在当前的网络攻击挑战中，想要实现全球经济的持续创新和增长步伐，需要有力的变革。对于企业来说，必须由以往从控制功能的角度管理网络安全，过渡到将信息资产保护的措施融入业务流程及整个IT环境中。此外，监管者、技术供应商及执法部门应与企业合作，建立一个数字化适应力的生态系统。如此规模的变革与复杂性，需要资深的业务领导及决策者的组织与实现。

由詹姆斯M.卡普兰、图克·拜莱、德里克·奥哈洛伦、阿兰·马库斯、克里斯·雷策克著的《麦肯锡的数字业务安全策略》可极大地帮助安全从业人员、技术部门主管，为他们提供现实世界的安全防御成果的衡量标准。同时，本书也作为策略指南，向高层管理人员阐述网络安全对其所在组织机构的未来，以及企业的生存能力都是非常重要的。

政府公务员及行业监管者应将此书视为指南，制定周到、行之有效的政策及切合实际的管理规章，为企业提供更多的安全支持。

未来10年，世界经济发展的最大动力来自数字化所创造的数十万亿美元价值。组织机构已经从拥有小规模自动化的系统，发展成为无处不在的网络连接、海量分析、低成本高扩展性的技术平台，技术进步显著增加了不同级别客户的亲密度、业务操作的灵活度及决策者的洞察力。

当“一切都是数字化”时。私营、公共及民间机构就越来越依赖信息系统。当今世界是一个超级关联的世界，在线和移动业务放大了企业的安全脆弱性。企业很容易受到富有经验的网络罪犯、政治激进黑客、甚至内部员工的攻击。只有当客户及企业在面临越来越猛烈的网络攻击。仍对财务记录、患者数据及知识产权的机密性、可用性保持信心，数字化进程才能成功。

由詹姆斯M.卡普兰、图克·拜莱、德里克·奥哈洛伦、阿兰·马库斯、克里斯·雷策克著的《麦肯锡的数字业务安全策略》联合了麦肯锡咨询公司商务技术与金融服务部门的合伙人与多位相关主管共同撰写，为数字化生态系统中的企业、零售客户、供应商、政府部门、民间团体、保险公司提供完备的数字安全策略及指南。

推荐序

前言

导论

第1章　网络攻击危及公司的创新步伐

 网络攻击风险降低了信息技术的价值

 对每个人来说风险都很高，而且风险无处不在

 防御者落后于攻击者

第2章　情况会好转，也可能变糟糕：3万亿美元经济损失

 场景规划及网络安全

 场景1：得过且过的未来

 场景2：数字反弹

 场景3：数字化适应力

第3章　优先考虑风险及目标保护

 漫无目的的安全措施只是在为攻击者服务

 制定信息资产及风险优先级，并让业务领导参与其中

 给最重要的资产提供差别保护

 使用全面控制进行分层

 在实践中为优先级信息资产提供有针对性的保护

第4章　以数字化适应力方式经营生意

 在所有业务过程中构建数字化适应力

 让一线员工参与保护他们所使用的信息资产

第5章　将IT现代化，以确保IT安全性

 将网络安全嵌入IT环境的六个方法

 为实现所需的改变，与IT领导合作

第6章　采取主动防御措施对抗攻击者

 被动防御措施的局限性

 了解敌人，采取相应的措施

第7章　遭遇攻击后：提升所有业务部门的应急响应能力

 制订应急响应计划

 利用模拟作战来测试计划

 对真正的网络攻击进行事后分析以完善计划

第8章　构建起推动企业走向数字化适应力的项目

 要实现数字化适应力需要什么条件

 推出数字化适应力项目的六步骤

第9章　创造有适应力的数字化生态系统

 数字化生态系统

 有适应力的数字化生态系统的影响力

 创建有适应力的数字化生态系统需要什么

 为创造有适应力的生态系统而协作

结语

致谢

作者简介

商务投资时，一般都需要对潜在风险及预期收益作利弊权衡分析。例如，新的债券利率是否足够补偿违约风险？进入新兴市场可能获得的收入，是否会高于投资一旦被新政权没收的风险？海洋深水钻井所获取的石油价值是否会超出一旦发生灾难性事故所造成的损失？要回答这些问题，必先认真评估商业风险度。风险越高，越难促成投资。

