。 Ton Diemont 網絡安全監管著重于三大 領域（我稱之為監管三部 曲）：基礎性的運營技 術、通過第三方處理的數 據外包及韌性，即企業監 測、應對網絡攻擊并恢復 的整體能力。 Daryl Pereira 企業應采取的行動 對于三道防線模型，我們建議在第一道防線嵌入網絡安全責任與 首席信息安全官的角色（建議正式化），并將

22、這些工作與年度業 績目標掛鉤。首席信息安全官的核心職責應在第一道防線，以涵 蓋安全戰略目標和愿景，而且，首席信息安全官對于日常監控和 工具配置的安全運營應有明確的層級概念或至少功能性劃分。 第二道防線（即信息技術風險）應對設計質量和韌性政策與標準 提供支持，向管理層和董事會匯報。第三道防線應對前兩道防線 進行審核與評估。三道防線互相配合的理想狀態力求擴大整個組 織內的網絡安全需求，其中包括監管合規需求。 我們還認為，為識別改進空間，在設計、實施和效果方面對監管合規 計劃進行持續檢驗很重要。此外，確保網絡安全運營韌性嵌入整體架 構和流程，以加強信息技術和運營技術的安全。 應任命嚴格說來非IT專業

23、人員負責監管合規。事實上，新首席信 息安全官應該更加熟練運用業務語言，以確保其信息得到理解和 執行。合適的人選應該對企業的運營模式具有開闊的思路，首席 風險官、首席財務官或副首席執行官是理想的人選，因為他們還 對企業的整體風險議程有認識。合適的人選應該是整個企業網絡 安全的主持者或捍衛者，與首席運營官和首席信息安全官密切合 作。 從內部控制政策到各種地區性國家的監管規定，企業花時間將各種 監管規定納入“統一控制框架”，以提高內部治理、風險、合規、 測試工作的成效。在隱私、韌性和安全監管規定所要求的控制措施 之間的尋找協同效應，其結果可能出人意料。 建議企業將重點從系統和技術轉移至信息。確定賦予

24、企業市場競爭 力的因素，這些因素可能是知識產權、供應鏈或定價能力。但無論 什么因素，從網絡安全角度來看都是需要企業保護的對象。 2020 畢馬威國際合作組織 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員所網絡相關聯的瑞士實體，畢馬威國際不提供任何客 戶服務。 共同關注：2020網絡安全要點 9 云轉型與韌性 隨著云技術的成熟應用，很多企業需要使首席信息安全官的團 隊與企業的其他部門協調。企業可能會說，我們準備在接下來 的18個月通過云技術做這樣那樣的工作。與此同時，首席信 息安全官及其團隊正在開發有關流程和工具，這些流程和工具 對業務推動力和實現理想業務成果所需的技術至關重要，但不 一定

25、與其協調。這種情況必須改變。 目前的形勢 過去IT一直負責提供基礎設施，而且在云技術出現之前，主要著眼 于“地面”的挑戰。安全團隊負責掃描基礎設施的漏洞，但他們經 常不清楚掃描什么，因為威脅更新列表常常與IT脫節。管理基礎設 施和相關資產一直很不容易，但是在云端，一切更加瞬息萬變，提 前進行安全考量并嵌入云解決方案是很多企業正在竭力應對的挑 戰。 就云技術而言，很多行業內的首席信息安全官團隊主要不是準備在技 術或人才方面賦能業務。在云端，信息保護是優先工作。我們發現， 數據在云端部署的方式常常不一定具有韌性，這種情況越來越多。我 們不只是在討論多可用區域，而且還在討論發生重大破壞的情況下恢 復

26、關鍵資產的能力。 我們發現，很多企業存在兩個陣營，在安全方面似乎走向兩個極 端。一派是傳統的工作人員，他們在安全架構領域工作了20多年， 但未充分適應云端的生活。另一派是走在前沿的安全專業人員，他 們浸淫當今技術，努力推動和實現云思想，以便能夠通過設計和規 ?；度氚踩?。讓兩派達成共識是一項重點工作。 10 共同關注：2020網絡安全要點 2020 畢馬威國際合作組織 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員所網絡相關聯的瑞士實體，畢馬威國際不提供任何客 戶服務。 安全團隊必須認識到破舊沒 有問題，只要能夠從中迅速 獲得借鑒，并卓有成效地應 用學到的知識。但是大量企 業不敢這樣想。一

