Stacy Collett

數(shù)字化轉(zhuǎn)型在兩年前就已經(jīng)進(jìn)入高潮，新的流程和產(chǎn)品的開發(fā)速度十分驚人。為了加快產(chǎn)品的上市速度，IT和業(yè)務(wù)部門不遺余力地追求敏捷性和DevOps，安全性則往往被他們拋在腦后。市場研究機(jī)構(gòu)Gartner當(dāng)時(shí)預(yù)測稱，由于安全團(tuán)隊(duì)無法管理數(shù)字風(fēng)險(xiǎn)，到2020年60%的數(shù)字業(yè)務(wù)將遭遇重大服務(wù)故障。

在數(shù)字化項(xiàng)目中，極為重要的安全性不出意外地出現(xiàn)了下降，不過目前我們還難以確定其中的主要原因。市場研究機(jī)構(gòu)IDC的安全研究副總裁Pete Lindstrom表示：“不管已經(jīng)被曝光出來的數(shù)據(jù)泄露事件是否與數(shù)字化轉(zhuǎn)型有直接關(guān)系，企業(yè)領(lǐng)導(dǎo)者都應(yīng)該重新考慮風(fēng)險(xiǎn)和相關(guān)解決方案，以便最大限度地降低風(fēng)險(xiǎn)?！?/p>

據(jù)Marsh&McLennan（威達(dá)信集團(tuán)）對1500位企業(yè)高管的調(diào)查顯示，如今約有79%的全球高管將網(wǎng)絡(luò)攻擊和威脅列為其公司在2020年中最高級別的風(fēng)險(xiǎn)管理優(yōu)先事項(xiàng)?？傮w而言，安全性在數(shù)字化轉(zhuǎn)型中的作用在設(shè)計(jì)流程的早期階段已經(jīng)被意識到，并被盡早地涉及。盡管如此，首席信息安全官仍在其生態(tài)系統(tǒng)中努力提升各個(gè)項(xiàng)目的可視性。

安全挑戰(zhàn)：跟上發(fā)展步伐

據(jù)Altimeter最近的調(diào)查顯示，IT決策者不僅將網(wǎng)絡(luò)安全作為數(shù)字化轉(zhuǎn)型的首要考慮因素，而且還是其第二大投資重點(diǎn)（35%），僅次于云計(jì)算（37%）。如果變革性技術(shù)無法保護(hù)企業(yè)、客戶和其他重要資產(chǎn)的安全，那么對它們的投資將變得毫無意義。目前，開發(fā)的復(fù)雜性和速度仍是安全操作中的重大挑戰(zhàn)。

麻省理工學(xué)院制造與生產(chǎn)力實(shí)驗(yàn)室執(zhí)行董事兼研究科學(xué)家Abel Sanchez博士說：“這場戰(zhàn)斗的速度已經(jīng)超過了我們的決策周期。如果你的速度緩慢，那么站在領(lǐng)導(dǎo)的角度來看你將變得無關(guān)緊要。” 他補(bǔ)充說，安全性和開發(fā)都需要敏捷性、靈活性和快速?zèng)Q策能力。

在全球能源解決方案公司施耐德電氣，網(wǎng)絡(luò)安全是其轉(zhuǎn)型戰(zhàn)略的核心。該公司的全球首席信息安全官Christophe Blassiau正在努力通過將收購行為與公司的其他行為（從研發(fā)到供應(yīng)鏈再到服務(wù)）整合在一起，以提升整個(gè)公司的可視性。IT和運(yùn)營技術(shù)（OT）的整合還帶來了新的連接性、數(shù)據(jù)源和潛在漏洞，為此他的團(tuán)隊(duì)還必須要將公司的安全性與合作伙伴和供應(yīng)商的生態(tài)系統(tǒng)連接起來。

Blassiau說：“我們所有的地方都沒有合適的所有權(quán)和能力，因此我們在整個(gè)公司中率先重新設(shè)計(jì)和實(shí)施了新治理體系。我并不想擴(kuò)大團(tuán)隊(duì)，因?yàn)榘踩?fù)責(zé)會(huì)分解到所有的人身上。在這里，安全是每個(gè)人的責(zé)任?！?/p>

施耐德針對網(wǎng)絡(luò)安全采取了雙管齊下的方法，即創(chuàng)建數(shù)字網(wǎng)絡(luò)安全實(shí)踐，將網(wǎng)絡(luò)專業(yè)人員（數(shù)字風(fēng)險(xiǎn)管理人員和區(qū)域首席信息安全官）納入到了每個(gè)實(shí)踐當(dāng)中，并在整個(gè)公司范圍內(nèi)建立了一個(gè)由經(jīng)過培訓(xùn)并專注于特定網(wǎng)絡(luò)風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全主管人員組成的社區(qū)。此舉讓Blassauau在數(shù)字領(lǐng)域獲得了“控制權(quán)”。目前公司中專門有一位負(fù)責(zé)網(wǎng)絡(luò)安全的主管向他和每位數(shù)字實(shí)踐執(zhí)行主管匯報(bào)情況。

