E安全7月6日訊 美國國家安全法律博客 Lawfareblog 近日發表《企業管理與網絡安全-高管的數字彈性》 (Business Management and Cybersecurity - Digital Resiliency for Executives)書評。這本書的作者為日本網絡安全專家 Shinichi Yokohama。
本文源自E安全
《企業管理與網絡安全-高管的數字彈性》共六個章節:
- 第一章解釋了網絡安全的構成要素以及網絡安全事件可能會給企業運營帶來的影響;
- 第二章網絡安全是企業管理挑戰的原因分析;
- 第三章將日本、美國和歐洲國家的網絡安全態勢和政策進行比較,並向日本企業的高管提供解決網絡安全問題的建議;
- 第四章鼓勵日本企業尋求行業合作,例如信息共享和分析中心(ISACs);
- 第五章描述了美國、東南亞和歐洲政府的政府在網絡安全政策和公共宣傳方面的合作方式;
- 第六章討論了私營行業如何在教育、培訓和網絡威脅情報共享方面為公私合作做出貢獻。
日本與美國等在網絡安全方面的差異
在日本,大型企業在解決國家技術政策方面的傳統做法(比如網絡安全要求)將不可避免地影響到廣泛的行業,因此過去採取的做法是等待政府監管機構下達指示。
相較而言,美國的做法與之存在巨大差異,美國大型企業本著參與制定政策與監管對策的目的,長期以來一直通過公司的政策團隊或行業協會,主動公開地與政府機構進行接觸。美國的行業和特定企業給美國的公共政策對話帶來了自己的議程和目標、重要的技術、操作知識和政策抉擇。
如今,鮮有日本公司在企業內部設立公共宣傳團隊。雖然企業部門以非正式方式進行溝通討論,但制定影響日本政府、日本大眾和社會、日本公司的全球消費者、客戶和業務合作伙伴的權力仍主要掌握在政府監管機構的手中,然而,這些監管機構往往缺乏私營部門具備的技術和操作知識。
Shinichi Yokohama 在《企業管理與網絡安全—高管的數字彈性》一書中指出,日本行業的被動態度給日本社會和經濟帶來的負面影響在網絡安全領域顯露無疑。網絡安全具有互聯性,同時也伴隨諸多漏洞。此書揭示了日本行業的被動性,並鼓勵企業高層與政府共享技術和操作見解,以積極正面的態度為網絡安全政策制定做出貢獻。
本文源自E安全
日本90%的信息通信技術資產歸行業所有
由於日本90%的信息通信技術(ICT)資產歸行業所有(其餘主要是個人或家用設備),Yokohama 認為行業應當積極主動確保網絡空間安全。
Yokohama 指出,日本的私營部門和政府機構應當與其他國家合作,制定全球性的總體政策和標準,以解決跨國界的網絡安全問題。他認為,本書有助於幫助企業領導瞭解需要為網絡安全、行業合作和公私合作所做的工作。
這本書提到日本以外的網絡安全發展(例如美國ISACs和美國國家標準與技術研究院框架),以此對比日本和其他國家之間的差異,並敦促讀者思考對日本可行的網絡安全方法及其實施方式。
《企業管理與網絡安全-高管的數字彈性》一書在第四章中比較了美國和日本的 ISACs。日本目前擁有五個 ISACs(金融、ICT、汽車、電子和貿易),但他們的信息目前尚未完全翻譯成英文。為了支持2020東京奧運會和殘奧會,日本正在擴大並深化國際網絡安全合作。
日本大多數網絡安全書籍重點關注網絡攻擊和防禦的技術層面。此書分析了日本和其他國家在網絡安全問題方面的異同,全面解釋並比較了日本和其他國家在網絡安全政策、開展公私合作、行業協作和網絡威脅情報分享方面開展工作的具體案例。
值得注意的是,日本大多數網絡安全政策相關文檔用日語編寫,並未翻譯成英文(日本的國家網絡安全戰略是個例外),語言障礙使得其他國家的網絡安全政策分析師和專業人士難以理解日本的利益、擔憂、挑戰和政策方法。