27、種積極嘗 試和學習的企業文化，將吸 引企業在當今迅速演變的市 場形勢下所需的那類網絡人 才。云技術能使企業迅速破 舊立新、進行重建和一步步 地走向成功。 Caleb Queern 我們發現，具有計算機科學 背景、對代碼編寫流程有所 涉獵的安全架構師越來越 多。他們明白自己必須做出 表率，讓同事能夠使用這套 新的云工具并支持安全設 計。所以我們開始發現，云 和安全（云安全專業人員） 的連接開始出現，但這種現 象仍然十分少見。 Katherine Robins 安全團隊行動建議 成為學習型企業。吸引云人才的除了高工資，還有企業文化。潛在員 工想知道他們入職的不是一家古板、高度厭惡風險和行動遲緩的企

28、 業。通過培育勇于創新和嘗試的文化，企業能夠吸引優秀的云人才。 同樣企業還應小處著眼，但迅速行動。宣傳企業能夠迅速破舊立新、 然后吸取經驗教訓重建。安全能使企業一步步走向成功，例如，逐漸 適應數據容器保護新戰略，使業務迅速發展。 在軟件開發生命周期中，盡早進行測試左移和推進控制，以便為客 戶和用戶提供最大價值。在生命周期中，盡可能逐步地左移安全應 用，這通常需要“基礎架構即代碼”的設計。賦能開發者在不用安 全團隊參與的情況下硬編碼所需的安全措施，即可實現“基礎架構 即代碼”，而云技術可以促進這一變革。 理解底層代碼，具備讀寫代碼能力能夠贏得開發運維工程師的尊 重。抓住機會真正理解自己應當所處的

29、位置。我們會發現，安全 專業人員越來越具備讀寫代碼的能力，因為我們日益脫離傳統的 安全架構角色，即推敲架構圖、將其轉交方案設計師或方案架構 師供其打造解決方案，然后交給工程師建立實際基礎架構。 努力理解并向整個企業溝通業務賦能、業務韌性和信息保護之間 的聯系。這與本地部署的工作方式差別不大，但將關鍵數據跨區 域放在云端略有不同。將云技術融入企業的基因能使企業根除運 營“噪音”，從而讓企業專注于更重大的安全重點工作。 2020 畢馬威國際合作組織 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員所網絡相關聯的瑞士實體，畢馬威國際不提供任何客 戶服務。 共同關注：2020網絡安全要點 11 自動

30、化安全功能 我們發現，從身份驗證到威脅檢測和響應，數據融合現象出 現在安全自動化方面。金融服務、電子商務/零售、科技、 媒體與通訊、汽車等眾多行業正在收集、分析一系列“了解 你的客戶”數據。這些信息通常彼此嚴重孤立。但是企業開 始認識到自己坐擁一座數據寶庫，如果數據組織更加得當、 訪問效率提高，企業可以從中提取、分析數據以提升價值。 目前的形勢 通過整合歷來迥異的數據集，企業正在努力將仍依然依賴人工的功能實 現自動化。 不僅企業能夠更好地確認數字客戶所展示的身份，還能獲取更深入 的信息，比如誰的電腦有病毒，誰最近收到了釣魚郵件，誰試圖進 入沒有訪問權限的網絡。 安全專業人員結合第三方工具和內部

31、解決方案，盡可能多地使整個 網絡安全手冊自動化，使其與企業的業務發展和客戶體驗目標一 致。企業考慮通過云技術自動化第一道和第二道防線，以便在不用 人工操作的情況下更好地應對整個企業的威脅，同時確認所部署的 安全控制的確按照預期運行。 企業應采取的行動 始終牢記：誰控制數據誰就擁有權力。牢記這一點，第一步便是將關鍵 企業數據從管理許多企業系統數據的第三方供應商處轉移至一個集中的 可訪問位置。 我們還建議在企業內部倡導數據正?；媱?，以清理和恰當標記數據， 從而了解企業擁有什么數據、如何發布數據及數據集可用的特征。 數據正?；€不成熟的企業，可能不具備條件通過人工智能和機 器學習直接收獲洞察的階段