技术投资亦是如此。在进行技术投资时，也通常需要权衡风险与收益。然而，对于企业来讲，全球网络连接性的不断提升使得风险和收益都随之提高。虽然，网络连接后会得到更高的商业回报，但是网络连接得越紧密，网络攻击者能利用的安全隐患就越多，攻击者一旦入侵后造成的破坏就越大。因此，制造商投资新产品时，是打赌该产品能防止知识产权窃取行为；零售商投资移动商务时，是打赌网络诈骗不会严重损害盈利能力；银行投资顾客数据分析时，是打赌其所分析的敏感数据不会被网络罪犯窃走。在这些赌博中，占胜算的一方不是制造商、零售商或者银行等公司，而是网络攻击者。大多数公司对网络安全采取较为孤立且被动反应式的方法，在不久的将来，网络攻击者可大显身手。

我们对商业领袖、CIO、CTO及CISO进行采访后发现，对网络安全的担忧已然影响到大型机构对用技术创新来创造价值的兴趣及能力。不论是直接的还是间接的损失，以及防范攻击者所需的高额成本和漫长时间，都降低了技术投资的预期经济效益。简而言之，公司针对网络攻击所采用的防御方式限制了它们利用技术创新获取更多价值的能力。

网络攻击风险降低了信息技术的价值

企业对网络安全的担忧造成三个方面的不利影响：一线生产效率降低、具有高价值的IT项目获得的资金支持较少以及新技术应用较慢。一线生产效率降低

相比几年前，企业设置了更多安全控制来限制员工利用科技。比如，不允许在公司台式电脑上安装应用程序、关闭usB端口阻止访问Dropbox等云服务、禁止高管们将公司笔记本电脑带到某些国家或一回国就重新格式化计算机，甚至在有的公司，层层安全控制让开机过程变得费时、令人不快。

也许，企业网络安全团队有充分理由推行这些措施。例如，未知程序可能是防毒程序无法检测到的恶意软件，USB端口可能成为感染病毒的源头，usB端口及网络服务都可能是非法复制敏感数据的途径。

然而，职员则会认为上述安全控制规定有些苛刻。更糟糕的是，这些会直接影响生产效率及员工士气。譬如，销售人员不能把新产品视频介绍存到usB存储器里拿给潜在客户看，将要出国的高管得先把通信录拷贝到一次性手机上，他们在国外的时候还不能用自己的笔记本登录Skype与在国内的亲属通话。

安全控制措施还会限制一线员工进行实验研究，而很多从信息技术中获取的价值就来源于实验。在20世纪80年代，最初开始使用Lotus1—2—3软件构建报表模型的银行家们并没有得到公司IT的支持。20年后，IT人员也不知道一小群高管开始使用黑莓手机相互联络了。上述创新行为若放在今天显然违反了大多大型公司的信息安全策略。

以上因素导致的结果就是，10个技术高管中有9个都会说网络安全控制措施对终端用户的生产效率产生了影响；在高科技部门，有六成高管表示对生产力的影响是主要让人头痛的问题。一位来自大型银行的高级技术经理称，如果cEO知道因员工要应付安全控制而白白浪费了多长时间的话，他“会把我们都吊死的”。一家高科技公司的CISO表示，他相信安全控制是一些优秀的工程师离开公司的一个原因。

不幸的是，在很多情况下，严格的安全控制并不能解决最初想要解决的问题，而且还会导致员工完全回避公司IT部门的控制，从而大大增加了风险，这颇具讽刺意味。举例来说，在一家证券公司，很多银行家都为单位电脑的开机启动时间长及其他安全控制而感到不快，于是他们不再带着公司笔记本出差，而是买来便宜的不带安全控制的笔记本电脑，使用免费的网页电子邮箱服务来进行相互沟通。

甚至连政府雇员也会寻找变通方法来应对安全控制。2010年一项针对美国联邦官员的调查显示，有近2/3的人表示，安全限制让他们无法从一些网站获取信息或使用与工作相关的应用程序，对此，他们的解决办法是：使用非政府机构的设备来得到他们所需的信息。实际上，有超过一半的人称他们会在家里获取需要的信息，而不是在办公室，以此规避安全控制。

P1-3

我们正处于一个科技创新涌现的时代，沟通、协作以及企业和机构的变革速度十分惊人。然而，在我们的生活、工作日益依赖于科技进步时，也出现了同样惊人的安全风险。如果你经常关注每日的安全漏洞新闻，就会了解科技带来的经济风险、经营风险以及信誉风险。

