兩年前，隨著新流程和產(chǎn)品開(kāi)發(fā)以驚人的速度向前推進(jìn)，數(shù)字化轉(zhuǎn)型已進(jìn)入高速發(fā)展階段。隨著IT和業(yè)務(wù)快速跟蹤敏捷和DevOps等計(jì)劃以提高上市速度，安全方面的考慮通常被拋在腦后。調(diào)研機(jī)構(gòu)Gartner公司在當(dāng)時(shí)預(yù)測(cè)，到2020年，由于安全團(tuán)隊(duì)無(wú)法管理數(shù)字風(fēng)險(xiǎn)，60%的數(shù)字業(yè)務(wù)將遭遇重大服務(wù)故障。

[[316032]]

盡管很難確切指出數(shù)字項(xiàng)目是主要原因，但隨之而來(lái)的安全性意外降低。調(diào)研機(jī)構(gòu)IDC公司安全研究副總裁Pete Lindstrom表示：“無(wú)論廣為人知的數(shù)據(jù)泄露違規(guī)行為是否與數(shù)字化轉(zhuǎn)型直接相關(guān)，他們都使企業(yè)領(lǐng)導(dǎo)者再次考慮將風(fēng)險(xiǎn)降至最低的解決方案。”

根據(jù)Marsh&McLennan公司對(duì)1,500位企業(yè)高管的調(diào)查，如今，約有79%的企業(yè)高管將網(wǎng)絡(luò)攻擊和威脅視為其組織2020年最高的風(fēng)險(xiǎn)管理優(yōu)先事項(xiàng)之一。總體而言，安全性在數(shù)字化轉(zhuǎn)型中的作用在設(shè)計(jì)過(guò)程的早期階段已經(jīng)提高了意識(shí)，并提高了參與度，但是首席信息安全官(CISO)仍在努力提高其生態(tài)系統(tǒng)中各個(gè)項(xiàng)目的可視性。

安全挑戰(zhàn)需要跟上步伐

根據(jù)Altimeter公司最近進(jìn)行的一次調(diào)查，IT決策者不僅將網(wǎng)絡(luò)安全作為數(shù)字化轉(zhuǎn)型的首要考慮因素，而且還是其第二大投資重點(diǎn)(35%)，僅低于云計(jì)算(37%)。如果變革性技術(shù)無(wú)法保護(hù)企業(yè)、客戶或其他重要資產(chǎn)，那么它們的投資就毫無(wú)意義，而且開(kāi)發(fā)的復(fù)雜性和速度仍是安全運(yùn)營(yíng)部門(mén)面臨的最大挑戰(zhàn)。

麻省理工學(xué)院制造與生產(chǎn)力實(shí)驗(yàn)室執(zhí)行董事兼研究科學(xué)家Abel Sanchez博士說(shuō)，“這場(chǎng)戰(zhàn)斗比我們的決策周期進(jìn)展更快。如果行動(dòng)遲緩，那么從領(lǐng)導(dǎo)的角度來(lái)看就無(wú)關(guān)緊要。安全性和開(kāi)發(fā)都需要敏捷性、靈活性和快速?zèng)Q策能力。”

對(duì)于全球能源解決方案廠商施耐德電氣公司來(lái)說(shuō)，網(wǎng)絡(luò)安全是其轉(zhuǎn)型戰(zhàn)略的中心。該公司全球首席信息安全官(CISO)Christophe Blassiau努力提高組織的知名度，這是因?yàn)槭召?gòu)的復(fù)雜組合以及企業(yè)的許多不同活動(dòng)——從研發(fā)到供應(yīng)鏈再到服務(wù)。IT和運(yùn)營(yíng)技術(shù)(OT)的集成還帶來(lái)了新的連接、數(shù)據(jù)源和需要保護(hù)的潛在漏洞，他的團(tuán)隊(duì)必須將企業(yè)安全與合作伙伴和供應(yīng)商生態(tài)系統(tǒng)之間的點(diǎn)連接起來(lái)。

Blassiau說(shuō)：“我們?yōu)榱双@得更多合適的所有權(quán)或資質(zhì)，所以從設(shè)計(jì)和組織開(kāi)始。而在這里，安全是每個(gè)人的責(zé)任。”

安全團(tuán)隊(duì)也必須轉(zhuǎn)型

企業(yè)安全團(tuán)隊(duì)面臨的挑戰(zhàn)仍然是如何以數(shù)字化轉(zhuǎn)型的速度增加安全性，并確保安全性跨越每個(gè)新的內(nèi)部數(shù)字流程和開(kāi)發(fā)外部產(chǎn)品或創(chuàng)造互聯(lián)的機(jī)會(huì)。Sanchez表示，大多數(shù)解決方案都取決于IT和安全部門(mén)的文化。他警告說(shuō)，“安全團(tuán)隊(duì)也必須進(jìn)行轉(zhuǎn)型。這并不容易，許多員工必須愿意學(xué)習(xí)新技能，才能更好地進(jìn)行互動(dòng)。”