日本沿用美國NIST框架
由於日本政府機構和企業均將美國的 NIST 框架視為網絡安全指南和實踐,日本正在努力趕上其他技術發達國家的步伐,並在網絡安全態勢方面與其他領先國家保持一致。《企業管理與網絡安全》旨在允許全球的網絡安全政策制定者和分析人士瞭解日本在參與國家網絡安全政策制定和態勢方面希望傳達的信息。
本文源自E安全
《企業管理與網絡安全-高管的數字彈性》內容
日本關注“企業技能”
雖然美國和歐洲的企業更多地關注員工的技能,通過技能互補的方式打造成功的企業團隊,但日本企業更看重通才,因此更關注整個企業的技能。日本企業每隔幾年就會大規模換血,儘管這樣具有一定的優勢,但也存在負面影響,比如不利於網絡安全的職業發展。此書在第四章中提到跨行業網絡安全人力資源發展論壇(Cross-Sector Forum on Cybersecurity Human Resources Development)案例的研究價值。此書提到的跨行業論壇包括日本藍籌公司的合作,其旨在建立積極的社會“生態系統”,從而與政府機構和學術界合作教育、招募、培訓並保留網絡安全專業人才。
《企業管理與網絡安全-高管的數字彈性》一書有詳細的比較案例,作者在其中描述了日本和其他國家的企業對首席信息安全官(CISO)的期望不同。
- 只有63%的日本企業設立了這一職位,而美國和歐洲的比例分別高達95%和85%。
- CISO在35%的日本企業中充當“雙帽”角色,而美國和歐洲的佔比僅為17%和18%。
由於日本配備的長期網絡安全專業人士不及美國多,再加上日本的企業文化通常不允許從外部招聘高管,作者懷疑美國或歐洲招聘和指定 CISO 的做法在日本的可行性。這本書指出,考慮到日本的企業文化和日本企業的管理模式,建設網絡安全團隊將會更加有效。
許多日本政府機構和企業逐漸認識到將網絡安全納入國家政策的重要性(2020年奧運會是助推力)。日本在全球經濟中所扮演的角色意味著,日本以外的政府、企業、政策和學術專家需要了解本國經濟和網絡安全的當前政策立場和政策進程。《企業管理與網絡安全》分析了日本在網絡安全方面有了不斷變化的認識,以及日本在全球網絡安全中的角色。
本文源自E安全
關於作者Shinichi Yokoham
此書的作者 Shinichi Yokohama 是日本知名的網絡安全專家,他曾是日本跨國公司 NTT 網絡安全整合辦公室的負責人,且於2018年6月底成為該辦公室的 CISO。他曾供職於日本貿易部、全球諮詢公司麥肯錫公司,這些經歷能夠使其充當政府和行業之間的橋樑,同時亦可充當日本和其他國家之間的橋樑。
類似於 Yokohama 的科技行業的從業者每隔幾年換一家新公司這種現象在美國很常見,不僅科技人員會獲得升職機會和更好的薪資待遇升,企業也會吸納前政府官員。然而,在日本像 Yokohama 這種職業道路卻並不典型,日本的職業比美國相對穩定,這使得日本企業和政府機構更難以吸收新鮮血液和新想法。
2017年席捲全球的 WannaCry 勒索攻擊證明,網絡攻擊波及的範圍不僅限於某個組織機構、某個行業或某個國家。網絡安全涵蓋了從技術到企業管理、法律和國家安全的方方面面。網絡互聯的事實意味著所有技術上重要的參與者都需要彼此。因此,當前重要的是認識自身在企業實踐和文化方面的差距和共性,從而促進政策和監管對話。
Shinichi Yokohama 在其《企業管理與網絡安全-高管的數字彈性》一書中,表明了希望與全球讀者接觸的熱情。
注:本文由E安全編譯報道,轉載請註明原文地址
閱讀更多 E安全 的文章
