两年前,数字化转型达到一个高峰期,带着新的流程模式和产品开发节奏,突破了传统的速度瓶颈。随着敏捷开发和DevOps等新的模式加速了市场,安全却往往被忽略。在那个时候,Gartner就曾预言,在2020年前,会有60%的数字业务因安全团队无法管理数字风险而受到严重业务损失。
很多典型的安全问题接连出现,虽然很难把原因归结于数字项目的转型。IDC的安全研究副总裁Pete Lindstrom认为,无论这些涉及范围广的安全泄露事件是否和数字化转型直接相关,这些事件都引起商业上的领导者们重新思考风险和解决方案,试图将风险最小化。
基于Marsh & Mclennan对1,500名执行官级别的人的调研,全球大约有79%的执行官级别的人,将网络攻击和威胁排在2020年组织最优先的安全管理项目之一。总体而言,安全在数字化转型中的角色已经在意识,以及早期设计流程中的影响,两个方面得到了改进,但CISO们依然在设法解决自身生态系统中项目的可视化范围。
安全挑战:紧跟节奏,而风险更多
根据最近Altimeter的调研,IT决策人员不只是将安全作为他们在数字化转型过程中最需要考虑的东西之一,同时也是他们投资优先级第二高的项目(35%),仅次于云技术(37%)。数字化转型技术一旦无法保护业务、客户或者其他关键资产,就会变得毫无意义;另外,开发的复杂性与速度在最大规模的安全运营中依然是一大挑战。
麻省理工大学的执行主任兼制造和生产效率实验室研究员Abel Sanchez博士认为,安全层面的战争要比现在的决策周期节奏更快,因此一旦速度慢下来,就会难以维持一个领导层视角。他同时还表示,敏捷、灵活性、快速决策在安全和开发当中都是必须的三要素。
全球能源解决方案企业施耐德电气,安全是它整个转型策略的中心。全球CISO, Christophe Blassiau,正努力获取整个企业的可视化信息,以整体化管理公司各种并购以及从R&D到供应链服务等各种活动。IT与OT的结合也带来了新的连接性、数据资源以及需要注意的潜在隐患。Blassiau和他的团队需要将企业安全,以及其生态系统中的合作伙伴以及供应商都连接起来。
“我们原本对各种所有权限或者投入都缺乏一个正确的标准,因此我们从重新设计和组织全公司的治理体系开始做起。”Blassiau说到,“我之前并不想扩张团队,因为这会给其他人一种和自己无关的错误印象。但是,在我们这,安全应该是每个人的责任。”
施耐德的策略,是双管齐下:建立数字安全的正规行为,并在各个行为中加入网络专业人员,同时在全公司建立网络领袖社群;这些网络领袖会被针对制定的网络风险进行训练。Blassiau认为,这会有一种数字化节奏的掌控感:会有一个网络领袖把工作汇报给每个数字行为执行的领袖,同时这些领袖也会向他汇报。
安全领袖们还需要对数字化转型过程中带来的新风险做好准备。根据Ponemon的《数字转型与网络风险》报告,82%的IT安全与执行级别的受访者认为,他们因为数字化转型至少经历了一次数据泄露事件。
风险增多的一个原因在于企业越来越多地依赖于第三方——55%的受访者认为他们的第三方伙伴至少需要为他们其中的一次泄露事件负责。除了第三方问题之外,58%的受访者表示他们缺乏一个第三方风险管理项目;56%的执行官认为他们很难知道第三方合作者是否有相关政策,来确保他们信息的安全性。
而最主要的原因,应该是安全和执行官团队之间的不协同——只有16%的受访者表示他们的IT和业务完全匹配。
安全团队也需要改变
安全团队的挑战,依然在于如何在数字化转型的速度之下提升安全性,同时确保安全贯穿每个新的内部数字流程,以及外部开发的产品或者相关互联网机遇。许多解决方案最终落到IT和安全部门的文化之中。Sanchez博士认为,安全团队也需要随着数字化转型发生改变,而这并不容易;许多相关人员必须愿意学习新的技术,从而在企业中建立新的交互工作。
Sanchez博士认为,这些改变的一部分可以通过重架构解决。比如对于许多环节,测试人员将不必要,而测试工作则可以由软件工程师自己完成。在他看来,没有人比产品的创建者更了解如何保护一个产品。
另外,安全人员还需要不同的才能,或者需要改变一些自己现在现有的才能。在这个过程中,一些员工可能会被淘汰;但如果员工必须去适应这种高速的变化。安全团队需要的,是哪些能真正做出创新并将其引入工作中的人。
不过全球资讯和安全管理服务厂商NTT的美国分公司CEO,Matt Handler认为,对于安全团队来说,也有一个好消息:安全团队正在逐渐成为业务的一部分,和其他相关团队的关系在逐渐改善。
他表示:“安全团队正在明白,他们不能成为一个总是只会说‘不’的部门。他们需要变得更敏捷、灵活,同时成为赋能者,而非一个阻碍者。”
这一过程当然也需要CISO的参与。CISO们要成为一名内部的顾问,并且成为那些使用新应用和技术部门的协作者。CISO们首先要改变自己的思路:不再说说“不”,而是试着和其他部门一起探讨如何能更快速,且安全地落地新的技术和应用。
将安全融入企业
CISO们已经说了好几年,要将安全加入每个设计的开始阶段。如今,由于更迅捷和动态的组件,这个目标能更容易实现了。Lindstrom提到:“依靠内置的安全功能,尤其是云环境的能力,我们现在有更多方式解决风险。另外,我们也在逐渐从网络和主机安全,转向应用安全、数据层面安全、身份安全等。”
另一方面,投资者预测,使用机器学习的网络安全公司在2020年会有很大发展;不同的小领域网络安全厂商会合并到一起,但同时他们也会受到更严格的检查,确定他们的产品确有宣传中的效果。拥有海量安全数据的公司能够合并算法、分析能力和机器学习能力,快速识别威胁并响应。机器只有在人类的管理下才能有最佳效果,同时还需要花时间累积大量的相关数据。
在Handler看来,从一个CISO角度,如果有能力同时确保安全性和速度,同时帮助企业完成自己的里程碑和目标,那安全自然就能从一开始就融入流程之中——不过,要达到这个目标尚需时日。
我们还有多远?
Sanchez博士认为,在将网络安全融入数字化转型的路上,很多企业只是“刚过半途”。他们已经使用了自动化技术,并准备开始考虑人工智能以及预测模型。
“我们已经上了正轨,但这不代表我们的防线牢不可破。”Sanchez博士说到,“就像在数字化转型前,软件开发并未被完全集成到整个企业的业务环境中而现在却做到了一样,安全也会面临同样的发展。最终,业务、开发和安全都会合到一起,只是需要一些时间。”
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。