作者将自己多年的研究成果全部写入本书，详尽解释了当今社会造成很多网络不安全的原因，网络安全为何成为一个极为棘手的问题，问题为什么变得越来越糟糕，以及企业、行业管理部门、政府部门应该采取哪些措施。重要的是，五位作者詹姆斯M.卡普兰(James M.Kaplan)、图克·拜莱(Tucker Bailey)、克里斯·雷策克(Chris Rezek)、德里克·奥哈洛伦(Derek O'Halloran)和阿兰·马库斯(Alan Marcus)不仅仅介绍了现今面临的网络安全风险，还详尽描述了如何缓解风险，并评估了如果不采取缓解措施可能导致的危害。

在调研过程中，我有机会了解他们的研究方法及初步结果。他们在全球诸多企业机构看到的事实，与我看到的或者我从RSA客户处听到的事情基本一致。在2014年RSA大会上，作者们将初步研究成果展示给来自欧洲、亚洲、美洲的各国代表，引起了大家的共鸣，一致同意本书所呈现的事实。让我感到振奋的是，会议中所有国家都认为当前大家共同合作解决网络安全问题非常必要。

从研究成果中可以看出，融合了云计算、移动互联网、社交媒体技术的当代数字化商业发展迅速，大幅增加了组织机构的受攻击面，传统的安全边界(Derimeter)不再是有效的防护。过去各机构与外部世界的屏障已被打破，网络边界呈现新的特点，即碎片化、飘忽不定且与内网关联紧密，致使我们原来依赖的安全控制效果大大降低。这就需要新的安全模型。本书作者推荐了一种基于数字化适应力(digital resilience)概念的多层次方法，目前一些世界领先公司已经开始使用，并很快接受了这个方法。

数字化适应力不仅是一种理论，也是一种策略，是在日益不安全的世界里带来真正安全的策略、过程以及控制的框架。首先，需要透过企业的业务目标、发展重点及关键资产，全面理解风险种类以及处理风险的必要性。其次，要在商界领袖群体中创建一种安全文化，使高级管理人员在商业决策时时刻想到安全，而非事后才想起安全的重要性。再次，要时刻做好应对任何来源的攻击，包括来自内部的威胁。为了及时应对不可避免的入侵，要采取必要的可视化手段、分析工具及动态控制措施。最后，要将所有这些因素有机地结合起来，创建起真正的深度防御体系。

但是，每个组织机构都不是孤立的岛屿，仅靠自己的努力很难成功抵御风险。作者认识到，这需要政府、监管者、供应商、行业共同组成生态系统，通力合作，形成一个保护生态系统的良好对策。  对于很多组织机构来说，网络安全这一话题仍旧是讳莫如深的，恐惧及绝望感弥漫在很多组织机构。如本书作者在阐述持续的网络安全带来的经济影响时说道，因为恐惧及网络风险的不确定性，阻碍了企业采用创新性、有潜在变革性的技术，因此，由于对网络安全缺乏清晰认识所造成的影响要远超过目前我们面临的挑战。正如两次荣获诺贝尔奖的居里夫人所说：“生命中没有可畏惧的东西，它只是尚待理解。我们要更多、更充分地去了解，这样我们就少了畏惧。”

本书作者潜心研究，帮助人们加深这份理解，为读者提供必要的分析，指出了一条非常清晰、有说服力的路径，这条路通往安全的未来。

我相信，本书可以极大地帮助安全从业人员、技术部门主管，不仅让他们用现实世界的安全防御成果来作为衡量标准，而且，本书作为一种工具，向高层管理人员阐述了网络安全对其所在组织机构的未来以及企业的生存能力都是非常重要的。

政府公务员及行业监管者应将此书视为指南，制定周到、行之有效的政策及切合实际的管理规章，为企业提供更多的安全支持。

最后，本书对于高管及董事会成员来说也颇具价值，可帮助他们很好地理解所有组织机构面临的问题。我经常受邀在组织机构的董事会发言，讲述他们的网络安全现状与前景，在这些对话中，我时常总结自己的经验和世界各地客户的体验，现在，很感谢让我也能在这里与读者分享本书。

亚瑟 W.科维洛(Arthur W.Coviello，Jr.)

