两年前,数字化转型开始进入高潮,新的流程和新的产品开发以惊人的速度发展。而就在诸如敏捷和DevOps等计划提高了IT和业务的快速发展以及产品上市速度的同时,安全因素却经常被人忽视。
Gartner预测,由于安全团队无法确保对数字风险的管理,到2020年,将有60%的数字业务遭受重大服务风险。
尽管很难确切指出数字项目是主要原因,但备受关注的安全问题却相对弱化了。IDC安全研究副总裁Pete Lindstrom表示,无论是否那些违规行为与数字化转型直接相关,它们都使得企业管理者再次思考相关风险以及如何将风险最小化。
安全挑战:跟上业务发展的步伐
Altimeter公司近期的调查显示,IT决策者不仅将网络安全作为数字化转型的首要考虑因素,而且还是其第二大投资重点(35%),仅次于云计算(37%)。如果这些变革性技术无法保护企业及其客户或其他重要资产,那么对它们的投资就毫无意义,而且开发的复杂性和速度对于安全部门来说仍然是个巨大挑战。
“这场‘战斗’进行的速度比我们的决策周期还要快。如果走得慢了,那么从领导者的角度来看,我们就会成为‘旁观者’。”麻省理工学院制造与生产力实验室的科研人员Abel Sanchez博士表示,“安全性和开发过程都需要敏捷性、灵活性和快速决策能力。”
对于施耐德电气来说,网络安全是其转型战略的核心。该公司的全球CISO Christophe Blassiau努力通过整合收购以及公司从研发到供应链再到服务的许多不同活动来获得整个组织的可见性。IT和运营技术(OT)的集成还带来了新的连接性、数据源和潜在漏洞——这些都需要安全防护,他的团队必须将公司的网络安全与其合作伙伴和供应商的生态系统联系起来。
“过去,我们并没有正确的针对这些问题的解决方式或能力,因此,我们首先围绕公司范围内设计和组织了新的管理方法。” Blassiau表示,“我不想让团队变得人数更加庞大,因为这给人的印象是它总会由其他人去负责。而在我们这里,安全是每个人的责任。”
取而代之的是,施耐德电气对网络采取了双重手段,创建了一种数字网络安全实践,并将专业网络人员(数字风险管理者和区域CISO)分配到每种实践中乃至整个公司中,从而建立了一个经过培训并专注于特定网络风险的网络领导者团队。此举使得Blassauau在数字领域有了“控制感”。“网络负责人要向每位数字实践执行主管汇报,并汇报给我。” Blassauau表示。
安全团队也必须转型
安全团队面临的挑战仍然是如何让网络安全跟上数字化转型的速度,并确保安全融入进每个新的内部数字流程和开发的外部产品或互联网的机会。Sanchez表示,许多解决方案都取决于IT和安全部门的文化。“安全团队也必须要转型。”这并不容易,许多员工必须学习新技能,才能与企业组织形成双向促进。
Sanchez表示,其中一些可以通过重组来实现。例如,许多实践中的测试人员正在减少,现在很多测试工作是由软件工程师来完成的。“有谁比开发产品的人更了解如何保护这些产品呢?”而且,在其他开发领域也一样可以做到这一点。
你可能还需要其他才能,或者说是能够做出改变的能力。这个过程可能会失去很多人,但他们需要适应。你真正需要的是能够做到创新的人才,因为世界变化实在太快了。
“可喜的是,安全团队正在“下沉”,并成为业务的一部分,从而建立起更良好的关系”,NTT公司CEO Matt Handler表示。NTT是一家大型的全球咨询和托管安全服务提供商,为企业用户提供数字化转型服务。
安全团队正在学习摒弃天天待在办公室的办事方式。他们必须拥有敏捷、灵活的思维,并且成为业务的推动者,而不是阻碍者。
“CISO也必须不断改进,并在部署应用或新技术的部门中担当内部顾问和协作者的角色。与其说不,不如说‘让我们看看如何尽快并安全地做到这一点。我认为,仅此一词就改变了CISO的局面。”
融入安全
多年来,CISO一直倡导在设计过程的一开始就需要融入安全性。如今,由于有了更多灵活及动态的组件,这一目标更容易实现了。Lindstrom表示,“特别是云计算,以及可以利用的内置安全功能,我们可以利用它来解决安全风险,而且我们正在进一步努力解决堆栈问题:不再基于网络和主机的安全,而是基于应用、数据层面的安全和身份的安全。”
此外,投资者预计,随着利基(Niche)网络安全供应商的数量不断整合,使用机器学习的网络安全公司可能会在2020年脱颖而出——尽管他们将机器学习技术应用于相关领域会面临严格审查。拥有大量安全数据的公司可以将算法、分析和机器学习相结合,并以极快的速度识别并响应威胁,几乎可以做到在威胁发生瞬间进行响应。当然,如今的机器要达到与专业技术人员同等水平,以及进行模式匹配(Pattern-Matching)的数据那样,尚需时日。
“从CISO的角度来看,如果能够提供敏捷的安全能力并帮助企业实现目标,并且从一开始就将安全融入流程,那么您将获得成功。但这绝对是未来的发展方向。
我们做到了吗?
当谈到数字化转型中的网络安全时,许多组织处于“中间位置”。他们已经经历了自动化过程,并且开始使用AI和预测模型。
我们走在正确的道路上,但这并不意味着不会掉队。就像在数字化转型之前尚未集成整体的软件开发一样,而现在,网络安全也是如此。要想做到的话,那么所有这些因素都要集中在一起,现在是时候了。
声明:本文来自网络安全和信息化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。