与时俱进的企业正在重新定位网络安全架构——从设备和地点到任务和数据。最终，如果将你的笔记本电脑在企业工作场所接入该网络，可能也只是使你能够访问对公众开放的互联网站。不过，如果想要访问企业数据和应用程序，则需要对你进行身份认证。

安全性将很快成为基础技术架构中的一项基本设计决策。例如，如果将客户的信用卡信息保存在一个单独的数据库中，网络犯罪分子就只有每次都攻破安全防线，才能从事欺诈性交易。将信用卡号码与到期日期分离开来，会大大增加攻击任务的复杂程度。由于一个具有恶意的系统或数据库管理员的危害性可能比即便是最粗心的最终用户都要大得多，因此，一些IT组织已经开始限制能够访问生产系统和数据的人数，不仅是应用程序开发者，而且还包括基础架构的设计者和工程师，都禁止接触“正在运行的机器”。

更新网络安全战略，快速应对不断变化的业务需求和安全威胁

我们曾听许多受访者说，首席执行官和其他高管人员会询问如何“彻底解决”网络安全问题。企业必须认识到，这是一场持续不断的战斗。新的数字资产以及访问这些数据的机制只不过意味着将会出现新的攻击类型。

目前，许多企业都在进行模拟的网络攻击演练，以识别一些未曾发现的漏洞，并培养管理破坏行为的组织能力。一些企业已经形成了收集和分析大量运行数据（如电子邮件标题和IP流量）的先进能力，以及时发现新出现的安全威胁。此外，企业必须将网络安全——如在进入新的地区之前必须实施的信息安全措施——作为实施重大举措或推出新产品的业务策略的一个关键部分。

为确保圆满解决网络安全问题，高管人员应当怎样做？

在一流的企业组织中，网络安全应该是首席执行官和董事会议程中一个恒久不变的主题。为了领先于各种威胁，高管们必须持续不断地进行对话，以确保其安全策略能与时俱进，并在业务机会与风险之间进行适当的折衷权衡。 我们认为，这种对话应该首先从提出以下这些重要问题开始：

谁负责制定和维护我们的跨职能网络安全方法？企业领导人（而不是主管IT或风险控制的高管）在多大程度上对此问题负责？

哪些信息资产对企业最重要，如果发生了网络攻击事件，哪些价值“面临危险”？我们对自己的客户和合作伙伴做出了哪些保护他们信息安全的承诺——无论是隐含的承诺，还是明确的承诺？

在我们的客户价值主张中，网络安全和信任发挥着什么样的作用——我们如何采取措施来确保数据安全，并支持端到端的客户体验？

我们如何使用技术、业务流程以及其他方式，来保护自己的关键信息资产？与我们同行的做法和最佳做法相比，我们的做法效果如何？

我们的做法在不断与时俱进，并且我们一直在相应改变自己的业务流程吗？

我们在有效管理自己与供应商和合作伙伴的关系，以确保对信息的相互保护吗？

作为一个行业，我们正在与恰当的政府机构有效合作，以减少对网络安全的威胁吗？

随着更多的价值在网上转移，以及企业采用更具创新性的方式与客户和其他合作伙伴互动，对网络安全的挑战只会与日俱增。

由于网络攻击的危害性、技术性以及IT环境的复杂性都在迅速增加，应对这种挑战需要跨越战略、运营、风险管理、法律和技术等职能的解决方案。为了在不会限制业务创新和增长的前提下保护关键的信息资产，企业需要在高层领导人的指挥下，采取这种范围广泛的管理措施。

(责任编辑：)