EMC公司信息安全事业部RSA执行总裁

在本书编写过程中，我们采访了很多领域的专家，并与一位国家商业出版社的记者交流了有关网络攻击对经济的影响和数字化适应力的话题。

我们都认为，当前全球经济很明显已经面临风险，采取相应行动是非常有必要、非常紧迫的。记者说他理解企业没有有效地保护自己，但他也提出了一个需要进一步讨论的问题：很明显，企业不仅仅应将网络安全视为一种控制功能，而且应保护最重要的资产，得到员工的帮助，将安全与信息技术紧密结合，那么为何企业都没有这么做呢？

史蒂芬·比德尔(Stephen’Biddle)在《军事力量：解释现代作战的胜与败》一书中也遇到了这种窘境。他在论证20世纪战争胜利的决定因素时，充分证明了军队利用自身力量的方式，比军队规模大小和技术装备的先进性等因素要重要得多。他特别展示了自第一次世界大战以来的军事部署现代化体系，包括掩护、隐蔽、疏散、压制、小分队独立战斗、联合作战、纵深防御、后备队及差别集结(differential concentration)等紧密关联的一套机制’，保证军队在每场主要武装战斗中取胜。

然而虽然这套现代化体系取得了巨大的成功，但只有较少的军队采用了该体系。原因何在？比德尔解释道，部署现代化体系的能力建设过程非常困难，对军队中很多人构成了组织上的威胁。举例来说，身为独裁者的将军会对授权士兵做独立决策感到不是滋味。

网络安全中的情况也类似。更多资源投入未必能产生相应的保护能力。没有哪一种技术(不管在广告中吹嘘得多么天花乱坠)能单独提供保护。反而是，本书中描述的一系列紧密相关、相互促进的方法可用于实现数字化适应力。

企业只有了解了业务风险及信息资产，才有能力实施差别化保护。将网络安全融人业务流程、让一线用户广泛参与才能让安全性更稳健，这两者在促进业务模型更有适应力上相得益彰。把网络安全融人应用系统及基础设施环境中，增加了安全透明度，对实施主动防御措施特别关键。通过不断测试来完善所有业务部门的应急响应流程，对其他安全手段也是一种补充。综合来说，这些方法、手段，可以让企业在面临网络攻击时更有适应力。而传统安全手段严格限制技术环境、采用多种控制流程，让企业使用创新性、创造性技术变得更难。

为何企业没有积极地采用这些方法去努力实现数字化适应力呢？如同改变军队文化一样，这么做很困难，存在组织机构方面的挑战。实现数字化适应力有以下三个要求：

(1)网络安全团队与业务伙伴共同参与制定风险优先级、做出妥善的权衡，适当的时候，改变业务流程及业务行为，而不是仅依靠实施技术方案来管理风险。  (2)在IT组织中注重适应力，促进安全、效率、灵活性三者的有机结合，使IT经理们从一开始就把技术平台设计得安全和有适应力。

(3)大幅提升网络安全团队的技术和能力，基层管理者能理解业务风险、与业务伙伴良好合作、引领快速变化的技术环境、改变应用系统与基础设施环境、开展主动防御战术。

遗憾的是，很多企业没有这样的雄心壮志来设计网络安全项目。它们认为可以一步一步地来，先实现基础的网络安全保护能力，同时想着以后再实施更全套的安全行动，然而不幸的是，攻击者没有如此耐心。很多企业的高层领导没有投入足够的时间和关注度去促成网络安全团队与业务经理们的合作，他们继续使用过时、不透明的应用程序及基础设施环境，而后者可同时存在不灵活、效率低、自身不安全等问题。

数字化经济的前景价值是明显的，能促成高效的业务流程、极为亲密的客户关系、更多基于事实的决策。

高层业务领导及决策者可继续让网络安全成为一种官僚的控制功能，然后在2020年眼睁睁地看着数字化经济固有价值缩水3万亿美元。或者，他们认识到网络安全是2 1世纪最为关键的一个社会与经济议题，并要求各部门推动向数字化适应力的过渡。特别是，高层业务领导可确保业务部门、IT部门、网络安全部门的经理们相互协作，在各部门都采用数字化适应力方法。技术供应商可以确保构建安全的产品和服务。监管者可设计前瞻性的N-1络安全战略决策，而非执着于过时的方法。

选择只有一个：超越网络安全，实现数字化适应力。