32、。對于這些企業來說，重要的是區分 企業希望應用的使用案例的優先級（比如欺詐檢測、客戶體驗提 升、運營效率提升等），然后確定如何插入合適的工具、技術和 高級分析方法，以便當數據可提供時加以利用。 12 共同關注：2020網絡安全要點 2020 畢馬威國際合作組織 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員所網絡相關聯的瑞士實體，畢馬威國際不提供任何客 戶服務。 隨著首席信息安全官設法減 少開支和提高團隊效率，自 動處置過時數字資產應成為 其首要戰略的一大支柱。通 過與領先的云服務提供商及 安全信息和事件管理提供商 的合作，他們同樣應探索自 動化安全運營中心手冊、反 欺詐決策和網絡安全響應

33、。 Anthony Gawron 企業正在投資有關技術，以 幫助確定其對客戶數字行為 的了解程度。其目的不僅在 于從驗證角度驗證客戶的身 份，而且從行為上了解他們 如何與環境互動。這些企業 其實在效仿過去十年十分高 效地完成這種工作的情報 界。 Ronald Plesco 畢馬威可提供的支持 畢馬威成員所的網絡安全專業人員遍 布全球，熟悉企業業務，深知業務不 能受到網絡安全風險阻礙。畢馬威成 員所專業人員認為，網絡安全就是管 理風險，而不是消除風險。 無論企業的網絡安全歷程處于哪一階 段，畢馬威成員所都能助其實現目 標，即具備網絡安全事件不會造成嚴 重破壞、企業能夠照常運營的自信。 畢馬威成員

34、所專業人員與您同心協 力，助力企業完成戰略和治理、組織 轉型、網絡安全防御和網絡安全應急 響應。我們的網絡安全專業人員不止 于推薦解決方案，他們還協助企業實 施。從滲透測試、隱私戰略到訪問管 理和文化變革，畢馬威成員所能夠對 企業提供全方位的幫助。 2020 畢馬威國際合作組織 (“畢馬威國際”) 。畢馬威國際是與畢馬威獨立成員所網絡相關聯的瑞士實體，畢馬威國際不提供任何客戶 服務。 共同關注：2020網絡安全要點 聯系方式 石浩然 畢馬威中國 網絡與信息安全咨詢 合伙人 Tel: +852 2143 8799 張倪海 畢馬威中國 網絡與信息安全咨詢 總監 Tel: +852 2847 506

35、2 周文韜 畢馬威中國 網絡與信息安全咨詢 副總監 Tel: +86 (21) 2212 3149 馮俊 畢馬威中國 網絡與信息安全咨詢 副總監 Tel: +86 (21) 2212 2496 張令琪 畢馬威中國 網絡與信息安全咨詢 合伙人 Tel: +86 (21) 2212 3637 黃芃芃 畢馬威中國 網絡與信息安全咨詢 總監 Tel: +86 (21) 2212 2355 宋智佳 畢馬威中國 網絡與信息安全咨詢 副總監 Tel: +86 (21) 2212 3306 鄔敏華 畢馬威中國 網絡與信息安全咨詢 副總監 Tel: +86 (21) 2212 3180 郝長偉 畢馬威中國 網絡

36、與信息安全咨詢 總監 Tel: +86 (10) 8508 5498 李振 畢馬威中國 網絡與信息安全咨詢 副總監 Tel: +86 (10) 8508 5497 王暉 畢馬威中國 網絡與信息安全咨詢 副總監 Tel: +86 (10) 8553 3630 本報告所載的部分或全部服務可能未獲準提供予畢馬威的審計客戶及其 附屬公司或關聯主體。 home.kpmg/socialmedia 本刊物所載資料僅供一般參考用，并非針對任何個人或團體的個別情況而提供。雖然本所已致力提供準確和及時的資料，但本所不 能保證這些資料在閣下收取時或日后仍然準確。任何人士不應在沒有詳細考慮相關的情況及獲取適當的專業意見下依據所載資料行 事。 2020 畢馬威國際合作組織 (“畢馬威國際”) 瑞士實體。畢馬威獨立成員所網絡中的成員與畢馬威國際相關聯。畢馬威國際 不提供任何客戶服務。成員所與第三方的約定對畢馬威國際或任何其他成員所均不具有任何約束力；而畢馬威國際對任何成員所 也不具有任何上述約束力。版權所有，不得轉載。 畢馬威的名稱和標識均屬于畢馬威國際的注冊商標或商標。設計者：Evalueserve。 刊物名稱：共同關注：2020年網絡安全要點 刊物編號：136862-G 發布日期：2020年3月