“中小企业”作为一个颇具成长活力的商业角色,在中国的经济发展中举足轻重。
人们常说:“不积硅步,无以至千里。不积小流,无以成江海”。
正是千万家中小企业在我国经济发展长河中的奋发进取,创新努力,才铸就了其特有的“56789”的传奇地位,即:占国内生产总值(GDP)的50%,财政收入的60%,技术创新的70%,就业的80%,在所有企业的数量中占90%。
如今,身处数字化转型浪潮的中小企业,伴随数字化技术催生的新经济形态,在转型的赛道之上始终保持着快马加鞭,力争上游的发展之势!与此同时,科技力量在推动中小企业实现创新突破中,也引发了关于数字化时代机遇与挑战的思考。
所谓机遇,即是“云大物移”赋予了中小企业一双科技慧眼,让其能够通过新一代数字化技术洞察行业需求,付诸最正确的商业行动。
挑战在于,中小企业如何能够从容应对来自数字化世界的安全威胁,并同时保持稳健的企业运营质量及效率。
数字化成长加速,威胁相伴而至
思科大中华区副总裁、安全事业部总经理卜宪录建言:中小企业面对安全挑战,需要围绕技术、人员、合作等方面加大投入,方能决胜千里,一路远行。
这一观点从字面上虽然具有普遍性与常态感,但其背后所展现的却是关乎中小企业健康发展的核心议题——如何以数字化技术为核心,掌握安全方法论,实现打造适配自身的安全屏障。
卜宪录对于中小企业安全趋势的判断来自一份思科近日推出的《中小企业网络安全:亚太区企业为数字化防御做准备》调查报告。
该报告开展于2021年4月至7月期间,其全面分析了面向亚太区14个市场、3,700多家中小企业中负责网络安全的业务和IT主管的调查结果。其在为亚太地区,特别是中国中小企业数字化转型安全之旅注入“安全坐标”时,同步展现了极具参考价值的数字化取胜之道。
报告开篇既有惊喜也有担忧。
惊喜之处体现在,数字化转型正在形成清晰的阶段化、组织化的推进节奏:在亚太区和中国区,超过90%的中小企业制定了数字化转型的计划,它们无论是从计划进度与质量上符合了自身的预期。
最受关注的中国区表现尤为凸显,这主要得益于中国在复工复产,战疫抗疫工作中的出色表现。数据显示:截至目前,已超过60%的企业已经完成了自身计划的一半进程。
“应该说疫情对中小企业的冲击最大,而中小企业转型响应速度则体现了小快灵的特点”。卜宪录强调。
“小快灵”对于中小企业而言,意味着轻装上阵、注重效率以及灵活超车等特质。
重点是,当“小快灵”的特质走向集约化(集合要素优势、节约生产成本,提高单位效益的方式)时,势必会迎来数字化安全的挑战,因为业务扩展为前提的数字化管理挑战与风险正在同步增加。
据悉,中小企业数字化转型进入后疫情阶段,其受到的攻击和威胁所呈现出的上升趋势引发关注:亚太地区中小企业接近60%,中国区仅超过42%的中小企业发现自身业务受到不同程度的攻击。
“为什么强调‘发现’一词?因为中小企业对于网络攻击并不是‘后知后觉’,而是‘已攻未觉’,所以实际被攻击的比例可能超过上述两组数字。另外,超过80%的中小企业对于未发生的安全威胁掉以轻心,这与我们的担心极为吻合”。卜宪录如是说。
而对于多数中小企业主关心的威胁来源问题,报告同样给出了明确的答案:中小企业排在前三位的侵害角色分别为恶意软件、网络钓鱼、服务阻断。值得对比的是,在今年年初思科发布的《2021年安全成果研究》报告里,大中型企业所受到的攻击源头却与前者截然不同:数据泄露、勒索软件和服务阻断。
“这些安全威胁的不同是企业属性所致。以恶意软件和网络钓鱼为例,两者的安全威胁正是看到了中小企业防御门槛低,安全投入成本不高等特点,有组织,有计划,有目标的实行攻击行动。” 卜宪录给出的总结,从某种程度上将中小企业的安全威胁定位于“术业有专攻,目标有聚焦”。
由此不难理解,中小企业的安全症结,很多时候存在于员工的意识相对薄弱、预算不足和防范薄弱等原因,侵害自然频率高,损失大。更重要的是,中小企业由于技术能力不足,所以在威胁反应效率上令人堪忧。例如,中小企业检测攻击上力不胜任:一个小时之内,能检测到被攻击的中小企业只有10%多一点;再例如,由于修复能力不佳,在一个小时之内能够迅速修复的中小企业比例不足10%。
卜宪录表示,“遭受到这些攻击以后,中小企业会损失客户数据、员工数据和财务信息等,从而造成直接和间接的影响,核算实际成本数额巨大”。
维端网认为,这一现象既普遍,更值得深思:因为,中小企业的关注点在于生存和快速建立客户资源与市场认可,而由于自身规模的限制,机动灵活的优点也会成为弱点。即其认为自身不需要建立复杂的数字化体系与屏障,仅依靠查杀,封堵等传统安全措施方可在短期内见安全成效,但隐患极为恶劣。因此,思科认为,意识转变与行动效果不能是日程,而是落地。
