內容簡介
未來10年,世界經濟發展的最大動力來自數字化所創造的數十萬億美元價值。組織機構已經從擁有小規模自動化的係統,發展成為無處不在的網絡連接、海量分析、低成本高擴展性的技術平颱,技術進步顯著增加瞭不同級彆客戶的親密度、業務操作的靈活度及決策者的洞察力。
當“一切都是數字化”時,私營、公共及民間機構就越來越依賴信息係統。當今世界是一個超級關聯的世界,在綫和移動業務放大瞭企業的安全脆弱性,企業很容易受到富有經驗的網絡罪犯、政治激進黑客、甚至內部員工的攻擊。隻有當客戶及企業在麵臨越來越猛烈的網絡攻擊,仍對財務記錄、患者數據及知識産權的機密性、可用性保持信心,數字化進程纔能成功。
《麥肯锡的數字業務安全策略》聯閤瞭麥肯锡谘詢公司商務技術與金融服務部門的閤夥人與多位相關主管共同撰寫,為數字化生態係統中的企業、零售客戶、供應商、政府部門、民間團體、保險公司提供完備的數字安全策略及指南。
作者簡介
詹姆斯 M.卡普蘭(James M.Kaplan),詹姆斯是麥肯锡谘詢公司商務技術與金融服務部門的閤夥人,主管麥肯锡全球IT基礎設施與網絡安全事務,為銀行、醫療保健公司、技術企業、保險公司及製造商提供服務,幫助它們從商務技術中獲得大的價值。詹姆斯曾為《麥肯锡季刊》、麥肯锡商務技術、金融時報互聯業務、《華爾街日報》《哈佛商業評論》等媒體撰稿。他擁有布朗大學曆史學士學位、賓夕法尼亞大學沃頓商學院MBA學位。
圖剋·拜萊(Tucker Bailey),圖剋是麥肯锡商務技術辦公室的閤夥人,該辦公室地點位於華盛頓特區,他主要負責國防、安全及IT議題。他曾為諸多《財富》500強公司及公共部門客戶提供一係列IT服務,負責麥肯锡在北美的網絡安全工作。在麥肯锡工作之前,圖剋在美國海軍任信息統領作戰官及海軍犯罪調查局的特工。他擁有杜剋大學土木工程與政治科學專業的理學士學位及哈佛商學院的MBA學位。
德裏剋·奧哈洛倫(Derek O'Halloran),德裏剋是世界經濟論壇信息技術産業的負責人,負責由企業CEO構成的領先IT企業團體,為很多企業製訂技術規劃。他負責管理未來軟件與社會及未來電子産品全球議程委員會,該委員會召開整個行業生態係統中的領導人及思想領袖會議。德裏剋擁有哥倫比亞大學國際和公共事務學院的國際金融與經濟政策專業公共行政學碩士及愛丁堡大學哲學專業榮譽文學碩士,也是世界經濟論壇全球領導人纔培訓計劃的畢業生。
阿蘭·馬庫斯(Alan Marcus),阿蘭是世界經濟論壇資訊科技及通信産業的高級主管及負責人,他曾在亞太、北美、歐洲及中東地區擔任過工程師與市場營銷、市場開發方麵的高級管理職位。他擁有新澤西州羅格斯大學的計算機科學與工程專業理學士學位及加州大學伯剋利分校的通信工程專業碩士學位。
剋裏斯·雷策剋(Chris Rezek),剋裏斯是波士頓麥肯锡公司的高級專傢顧問,是該公司風險管理與商務技術團隊一員,是網絡安全事務的核心領導者,為銀行、製造商等企業管理信息風險,為投資者及技術企業提供網絡安全産品市場戰略谘詢服務。剋裏斯幫助雲安全聯盟、國際金融研究所製定瞭有關雲風險管理及風險技術與操作的實踐。他擁有麻省理工學院的理學士學位及耶魯大學的MBA學位,他與傢人一起住在波士頓。
內頁插圖
目錄
推薦序
前 言
導 論
第1章 網絡攻擊危及公司的創新步伐 / 1
網絡攻擊風險降低瞭信息技術的價值 / 2
對每個人來說風險都很高,而且風險無處不在 / 9
防禦者落後於攻擊者 / 18
第2章 情況會好轉,也可能變糟糕:3萬億美元經濟損失 / 31
場景規劃及網絡安全 / 33
場景1:得過且過的未來 / 37