Sanchez表示，其中一些可以通過(guò)重組來(lái)實(shí)現(xiàn)。例如，許多實(shí)踐中的測(cè)試人員正在消失，現(xiàn)在由軟件工程師進(jìn)行測(cè)試。他補(bǔ)充說(shuō)，“誰(shuí)比創(chuàng)造產(chǎn)品的人更了解如何保護(hù)該產(chǎn)品?其他發(fā)展領(lǐng)域也可以做到這一點(diǎn)。”

Sanchez說(shuō)，“企業(yè)可能還需要其他才能的員工，或者需要培訓(xùn)現(xiàn)有員工。企業(yè)也可能會(huì)失去一些員工，但需要適應(yīng)。企業(yè)需要更多的人才進(jìn)行創(chuàng)新，并將其引入市場(chǎng)。這是因?yàn)槭澜绲陌l(fā)展太快了。”

NTT公司美洲安全首席執(zhí)行官M(fèi)att Handler表示，好消息是，其安全團(tuán)隊(duì)變得更加團(tuán)結(jié)協(xié)作，從而與業(yè)務(wù)部門(mén)建立更好的關(guān)系。NTT公司是一家大型全球咨詢機(jī)構(gòu)，也是一家提供數(shù)字轉(zhuǎn)換服務(wù)的托管安全服務(wù)提供商。

Handler說(shuō)，“組織的安全團(tuán)隊(duì)必須敏捷靈活，并且被視為推動(dòng)者，而不是阻礙者。”

Handler補(bǔ)充說(shuō)，首席信息安全官(CISO)也必須不斷發(fā)展，并在部署應(yīng)用程序或新技術(shù)的部門(mén)中擔(dān)當(dāng)內(nèi)部顧問(wèn)和協(xié)作者的角色。他說(shuō)，“與其說(shuō)不能，不如說(shuō)‘讓我們看看如何盡快做到這一點(diǎn)，并且安全地做到這一點(diǎn)。’我認(rèn)為，這將改變首席信息安全官(CISO)面臨的局面。”

考慮安全性

多年來(lái)，首席信息安全官(CISO)在設(shè)計(jì)過(guò)程的一開(kāi)始就必須考慮安全性?，F(xiàn)在，由于有了更多靈活和動(dòng)態(tài)的組件，這更容易實(shí)現(xiàn)。Lindstrom說(shuō)：“特別是云計(jì)算，以及可以利用的內(nèi)置安全功能，我們可以利用它來(lái)解決風(fēng)險(xiǎn)，而且正在進(jìn)一步努力解決堆棧問(wèn)題——從網(wǎng)絡(luò)和基于主機(jī)的安全到應(yīng)用程序，到數(shù)據(jù)層安全，以及各種身份信息。”

此外，一些投資者預(yù)測(cè)，隨著利基網(wǎng)絡(luò)安全廠商的數(shù)量不斷增長(zhǎng)，使用機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全公司可能會(huì)在2020年脫穎而出，不過(guò)，這些公司的安全技術(shù)將面臨嚴(yán)格的審查。擁有大量安全數(shù)據(jù)的企業(yè)可以將算法、分析和機(jī)器學(xué)習(xí)結(jié)合起來(lái)，以閃電般的速度識(shí)別和應(yīng)對(duì)威脅——幾乎和威脅發(fā)生的速度一樣快。機(jī)器只能和管理它們的人類(lèi)一樣好，但也只能和它們模式匹配的數(shù)據(jù)一樣好。

Handler說(shuō)，“從首席信息安全官(CISO)的角度來(lái)看，如果能夠快速提供安全性，并幫助企業(yè)仍然實(shí)現(xiàn)其里程碑和目標(biāo)，并且從一開(kāi)始就將安全性納入流程中，那么將獲良好的結(jié)果。”

數(shù)字化轉(zhuǎn)型的進(jìn)程到了哪個(gè)階段?

Sanchez表示，關(guān)于數(shù)字化轉(zhuǎn)型中的網(wǎng)絡(luò)安全問(wèn)題，更多企業(yè)的進(jìn)程已經(jīng)過(guò)半，他們已經(jīng)經(jīng)歷了自動(dòng)化的過(guò)程，開(kāi)始關(guān)注人工智能和預(yù)測(cè)建模。

Sanchez說(shuō)：“我們走上了正確的軌道，但這并不意味著不會(huì)遇到阻礙。就像在數(shù)字化轉(zhuǎn)型之前，整個(gè)系統(tǒng)的軟件開(kāi)發(fā)都沒(méi)有集成到一起一樣，在安全方面也是如此。所有這些都必須集成在一起。只是需要時(shí)間。”