安全意识稳中有升,防御行动仍需努力
从中小企业所面对的上述安全威胁形势可见,中小企业的当务之急依旧需要通过有效的,大量的安全投入实现对威胁的先知先觉。
正如报告中指出:中小企业自疫情发生以来,大约四分之三的亚太区中小企业增加了对网络安全的投资。其中,大约40%的亚太区和30%的中国区中小企业增加了5%以上的投资。
这些投资分布在网络安全解决方案、合规或监管、人才、培训和保险等领域。这表明中小企业深刻意识到需要采用多方面的综合措施进行有效的网络安全建设。
维端网注意到,报告数据中仍然显示多数中小企业在信息安全上的投资低于5%,其与国际上5%-10%的推荐比例相比仍然偏低。
好在,中小企业也在借鉴和学习大型企业的最佳实践,积极进行基于场景的规划和攻防演练,通过新技术与新方案来支撑网络安全建设的升级。
另一方面,我国的《数据安全法》、《个人信息保护法》等法律相继出台,在相当程度上为网络安全提供了政策保障。
在卜宪录看来,中小企业对网络安全的投入既有自身的意识与行动力的提升,更有外在环境的影响。而投入多少仍然需要从PPT层面通盘评估,(即:人People、流程Process和技术Technology)。一方面,三者缺失任何一环都不足以称得上全面考量,立体投入;另一方面,在最关键的技术层面,新安全形势导致的安全架构新变化尤为值得关注。
“由于中小企业SaaS应用程序使用量的快速增长以及远程工作使用案例的增加,网络边界正在向云转移,这些都在迫使着人们重新思考安全架构。新的安全架构要覆盖网络、用户和端点、云边缘和应用程序的所有关键控制点。跨用户、设备、网络、应用程序和数据提供‘零信任’和‘端到端’的安全解决方案成为首选。” 卜宪录如是说。
安全防御章法有序,业务方能稳如泰山
对于加强网络安全管理行之有效的方法,思科给出了5点重要建议:
认知上,与企业决策层保持紧密沟通;准备上,通过实际模拟演练做好应对威胁;应用上,采取简化整合型网络安全方案;培训上,强化相关人员的赋能力度;生态上,与适配的技术伙伴深化合作。
其中,除了企业要从自身加强认知以及准备环节,思科在应用、培训以及合作上为中小企业网络安全建设提供了颇具分量的行动实践。
针对培训,企业需要做到定期,定向投入到安全人员的能力培训中,不断迭代安全手段,提升安全能力。为此,思科在扎根中国近30年时间里,通过思科网院培训了近100万的IT和信息安全的人才。伴随着CCIE Security等耳熟能详的认证殊荣在千行百业中与日俱增,以思科安全能力为坐标的人才成长蔚然成荫,为行业,为企业贡献了信息安全知识,带来了技能。
关于应用,思科第一个基本立足点即是创新:一是自研,二是并购。每年,思科通过并购或者孵化领先的网络安全公司进行整合,加上其自研的技术,始终让思科的安全实力名列世界前列。
“在全球大型的科技平台型公司里,思科是唯一一个对信息安全进行垂直且巨额投资的企业”。卜宪录强调。
聚焦安全方案,其产品线涵盖了监测、调查以及修复环节;安全防护机制贯穿从终端、云、网络及应用全架构平台;世界一流的威胁情报中心-Talos的高效协作做到提前预警。
针对中小企业市场特点,思科还推出了“ Cisco Designed 中小企业商务优选 ”解决方案,以此帮助中小企业加快数字化转型。其不仅立足思科全球的丰富实践,同时更融合了中国本土的创新,整合了适用于中小企业的明星产品组合,用以化繁为简的 IT 技术提升简捷性、灵活性、安全性和协同性。
对生态合作,思科的判断与实践准确而有力:零风险,高效率的业务运转是所有企业发挥自身业务优势的基础。鉴于中小企业自身投入和专业人才不足,思科认为合作伙伴的能力和资源是服务好客户的重要力量。
这一认知也决定了思科对于合作伙伴的资质、能力以及商业模式的标准都达到了业界顶级水平,目的只有一个——让安全产品线成为稳健支撑客户所有业务顺畅运转的支柱。当下,思科上千家合作伙伴正活跃于中国的中小企业市场,通过极简而科学的安全方法帮助客户化解安全风险,为业务保驾护航。
维端网从中可见,《中小企业网络安全:亚太区企业为数字化防御做准备》调查报告,无论是科学的调研数据,或是具有实战价值的建议,都能从不同维度解读并帮助中小企业认识到网络安全的重要性。
思科所展现的安全新思维,正是中小企业对未来网络安全建设的所想,所需,所行。