場景2:數字反彈 / 41
場景3:數字化適應力 / 47
第3章 優先考慮風險及目標保護 / 55
漫無目的的安全措施隻是在為攻擊者服務 / 56
製定信息資産及風險優先級,並讓業務領導參與其中 / 59
給最重要的資産提供差彆保護 / 69
使用全麵控製進行分層 / 71
在實踐中為優先級信息資産提供有針對性的保護 / 74
第4章 以數字化適應力方式經營生意 / 81
在所有業務過程中構建數字化適應力 / 82
讓一綫員工參與保護他們所使用的信息資産 / 93
第5章 將IT現代化,以確保IT安全性 / 103
將網絡安全嵌入IT環境的六個方法 / 104
為實現所需的改變,與IT領導閤作 / 121
第6章 采取主動防禦措施對抗攻擊者 / 125
被動防禦措施的局限性 / 126
瞭解敵人,采取相應的措施 / 128
第7章 遭遇攻擊後:提升所有業務部門的應急響應能力 / 143
製訂應急響應計劃 / 145
利用模擬作戰來測試計劃 / 151
對真正的網絡攻擊進行事後分析以完善計劃 / 156
第8章 構建起推動企業走嚮數字化適應力的項目 / 159
要實現數字化適應力需要什麼條件 / 160
推齣數字化適應力項目的六步驟 / 166
第9章 創造有適應力的數字化生態係統 / 185
數字化生態係統 / 186
有適應力的數字化生態係統的影響力 / 187
創建有適應力的數字化生態係統需要什麼 / 191
為創造有適應力的生態係統而協作 / 195
結語 / 209
緻謝 / 212
作者簡介 / 213
前言/序言
前 言 未來10年,世界經濟的發展進步依賴於數字化創造的數十萬億美元的價值。組織機構已經從擁有小規模自動化的係統,發展成為充分利用無處不在的網絡連接、海量分析、低成本、高擴展性的技術平颱。技術進步顯著增加瞭不同級彆客戶的親密度、業務操作的靈活度及決策者的洞察力。在銀行業,這意味著幾分鍾內即可成功開戶、批準按揭,而非幾天甚至數周。在保險業,這意味著在大量分析數據的支持下,有更好的保險核保及更公平的價格。在航空及酒店領域,這意味著更高的透明度,為旅客減少一些麻煩。 當“一切都是數字化”時,私營、公共及民間機構就越來越依賴信息係統。當今世界是一個超級關聯的世界,在綫和移動業務增加瞭企業的安全脆弱性,企業更容易受到富有經驗的網絡罪犯、政治激進黑客甚至內部員工的攻擊。隻有當客戶及企業在麵臨越來越強大的網絡攻擊時,仍對財務記錄、患者數據及知識産權的機密性和可用性的安全保持信心,數字化進程纔能成功。 要保持經濟的持續發展,必須保護組織結構免受網絡攻擊的影響。在2014年達沃斯世界經濟論壇年會上,論壇組織者與麥肯锡機構聯閤提齣,要提升網絡安全在高管中的關注度。我們一緻認為,有兩方麵的關注度至關重要:一是要充分認識到企業遭受網絡攻擊後的戰略影響和經濟影響,另一種是要製定企業獲得數字化適應力的規劃,即規劃整個網絡安全生態係統中所有參與者應該怎麼做,特彆注重如何將網絡安全作為一個商業問題而非技術問題來解決。 經過采訪、調查以及參加由數百個組織機構高管參加的工作會議,我們發現瞭以下幾個問題: 第一,如果組織機構在保護自己的方式以及外部支持方麵沒有巨大變化,網絡攻擊風險將降低人們對數字經濟的信任和信心,到2020年,數字經濟所能創造的價值將降低3萬億美元。為應對此問題,全球的組織機構需要提升數字化適應力,隻有這樣,纔能從超級關聯的世界中獲取價值,即使是冒著業務中斷、知識産權(IP)流失、聲譽損失、網絡欺詐等風險。 第二,雖然各公司都一緻認識到提升數字化適應力要采取的措施,但並沒有盡快落實到位。