兩年前,隨著新流程和產(chǎn)品開發(fā)以驚人的速度向前推進,數(shù)字化轉(zhuǎn)型已進入高速發(fā)展階段。隨著IT和業(yè)務(wù)快速跟蹤敏捷和DevOps等計劃以提高上市速度,安全方面的考慮通常被拋在腦后。調(diào)研機構(gòu)Gartner公司在當(dāng)時預(yù)測,到2020年,由于安全團隊無法管理數(shù)字風(fēng)險,60%的數(shù)字業(yè)務(wù)將遭遇重大服務(wù)故障。
盡管很難確切指出數(shù)字項目是主要原因,但隨之而來的安全性意外降低。調(diào)研機構(gòu)IDC公司安全研究副總裁Pete Lindstrom表示:“無論廣為人知的數(shù)據(jù)泄露違規(guī)行為是否與數(shù)字化轉(zhuǎn)型直接相關(guān),他們都使企業(yè)領(lǐng)導(dǎo)者再次考慮將風(fēng)險降至最低的解決方案。”
根據(jù)Marsh&McLennan公司對1,500位企業(yè)高管的調(diào)查,如今,約有79%的企業(yè)高管將網(wǎng)絡(luò)攻擊和威脅視為其組織2020年最高的風(fēng)險管理優(yōu)先事項之一??傮w而言,安全性在數(shù)字化轉(zhuǎn)型中的作用在設(shè)計過程的早期階段已經(jīng)提高了意識,并提高了參與度,但是首席信息安全官(CISO)仍在努力提高其生態(tài)系統(tǒng)中各個項目的可視性。
安全挑戰(zhàn)需要跟上步伐
根據(jù)Altimeter公司最近進行的一次調(diào)查,IT決策者不僅將網(wǎng)絡(luò)安全作為數(shù)字化轉(zhuǎn)型的首要考慮因素,而且還是其第二大投資重點(35%),僅低于云計算(37%)。如果變革性技術(shù)無法保護企業(yè)、客戶或其他重要資產(chǎn),那么它們的投資就毫無意義,而且開發(fā)的復(fù)雜性和速度仍是安全運營部門面臨的最大挑戰(zhàn)。
麻省理工學(xué)院制造與生產(chǎn)力實驗室執(zhí)行董事兼研究科學(xué)家Abel Sanchez博士說,“這場戰(zhàn)斗比我們的決策周期進展更快。如果行動遲緩,那么從領(lǐng)導(dǎo)的角度來看就無關(guān)緊要。安全性和開發(fā)都需要敏捷性、靈活性和快速決策能力。”
對于全球能源解決方案廠商施耐德電氣公司來說,網(wǎng)絡(luò)安全是其轉(zhuǎn)型戰(zhàn)略的中心。該公司全球首席信息安全官(CISO)Christophe Blassiau努力提高組織的知名度,這是因為收購的復(fù)雜組合以及企業(yè)的許多不同活動——從研發(fā)到供應(yīng)鏈再到服務(wù)。IT和運營技術(shù)(OT)的集成還帶來了新的連接、數(shù)據(jù)源和需要保護的潛在漏洞,他的團隊必須將企業(yè)安全與合作伙伴和供應(yīng)商生態(tài)系統(tǒng)之間的點連接起來。
Blassiau說:“我們?yōu)榱双@得更多合適的所有權(quán)或資質(zhì),所以從設(shè)計和組織開始。而在這里,安全是每個人的責(zé)任。”
安全團隊也必須轉(zhuǎn)型
企業(yè)安全團隊面臨的挑戰(zhàn)仍然是如何以數(shù)字化轉(zhuǎn)型的速度增加安全性,并確保安全性跨越每個新的內(nèi)部數(shù)字流程和開發(fā)外部產(chǎn)品或創(chuàng)造互聯(lián)的機會。Sanchez表示,大多數(shù)解決方案都取決于IT和安全部門的文化。他警告說,“安全團隊也必須進行轉(zhuǎn)型。這并不容易,許多員工必須愿意學(xué)習(xí)新技能,才能更好地進行互動。”
