安全在數(shù)字化轉(zhuǎn)型中的作用

李匯

當(dāng)前，新流程和產(chǎn)品開發(fā)正以驚人的速度向前推進(jìn)，數(shù)字化轉(zhuǎn)型已經(jīng)進(jìn)入高速發(fā)展的階段。隨著IT和業(yè)務(wù)快速發(fā)展DevOps等計(jì)劃，以提高上市速度，安全方面的考慮通常被拋在腦后。調(diào)研機(jī)構(gòu)Gartner公司在當(dāng)時(shí)預(yù)測(cè)，到2020年，由于安全團(tuán)隊(duì)無法管理數(shù)字風(fēng)險(xiǎn)，60 %的數(shù)字業(yè)務(wù)將遭遇重大服務(wù)故障。

盡管很難確切指出數(shù)字項(xiàng)目是主要原因，但隨之而來的安全性意外降低。調(diào)研機(jī)構(gòu)IDC公司安全研究副總裁Pete Lindstrom表示：“無論廣為人知的數(shù)據(jù)泄露違規(guī)行為是否與數(shù)字化轉(zhuǎn)型直接相關(guān)，他們都使企業(yè)領(lǐng)導(dǎo)者再次考慮將風(fēng)險(xiǎn)降至最低的解決方案?！?/p>

根據(jù)Marsh&McLennan公司對(duì)1 500位企業(yè)高管的調(diào)查，約有79 %的企業(yè)高管將網(wǎng)絡(luò)攻擊和威脅視為其組織2020年最高的風(fēng)險(xiǎn)管理優(yōu)先事項(xiàng)之一。總體而言，安全性在數(shù)字化轉(zhuǎn)型中的作用在設(shè)計(jì)過程的早期階段已經(jīng)提高了意識(shí)，并提高了參與度，但是首席信息安全官（CISO）仍在努力提高其生態(tài)系統(tǒng)中各個(gè)項(xiàng)目的可視性。

安全挑戰(zhàn)需要跟上步伐

根據(jù)Altimeter公司最近進(jìn)行的一次調(diào)查，IT決策者不僅將網(wǎng)絡(luò)安全作為數(shù)字化轉(zhuǎn)型的首要考慮因素，而且還是其第二大投資重點(diǎn)（35 %），僅低于云計(jì)算（37 %）。如果變革性技術(shù)無法保護(hù)企業(yè)、客戶或其他重要資產(chǎn)，那么它們的投資就毫無意義，而且開發(fā)的復(fù)雜性和速度仍是安全運(yùn)營(yíng)部門面臨的最大挑戰(zhàn)。

麻省理工學(xué)院制造與生產(chǎn)力實(shí)驗(yàn)室執(zhí)行董事兼研究科學(xué)家Abel Sanchez博士說，“這場(chǎng)戰(zhàn)斗比我們的決策周期進(jìn)展更快，如果行動(dòng)遲緩，可能從領(lǐng)導(dǎo)的角度來看無關(guān)緊要，但安全性和開發(fā)都需要敏捷性、靈活性和快速?zèng)Q策能力?！?/p>

對(duì)于全球能源解決方案廠商施耐德電氣公司來說，網(wǎng)絡(luò)安全是其轉(zhuǎn)型戰(zhàn)略的中心。該公司全球首席信息安全官Christophe Blassiau努力提高組織的知名度，這是因?yàn)槭召?gòu)的復(fù)雜組合以及企業(yè)的許多不同活動(dòng)———從研發(fā)到供應(yīng)鏈再到服務(wù)。IT和運(yùn)營(yíng)技術(shù)（OT）的集成還帶來了新的連接、數(shù)據(jù)源和需要保護(hù)的潛在漏洞，他的團(tuán)隊(duì)必須將企業(yè)安全與合作伙伴和供應(yīng)商生態(tài)系統(tǒng)之間的點(diǎn)連接起來。

Blassiau說：“我們?yōu)榱双@得更多合適的所有權(quán)或資質(zhì)，所以從設(shè)計(jì)和組織開始，安全是每個(gè)人的責(zé)任?！?/p>

安全團(tuán)隊(duì)也必須轉(zhuǎn)型

企業(yè)安全團(tuán)隊(duì)面臨的挑戰(zhàn)仍然是如何以數(shù)字化轉(zhuǎn)型的速度增加安全性，并確保安全性跨越每個(gè)新的內(nèi)部數(shù)字流程和開發(fā)外部產(chǎn)品或創(chuàng)造互聯(lián)的機(jī)會(huì)。Sanchez表示，大多數(shù)解決方案都取決于IT和安全部門。他警告說，“安全團(tuán)隊(duì)也必須進(jìn)行轉(zhuǎn)型。這并不容易，許多員工必須愿意學(xué)習(xí)新技能，才能更好地進(jìn)行互動(dòng)。”

