美国国家安全法律博客 Lawfareblog 近日发表《企业管理与网络安全-高管的数字弹性》(Business Management and Cybersecurity - Digital Resiliency for Executives)书评。这本书的作者为日本网络安全专家 Shinichi Yokohama。
《企业管理与网络安全-高管的数字弹性》共六个章节:
第一章解释了网络安全的构成要素以及网络安全事件可能会给企业运营带来的影响;
第二章网络安全是企业管理挑战的原因分析;
第三章将日本、美国和欧洲国家的网络安全态势和政策进行比较,并向日本企业的高管提供解决网络安全问题的建议;
第四章鼓励日本企业寻求行业合作,例如信息共享和分析中心(ISACs);
第五章描述了美国、东南亚和欧洲政府的政府在网络安全政策和公共宣传方面的合作方式;
第六章讨论了私营行业如何在教育、培训和网络威胁情报共享方面为公私合作做出贡献。
日本与美国等在网络安全方面的差异
日本与美国等在网络安全方面的差异
在日本,大型企业在解决国家技术政策方面的传统做法(比如网络安全要求)将不可避免地影响到广泛的行业,因此过去采取的做法是等待政府监管机构下达指示。
相较而言,美国的做法与之存在巨大差异,美国大型企业本着参与制定政策与监管对策的目的,长期以来一直通过公司的政策团队或行业协会,主动公开地与政府机构进行接触。美国的行业和特定企业给美国的公共政策对话带来了自己的议程和目标、重要的技术、操作知识和政策抉择。
如今,鲜有日本公司在企业内部设立公共宣传团队。虽然企业部门以非正式方式进行沟通讨论,但制定影响日本政府、日本大众和社会、日本公司的全球消费者、客户和业务合作伙伴的权力仍主要掌握在政府监管机构的手中,然而,这些监管机构往往缺乏私营部门具备的技术和操作知识。
Shinichi Yokohama 在《企业管理与网络安全—高管的数字弹性》一书中指出,日本行业的被动态度给日本社会和经济带来的负面影响在网络安全领域显露无疑。网络安全具有互联性,同时也伴随诸多漏洞。此书揭示了日本行业的被动性,并鼓励企业高层与政府共享技术和操作见解,以积极正面的态度为网络安全政策制定做出贡献。
日本90%的信息通信技术资产归行业所有
由于日本90%的信息通信技术(ICT)资产归行业所有(其余主要是个人或家用设备),Yokohama 认为行业应当积极主动确保网络空间安全。
Yokohama 指出,日本的私营部门和政府机构应当与其他国家合作,制定全球性的总体政策和标准,以解决跨国界的网络安全问题。他认为,本书有助于帮助企业领导了解需要为网络安全、行业合作和公私合作所做的工作。
这本书提到日本以外的网络安全发展(例如美国ISACs和美国国家标准与技术研究院框架),以此对比日本和其他国家之间的差异,并敦促读者思考对日本可行的网络安全方法及其实施方式。
《企业管理与网络安全-高管的数字弹性》一书在第四章中比较了美国和日本的 ISACs。日本目前拥有五个 ISACs(金融、ICT、汽车、电子和贸易),但他们的信息目前尚未完全翻译成英文。为了支持2020东京奥运会和残奥会,日本正在扩大并深化国际网络安全合作。
日本大多数网络安全书籍重点关注网络攻击和防御的技术层面。此书分析了日本和其他国家在网络安全问题方面的异同,全面解释并比较了日本和其他国家在网络安全政策、开展公私合作、行业协作和网络威胁情报分享方面开展工作的具体案例。
值得注意的是,日本大多数网络安全政策相关文档用日语编写,并未翻译成英文(日本的国家网络安全战略是个例外),语言障碍使得其他国家的网络安全政策分析师和专业人士难以理解日本的利益、担忧、挑战和政策方法。
日本沿用美国NIST框架
由于日本政府机构和企业均将美国的 NIST 框架视为网络安全指南和实践,日本正在努力赶上其他技术发达国家的步伐,并在网络安全态势方面与其他领先国家保持一致。《企业管理与网络安全》旨在允许全球的网络安全政策制定者和分析人士了解日本在参与国家网络安全政策制定和态势方面希望传达的信息。
《企业管理与网络安全-高管的数字弹性》内容
日本关注“企业技能”
虽然美国和欧洲的企业更多地关注员工的技能,通过技能互补的方式打造成功的企业团队,但日本企业更看重通才,因此更关注整个企业的技能。日本企业每隔几年就会大规模换血,尽管这样具有一定的优势,但也存在负面影响,比如不利于网络安全的职业发展。此书在第四章中提到跨行业网络安全人力资源发展论坛(Cross-Sector Forum on Cybersecurity Human Resources Development)案例的研究价值。此书提到的跨行业论坛包括日本蓝筹公司的合作,其旨在建立积极的社会“生态系统”,从而与政府机构和学术界合作教育、招募、培训并保留网络安全专业人才。
《企业管理与网络安全-高管的数字弹性》一书有详细的比较案例,作者在其中描述了日本和其他国家的企业对首席信息安全官(CISO)的期望不同。
只有63%的日本企业设立了这一职位,而美国和欧洲的比例分别高达95%和85%。
CISO在35%的日本企业中充当“双帽”角色,而美国和欧洲的占比仅为17%和18%。
由于日本配备的长期网络安全专业人士不及美国多,再加上日本的企业文化通常不允许从外部招聘高管,作者怀疑美国或欧洲招聘和指定 CISO 的做法在日本的可行性。这本书指出,考虑到日本的企业文化和日本企业的管理模式,建设网络安全团队将会更加有效。
许多日本政府机构和企业逐渐认识到将网络安全纳入国家政策的重要性(2020年奥运会是助推力)。日本在全球经济中所扮演的角色意味着,日本以外的政府、企业、政策和学术专家需要了解本国经济和网络安全的当前政策立场和政策进程。《企业管理与网络安全》分析了日本在网络安全方面有了不断变化的认识,以及日本在全球网络安全中的角色。
关于作者Shinichi Yokoham
关于作者Shinichi Yokoham
此书的作者 Shinichi Yokohama 是日本知名的网络安全专家,他曾是日本跨国公司 NTT 网络安全整合办公室的负责人,且于2018年6月底成为该办公室的 CISO。他曾供职于日本贸易部、全球咨询公司麦肯锡公司,这些经历能够使其充当政府和行业之间的桥梁,同时亦可充当日本和其他国家之间的桥梁。
类似于 Yokohama 的科技行业的从业者每隔几年换一家新公司这种现象在美国很常见,不仅科技人员会获得升职机会和更好的薪资待遇升,企业也会吸纳前政府官员。然而,在日本像 Yokohama 这种职业道路却并不典型,日本的职业比美国相对稳定,这使得日本企业和政府机构更难以吸收新鲜血液和新想法。
2017年席卷全球的 WannaCry 勒索攻击证明,网络攻击波及的范围不仅限于某个组织机构、某个行业或某个国家。网络安全涵盖了从技术到企业管理、法律和国家安全的方方面面。网络互联的事实意味着所有技术上重要的参与者都需要彼此。因此,当前重要的是认识自身在企业实践和文化方面的差距和共性,从而促进政策和监管对话。
Shinichi Yokohama 在其《企业管理与网络安全-高管的数字弹性》一书中,表明了希望与全球读者接触的热情。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。