盡管很難確切指出數(shù)字項(xiàng)目是主要原因,但隨之而來(lái)的安全性意外降低。調(diào)研機(jī)構(gòu)IDC公司安全研究副總裁PeteLindstrom表示:“無(wú)論廣為人知的數(shù)據(jù)泄露違規(guī)行為是否與數(shù)字化轉(zhuǎn)型直接相關(guān),他們都使企業(yè)領(lǐng)導(dǎo)者再次考慮將風(fēng)險(xiǎn)降至最低的解決方案。”
根據(jù)Marsh&McLennan公司對(duì)1,500位企業(yè)高管的調(diào)查,如今,約有79%的企業(yè)高管將網(wǎng)絡(luò)攻擊和威脅視為其組織2020年最高的風(fēng)險(xiǎn)管理優(yōu)先事項(xiàng)之一。總體而言,安全性在數(shù)字化轉(zhuǎn)型中的作用在設(shè)計(jì)過(guò)程的早期階段已經(jīng)提高了意識(shí),并提高了參與度,但是首席信息安全官(CISO)仍在努力提高其生態(tài)系統(tǒng)中各個(gè)項(xiàng)目的可視性。
安全挑戰(zhàn)需要跟上步伐
根據(jù)Altimeter公司最近進(jìn)行的一次調(diào)查,IT決策者不僅將網(wǎng)絡(luò)安全作為數(shù)字化轉(zhuǎn)型的首要考慮因素,而且還是其第二大投資重點(diǎn)(35%),僅低于云計(jì)算(37%)。如果變革性技術(shù)無(wú)法保護(hù)企業(yè)、客戶(hù)或其他重要資產(chǎn),那么它們的投資就毫無(wú)意義,而且開(kāi)發(fā)的復(fù)雜性和速度仍是安全運(yùn)營(yíng)部門(mén)面臨的最大挑戰(zhàn)。
麻省理工學(xué)院制造與生產(chǎn)力實(shí)驗(yàn)室執(zhí)行董事兼研究科學(xué)家AbelSanchez博士說(shuō),“這場(chǎng)戰(zhàn)斗比我們的決策周期進(jìn)展更快。如果行動(dòng)遲緩,那么從領(lǐng)導(dǎo)的角度來(lái)看就無(wú)關(guān)緊要。安全性和開(kāi)發(fā)都需要敏捷性、靈活性和快速?zèng)Q策能力。”
對(duì)于全球能源解決方案廠商施耐德電氣公司來(lái)說(shuō),網(wǎng)絡(luò)安全是其轉(zhuǎn)型戰(zhàn)略的中心。該公司全球首席信息安全官(CISO)ChristopheBlassiau努力提高組織的知名度,這是因?yàn)槭召?gòu)的復(fù)雜組合以及企業(yè)的許多不同活動(dòng)——從研發(fā)到供應(yīng)鏈再到服務(wù)。IT和運(yùn)營(yíng)技術(shù)(OT)的集成還帶來(lái)了新的連接、數(shù)據(jù)源和需要保護(hù)的潛在漏洞,他的團(tuán)隊(duì)必須將企業(yè)安全與合作伙伴和供應(yīng)商生態(tài)系統(tǒng)之間的點(diǎn)連接起來(lái)。
Blassiau說(shuō):“我們?yōu)榱双@得更多合適的所有權(quán)或資質(zhì),所以從設(shè)計(jì)和組織開(kāi)始。而在這里,安全是每個(gè)人的責(zé)任。”
安全團(tuán)隊(duì)也必須轉(zhuǎn)型
企業(yè)安全團(tuán)隊(duì)面臨的挑戰(zhàn)仍然是如何以數(shù)字化轉(zhuǎn)型的速度增加安全性,并確保安全性跨越每個(gè)新的內(nèi)部數(shù)字流程和開(kāi)發(fā)外部產(chǎn)品或創(chuàng)造互聯(lián)的機(jī)會(huì)。Sanchez表示,大多數(shù)解決方案都取決于IT和安全部門(mén)的文化。他警告說(shuō),“安全團(tuán)隊(duì)也必須進(jìn)行轉(zhuǎn)型。這并不容易,許多員工必須愿意學(xué)習(xí)新技能,才能更好地進(jìn)行互動(dòng)。”
Sanchez表示,其中一些可以通過(guò)重組來(lái)實(shí)現(xiàn)。例如,許多實(shí)踐中的測(cè)試人員正在消失,現(xiàn)在由軟件工程師進(jìn)行測(cè)試。他補(bǔ)充說(shuō),“誰(shuí)比創(chuàng)造產(chǎn)品的人更了解如何保護(hù)該產(chǎn)品?其他發(fā)展領(lǐng)域也可以做到這一點(diǎn)。”