Sanchez表示，其中一些可以通過重組來實(shí)現(xiàn)。例如，許多實(shí)踐中的測(cè)試人員正在消失，現(xiàn)在由軟件工程師進(jìn)行測(cè)試。他補(bǔ)充說，“誰比創(chuàng)造產(chǎn)品的人更了解如何保護(hù)該產(chǎn)品？其他發(fā)展領(lǐng)域也可以做到這一點(diǎn)。”

Sanchez說，“企業(yè)可能還需要其他才能的員工，或者需要培訓(xùn)現(xiàn)有員工。企業(yè)也可能會(huì)失去一些員工，但需要適應(yīng)。企業(yè)需要更多的人才進(jìn)行創(chuàng)新，并將其引入市場(chǎng)。這是因?yàn)槭澜绲陌l(fā)展太快了。”

NTT公司美洲安全首席執(zhí)行官M(fèi)att Handler表示，好消息是，其安全團(tuán)隊(duì)變得更加團(tuán)結(jié)協(xié)作，從而與業(yè)務(wù)部門建立更好的關(guān)系。NTT公司是一家大型全球咨詢機(jī)構(gòu)，也是一家提供數(shù)字轉(zhuǎn)換服務(wù)的托管安全服務(wù)提供商。

Handler說，“組織的安全團(tuán)隊(duì)必須敏捷靈活，并且被視為推動(dòng)者，而不是阻礙者?！?/p>

Handler補(bǔ)充說，首席信息安全官也必須不斷發(fā)展，并在部署應(yīng)用程序或新技術(shù)的部門中擔(dān)當(dāng)內(nèi)部顧問和協(xié)作者的角色。他說，“與其說不能，不如說‘讓我們看看如何盡快做到這一點(diǎn)，并且安全地做到這一點(diǎn)。我認(rèn)為，這將改變首席信息安全官面臨的局面?！?/p>

考慮安全性

多年來，首席信息安全官在設(shè)計(jì)過程的一開始就必須考慮安全性?，F(xiàn)在，由于有了更多靈活和動(dòng)態(tài)的組件，這更容易實(shí)現(xiàn)。Lindstrom說：“特別是云計(jì)算，以及可以利用的內(nèi)置安全功能，我們可以利用它來解決風(fēng)險(xiǎn)，而且正在進(jìn)一步努力解決堆棧問題———從網(wǎng)絡(luò)和基于主機(jī)的安全到應(yīng)用程序，到數(shù)據(jù)層安全，以及各種身份信息?！?/p>

此外，一些投資者預(yù)測(cè)，隨著基礎(chǔ)網(wǎng)絡(luò)安全廠商的數(shù)量不斷增長(zhǎng)，使用機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全公司可能會(huì)在2020年脫穎而出，不過，這些公司的安全技術(shù)將面臨嚴(yán)格的審查。擁有大量安全數(shù)據(jù)的企業(yè)可以將算法、分析和機(jī)器學(xué)習(xí)結(jié)合起來，以閃電般的速度識(shí)別和應(yīng)對(duì)威脅———幾乎和威脅發(fā)生的速度一樣快。機(jī)器只能和管理它們的人類一樣好，但也只能和它們模式匹配的數(shù)據(jù)一樣好。

Handler說，“從首席信息安全官的角度來看，如果能夠快速提供安全性，并幫助企業(yè)實(shí)現(xiàn)里程碑和目標(biāo)，如果從一開始就將安全性納入流程中，將獲得良好的結(jié)果?！?/p>

數(shù)字化轉(zhuǎn)型的進(jìn)程到了哪個(gè)階段

Sanchez表示，關(guān)于數(shù)字化轉(zhuǎn)型中的網(wǎng)絡(luò)安全問題，更多企業(yè)的進(jìn)程已經(jīng)過半，他們經(jīng)歷了自動(dòng)化的過程，開始關(guān)注人工智能和預(yù)測(cè)建模。

Sanchez說：“我們走上了正確的軌道，但這并不意味著不會(huì)遇到阻礙。就像在數(shù)字化轉(zhuǎn)型之前，整個(gè)系統(tǒng)的軟件開發(fā)都沒有集成到一起一樣，在安全方面也是如此。所有這些都必須集成在一起，需要時(shí)間。