Sanchez表示,其中一些可以通過重組來實現(xiàn)。例如,許多實踐中的測試人員正在消失,現(xiàn)在由軟件工程師進行測試。他補充說,“誰比創(chuàng)造產(chǎn)品的人更了解如何保護該產(chǎn)品?其他發(fā)展領(lǐng)域也可以做到這一點。”
Sanchez說,“企業(yè)可能還需要其他才能的員工,或者需要培訓(xùn)現(xiàn)有員工。企業(yè)也可能會失去一些員工,但需要適應(yīng)。企業(yè)需要更多的人才進行創(chuàng)新,并將其引入市場。這是因為世界的發(fā)展太快了。”
NTT公司美洲安全首席執(zhí)行官Matt Handler表示,好消息是,其安全團隊變得更加團結(jié)協(xié)作,從而與業(yè)務(wù)部門建立更好的關(guān)系。NTT公司是一家大型全球咨詢機構(gòu),也是一家提供數(shù)字轉(zhuǎn)換服務(wù)的托管安全服務(wù)提供商。
Handler說,“組織的安全團隊必須敏捷靈活,并且被視為推動者,而不是阻礙者。”
Handler補充說,首席信息安全官(CISO)也必須不斷發(fā)展,并在部署應(yīng)用程序或新技術(shù)的部門中擔(dān)當(dāng)內(nèi)部顧問和協(xié)作者的角色。他說,“與其說不能,不如說‘讓我們看看如何盡快做到這一點,并且安全地做到這一點。’我認(rèn)為,這將改變首席信息安全官(CISO)面臨的局面。”
考慮安全性
多年來,首席信息安全官(CISO)在設(shè)計過程的一開始就必須考慮安全性?,F(xiàn)在,由于有了更多靈活和動態(tài)的組件,這更容易實現(xiàn)。Lindstrom說:“特別是云計算,以及可以利用的內(nèi)置安全功能,我們可以利用它來解決風(fēng)險,而且正在進一步努力解決堆棧問題——從網(wǎng)絡(luò)和基于主機的安全到應(yīng)用程序,到數(shù)據(jù)層安全,以及各種身份信息。”
此外,一些投資者預(yù)測,隨著利基網(wǎng)絡(luò)安全廠商的數(shù)量不斷增長,使用機器學(xué)習(xí)的網(wǎng)絡(luò)安全公司可能會在2020年脫穎而出,不過,這些公司的安全技術(shù)將面臨嚴(yán)格的審查。擁有大量安全數(shù)據(jù)的企業(yè)可以將算法、分析和機器學(xué)習(xí)結(jié)合起來,以閃電般的速度識別和應(yīng)對威脅——幾乎和威脅發(fā)生的速度一樣快。機器只能和管理它們的人類一樣好,但也只能和它們模式匹配的數(shù)據(jù)一樣好。
Handler說,“從首席信息安全官(CISO)的角度來看,如果能夠快速提供安全性,并幫助企業(yè)仍然實現(xiàn)其里程碑和目標(biāo),并且從一開始就將安全性納入流程中,那么將獲良好的結(jié)果。”
數(shù)字化轉(zhuǎn)型的進程到了哪個階段?
Sanchez表示,關(guān)于數(shù)字化轉(zhuǎn)型中的網(wǎng)絡(luò)安全問題,更多企業(yè)的進程已經(jīng)過半,他們已經(jīng)經(jīng)歷了自動化的過程,開始關(guān)注人工智能和預(yù)測建模。
Sanchez說:“我們走上了正確的軌道,但這并不意味著不會遇到阻礙。就像在數(shù)字化轉(zhuǎn)型之前,整個系統(tǒng)的軟件開發(fā)都沒有集成到一起一樣,在安全方面也是如此。所有這些都必須集成在一起。只是需要時間。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。