數字革命正當時。它一直被稱為物聯網（IoT），甚至萬物網。應用于工業領域，則稱之為工業物聯網（IIoT）、工業4.0和數字化企業。無論名稱為何，據麥肯錫全球研究所（McKinsey Global Institute）預測，到2025年，可能會釋放11萬億美元的經濟價值。在這一過程中，眾多行業將會發生顛覆性變革，競爭力將被重新定義，就業機會重新洗牌，日常生活將發生奇妙的變化。

本博客探討有關實現數字自由的話題– 克服網絡安全挑戰，助力各組織追求實現自己的數字夢想。這是一個涉及眾多方面的重要話題。我的目標是幫助決策者理清頭緒，提高他們組織的網絡安全水平，助他們走向數字化。

“燃燒的平臺”– 生存之道。作為一名商界領袖，如果還沒有人問您如何“走向數字化”，那么很快就會被問到。目前正在發生數字化轉型，具體的示例不斷涌現：

享經濟 – Uber、Lyft、AirBnB；四次工業革命 – 工業0、數字化制造；互聯自動駕駛汽車 – Intelligent Mobility (Nissan)、Tesla；智能電網 – 技術、設備和控制系統通信以及協同合作；醫療保健互聯服務 – 從臨床轉向家庭護理數字平臺 – Amazon、Apple、Facebook、Google、Netflix

如果您是侏羅紀公園迷，就可以將其聯想為每家企業和組織的霸王龍BOOM, BOOM, BOOM時刻。哦，有大事要發生。

您必須實現數字化才能生存。實現數字化需要前所未有的數據生成能力、連接性和設備/系統自治水平。在這種環境下，網絡安全是成功的關鍵。

網絡安全終局 – 彈性取勝。最終是要提高彈性。這意味著順利渡過網絡事件，并盡快恢復正常運作。這是個很棒的概念，它以結果為導向。方法和策略需要根據它們對彈性的影響來進行評估。NIST框架為此提供了一個很好的模型：識別、保護、檢測、響應和恢復。后續文章將會詳細介紹。

至關重要的網絡安全 – 網絡經濟。基于投資回報率制定網絡安全決策涉及網絡經濟的概念。我們來運用這一概念。

如果彈性是目標，那么應優先考慮時間和金錢投入，以對彈性產生最大的影響。擁有杰出成員的AFCEA國際網絡委員會發表的兩份報告非常清楚地闡述了這一點。2013年，AFCEA發表了The Economics of Cybersecurity: A Practical Framework for Cybersecurity Investment（網絡安全經濟：網絡安全投資的實用框架）。2014年，AFCEA發表了The Economics of Cybersecurity Part II: Extending the Cybersecurity Framework（網絡安全經濟第二部分：擴展網絡安全框架）。我翻出這些過去的報告，是因為這些建議迄今為止最實用。

在網絡經濟中，存在兩個主要考慮因素：

1)網絡攻擊的復雜程度

2) 所支持任務和/或正在存儲或傳輸數據的關鍵程度。

利用網絡經濟，主要投資以下方面：

應對大多數攻擊：很大比例的成功網絡攻擊并“不復雜”。其中包括釣魚攻擊，即員工收到看似合法（實際不合法）的電子郵件，點擊附件，不知不覺地發動了攻擊。因此，要防范這些攻擊，這是很容易關注到的一個環節。很多產品和服務都提供安全意識培訓，并衡量組織對這種攻擊的“天真無知”程度。引用AFCEA報告，

“原則#1：實施全面的安全控制基準，以應對中低水平的安全威脅至關重要，而且在經濟上是有利的。”這第一步走得不錯，但是并沒有解決我們的實際目標 — 彈性。

保護重要的東西：要實現彈性目標，必須將第一筆投資用于保護關鍵任務功能；諸如人類生命、國家機密、關鍵基礎設施、知識產權和重要數據。其中任何一項遭受喪失或損害都將帶來災難性的后果。考慮到這些目標的價值，您的投資應該同時應對復雜和簡單的攻擊。

“原則#2：關注安全控制范圍之外的安全投資，以應對組織中最關鍵的功能和數據面臨的更復雜的攻擊。”- AFCEA報告。

彈性 –“保護面”：對任何組織而言，“威脅面”都很大。重點關注威脅面后，我們下意識就會知道“它們會進入”，而事實上，它們已經在網絡中。隨它去，這聽起來很令人震驚。改變心態轉向“保護面”非常重要。我們關注的是彈性，不是零漏洞。（我對所有完美主義者表示歉意。）因此，投資于先進的安全控制系統和方法，以保護組織的重要職能和資產 - 保護面就小很多。

“原則#3：對于復雜的攻擊，組織應承擔不保護對組織任務影響最小且成本超過效益的職能和數據的安全風險。”- AFCEA報告。

這個網絡投資是投資于處理大多數簡單攻擊的安全控制系統，并應用先進的控制手段和方法來保護“最重要的資產”。

而市場反饋是：數字自由是當今的一個挑戰。德勤（Deloitte）最近對制造業高管進行的一項調查發現，超過一半的人認為工業4.0（數字化制造）對他們的業務具有戰略意義。在同一項調查中，網絡安全問題被認為是阻礙采用數字化制造的主要因素。如果能夠改進網絡安全，客戶就能加速采用。