Sanchez說(shuō),“企業(yè)可能還需要其他才能的員工,或者需要培訓(xùn)現(xiàn)有員工。企業(yè)也可能會(huì)失去一些員工,但需要適應(yīng)。企業(yè)需要更多的人才進(jìn)行創(chuàng)新,并將其引入市場(chǎng)。這是因?yàn)槭澜绲陌l(fā)展太快了。”
NTT公司美洲安全首席執(zhí)行官M(fèi)attHandler表示,好消息是,其安全團(tuán)隊(duì)變得更加團(tuán)結(jié)協(xié)作,從而與業(yè)務(wù)部門(mén)建立更好的關(guān)系。NTT公司是一家大型全球咨詢(xún)機(jī)構(gòu),也是一家提供數(shù)字轉(zhuǎn)換服務(wù)的托管安全服務(wù)提供商。
Handler說(shuō),“組織的安全團(tuán)隊(duì)必須敏捷靈活,并且被視為推動(dòng)者,而不是阻礙者。”
Handler補(bǔ)充說(shuō),首席信息安全官(CISO)也必須不斷發(fā)展,并在部署應(yīng)用程序或新技術(shù)的部門(mén)中擔(dān)當(dāng)內(nèi)部顧問(wèn)和協(xié)作者的角色。他說(shuō),“與其說(shuō)不能,不如說(shuō)‘讓我們看看如何盡快做到這一點(diǎn),并且安全地做到這一點(diǎn)。’我認(rèn)為,這將改變首席信息安全官(CISO)面臨的局面。”
考慮安全性
多年來(lái),首席信息安全官(CISO)在設(shè)計(jì)過(guò)程的一開(kāi)始就必須考慮安全性。現(xiàn)在,由于有了更多靈活和動(dòng)態(tài)的組件,這更容易實(shí)現(xiàn)。Lindstrom說(shuō):“特別是云計(jì)算,以及可以利用的內(nèi)置安全功能,我們可以利用它來(lái)解決風(fēng)險(xiǎn),而且正在進(jìn)一步努力解決堆棧問(wèn)題——從網(wǎng)絡(luò)和基于主機(jī)的安全到應(yīng)用程序,到數(shù)據(jù)層安全,以及各種身份信息。”
此外,一些投資者預(yù)測(cè),隨著利基網(wǎng)絡(luò)安全廠商的數(shù)量不斷增長(zhǎng),使用機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全公司可能會(huì)在2020年脫穎而出,不過(guò),這些公司的安全技術(shù)將面臨嚴(yán)格的審查。擁有大量安全數(shù)據(jù)的企業(yè)可以將算法、分析和機(jī)器學(xué)習(xí)結(jié)合起來(lái),以閃電般的速度識(shí)別和應(yīng)對(duì)威脅——幾乎和威脅發(fā)生的速度一樣快。機(jī)器只能和管理它們的人類(lèi)一樣好,但也只能和它們模式匹配的數(shù)據(jù)一樣好。
Handler說(shuō),“從首席信息安全官(CISO)的角度來(lái)看,如果能夠快速提供安全性,并幫助企業(yè)仍然實(shí)現(xiàn)其里程碑和目標(biāo),并且從一開(kāi)始就將安全性納入流程中,那么將獲良好的結(jié)果。”
數(shù)字化轉(zhuǎn)型的進(jìn)程到了哪個(gè)階段?
Sanchez表示,關(guān)于數(shù)字化轉(zhuǎn)型中的網(wǎng)絡(luò)安全問(wèn)題,更多企業(yè)的進(jìn)程已經(jīng)過(guò)半,他們已經(jīng)經(jīng)歷了自動(dòng)化的過(guò)程,開(kāi)始關(guān)注人工智能和預(yù)測(cè)建模。
Sanchez說(shuō):“我們走上了正確的軌道,但這并不意味著不會(huì)遇到阻礙。就像在數(shù)字化轉(zhuǎn)型之前,整個(gè)系統(tǒng)的軟件開(kāi)發(fā)都沒(méi)有集成到一起一樣,在安全方面也是如此。所有這些都必須集成在一起。只是需要時(shí)間。”