安全團(tuán)隊(duì)也必須轉(zhuǎn)型

安全團(tuán)隊(duì)面臨的挑戰(zhàn)仍然是如何以與數(shù)字化轉(zhuǎn)型相匹配的速度提升安全性，并確保安全性能夠覆蓋每個(gè)新的內(nèi)部數(shù)字流程和外部的產(chǎn)品開發(fā)工作，亦或是互聯(lián)網(wǎng)機(jī)遇。Sanchez說，大多數(shù)解決方案都取決于IT和安全部門的文化。他警告說：“安全團(tuán)隊(duì)也必須經(jīng)歷轉(zhuǎn)型?！边@做起來并不容易，許多員工必須要主動(dòng)學(xué)習(xí)新技能，才能與業(yè)務(wù)部門實(shí)現(xiàn)互動(dòng)。

Sanchez說，其中一些工作可以通過重組來實(shí)現(xiàn)。例如，在許多實(shí)踐中，測試人員正在消失，測試工作轉(zhuǎn)而由軟件工程師負(fù)責(zé)。他補(bǔ)充說：“有誰會(huì)比開發(fā)產(chǎn)品的人員更了解如何保護(hù)該產(chǎn)品呢？”在其他開發(fā)領(lǐng)域也可以這么做。

與此同時(shí)，Sanchez還指出：“你可能還需要不同的人才，亦或是對人才進(jìn)行調(diào)整。這樣一來，你可能會(huì)失去很多人，但是他們必須要適應(yīng)自己的崗位。你需要那種能夠進(jìn)行創(chuàng)新并有能力運(yùn)用創(chuàng)新的人。因?yàn)檫@個(gè)世界正在快速地發(fā)展?！?p>

專門提供數(shù)字轉(zhuǎn)型服務(wù)的大型全球咨詢和托管安全服務(wù)提供商N(yùn)TT的美洲地區(qū)安全部門首席執(zhí)行官M(fèi)att Handler說，好消息是，整個(gè)安全團(tuán)隊(duì)正變得越來越接地氣，并成為了業(yè)務(wù)的一部分，這也使得大家的關(guān)系越來越融洽。

Handler說：“安全團(tuán)隊(duì)知道他們不能都處于閉門造車的狀態(tài)。他們必須要敏捷且靈活，不能成為阻礙者而應(yīng)成為推動(dòng)者。這一轉(zhuǎn)變在去年就已經(jīng)發(fā)生了。”

Handler補(bǔ)充說，首席信息安全官也必須要不斷提升自己的能力，在部署應(yīng)用程序或新技術(shù)的部門中承擔(dān)起內(nèi)部顧問和協(xié)作者的角色。“與其拒絕，不如說‘讓我們看看如何盡快安全地做到這一點(diǎn)。我認(rèn)為，僅此一詞就改變了首席信息安全官的角色?！?h3>加入安全性

多年來，首席信息安全官一直在大力宣傳在設(shè)計(jì)流程之初就必須加入安全性。現(xiàn)在，得益于有了更多靈活的動(dòng)態(tài)組件，這一理念已經(jīng)變得更容易實(shí)現(xiàn)。Lindstrom說：“特別是在云端已經(jīng)有了可以使用的內(nèi)置安全功能，我們可以利用它們來緩解風(fēng)險(xiǎn)。如今，除了網(wǎng)絡(luò)和基于主機(jī)的安全性外，我們還正在將其進(jìn)一步加入到應(yīng)用程序、數(shù)據(jù)層的安全和身份識別當(dāng)中?！?/p>

此外，投資者預(yù)測，隨著小型特色網(wǎng)絡(luò)安全服務(wù)商不斷被合并，使用機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全公司可能會(huì)在2020年脫穎而出。這些網(wǎng)絡(luò)安全公司所聲稱的技術(shù)能力將會(huì)受到嚴(yán)格的審查。擁有大量安全數(shù)據(jù)的公司可以將算法、分析和機(jī)器學(xué)習(xí)相結(jié)合一起，以極快的速度（幾乎在威脅發(fā)生的同時(shí)）識別并響應(yīng)威脅。機(jī)器要想達(dá)到人類的管理水平，要想達(dá)到與模式匹配數(shù)據(jù)一樣出色的程度，還需要時(shí)間。

Handler說：“從首席信息安全官的角度來看，如果你能夠快速提供安全性，幫助企業(yè)達(dá)到他們的里程碑和目標(biāo)，并且從一開始就將安全性納入到設(shè)計(jì)流程當(dāng)中，那么你將獲得極大的成功。不過這只是一種理想狀態(tài)?！?h3>我們距目標(biāo)還有多遠(yuǎn)？

關(guān)于數(shù)字轉(zhuǎn)換中的網(wǎng)絡(luò)安全問題，Sanchez說，越來越多的企業(yè)進(jìn)入到了“中間階段”，他們已經(jīng)經(jīng)歷了自動(dòng)化流程，并且開始使用人工智能和預(yù)測模型。

Sanchez說：“雖然我們正走在正確的道路上，但是這并不意味著不會(huì)出現(xiàn)妥協(xié)或折中的情況?！本拖裨跀?shù)字轉(zhuǎn)換開始之前尚未集成所有的軟件開發(fā)一樣，安全性如今也是如此。所有這些現(xiàn)在都必須集中起來，但是這需要時(shí)間?！?/p>

原文網(wǎng)址

https：//www.csoonline.com/article/3512578/what-is-securitys-role-in-digital-transformation.html