要提升數字化適應力,公司應將網絡安全深度整閤到現有業務流程及信息技術(IT)環境中。然而目前大多數公司仍將網絡安全視為一種控製功能(control function),這不僅導緻保護信息資産的安全需求與數字化進程之間産生衝突,而且還與從技術投資中獲取價值的需求發生衝突。即使是最大型、資金最充裕的機構,其網絡安全項目也設計得相對落後,它們僅從技術控製入手,而不是控製商業風險,因而沒能推動更廣泛的組織機構層麵和業務流程産生必要的變化。 第三,公司若要提升數字化適應力,需要增強網絡安全團隊與業務團隊之間的協作,讓企業IT部門更加注重適應性,大幅提升網絡安全功能的技能與水平,唯有首席執行官及高級管理層纔能推動如此大規模的變革。 除瞭公司自身,其他組織結構都不可能解救公司於網絡攻擊,但是監管者、執法機關、國防及安全部門、技術供應商及行業協會等機構能夠在一個數字生態係統中起到重要作用,可顯著提升公司的數字化適應力。目前人們對公司如何保護自身安全有很多一緻性看法和對策,但對於如何建設更廣泛的數字生態係統,一緻性意見較少。此時公共、私營、非營利機構等之間的相互協作將變得至關重要。 建立數字化適應力的前提在考慮數字化適應力之前,首先要理解網絡攻擊與網絡安全,以及它們與數字生態係統的關係。 網絡攻擊:麵臨的多種業務風險在數字化特徵越來越明顯的經濟社會中,世界上大部分組織機構都依賴著“信息資産”,這些信息資産,有些是結構化數據,有些是非結構化數據,例如客戶數據、知識産權、商業計劃,以及從客戶服務到供應商付款的在綫流程。針對這些信息資産的網絡攻擊,有些是齣於攻擊者個人炫耀的目的,有些是為瞭經濟利益,而有些則是齣於國傢政治利益。一般普通老百姓主要關注知識産權侵犯、信用卡數據竊取等信息,但對企業來說,需要考慮更多的潛在風險(見錶0-1)。 錶0-1 企業麵臨的網絡安全風險風 險 類 型攻擊發起者攻 擊 目 的競爭力下降外國競爭對手 為獲得經濟利益而竊取機密的商業計劃外國情報機構 齣於國傢競爭優勢考慮,竊取彆國知識産權跳槽到新公司的員工 帶走客戶信息去為競爭對手工作違反監管與法律網絡犯罪組織 竊取客戶數據,供日後進行身份盜用或醫療欺詐企業名譽損失員工 對公司政策不滿而公開敏感文件黑客活動分子 對公司政策不滿而泄露和公開管理層討論的機密政策詐騙與盜竊網絡犯罪組織 破壞在綫金融交易以進行欺詐網絡犯罪組織 損壞重要信息資産,除非收到贖金業務中斷恐怖組織 改變重要業務流程數據,傷害自己不滿意的國傢或組織內部人士 因為懷疑自己會被炒魷魚而破壞企業數據黑客活動分子 為引起注意而擾亂業務流程(如在綫客戶服務)網絡安全:公司如何保護自己雖然企業麵臨著經營目標、資源限製、閤規性要求等壓力,但網絡安全1仍然是組織機構避免受到網絡攻擊而應采取的一項業務功能。
麥肯锡的數字業務安全策略 下載 mobi epub pdf txt 電子書
評分
☆☆☆☆☆
好書,讀瞭以後發人深思,學到很多
評分
☆☆☆☆☆
幫朋友買的,英文版,感覺很高深?!
評分
☆☆☆☆☆
很薄的一本書,價格偏貴。關注已久,終於到手。閑來翻看,希望有用。
評分
☆☆☆☆☆
2. MECE:相互獨立,完全窮盡,三個一級標題最佳
評分
☆☆☆☆☆
正版書籍,買來好好學習。爭取早點看完。
評分
☆☆☆☆☆
嚮麥肯锡學習管理。
評分
☆☆☆☆☆
書紙質不錯,對工作能力的提高很有幫助,簡潔易懂,值得購買學習,好評。
評分
☆☆☆☆☆
過年在傢,看點書 開闊一下眼界,在京東買書質量放心!
評分
☆☆☆☆☆
嗬,貨真不錯,老婆很喜歡!