安全,在企业数字化转型中扮演什么角色?
作者: 日期:2018年03月26日 阅:6,901

数字化是时代赋予我们的挑战与机遇。在未来,人类将依托技术,更加有能力进行创新。

戴尔公司董事会主席 Michael Dell 关于数字化未来的预言言犹在耳,数字化转型的影响力与作用力已经体现在各个领域的应用之中。

根据IDC给出的定义显示,数字化转型(DX)是指企业运用第三平台技术包括云计算、大数据、社交和移动,通过新的产品和服务、新的业务模式和新的关系创造价值和竞争优势。简单来说,它是指对公司的组织和业务流程进行彻底改革,使企业能够利用新兴技术实现业务持续增长。具体来说,营销团队希望能够改变产品的推广方式;人力资源部门希望能够改善招聘流程;IT团队希望能够及时更新在线服务等等。

想要成功启动一项“数字化转型”项目,组织必须在规划和战略阶段将人员、流程和技术等因素结合起来,让他们有机会能够了解数据分析、物联网(IoT)、移动和社交等技术可以在哪些方面发挥效用。然而,在此过程中,许多人却常常忽略了信息安全因素的重要性。实际上,安全从某种意义上来说或决定或深度影响整个数字化转型的进程。

缺乏安全的数字化转型会加大风险隐患

随着敏捷和DevOps等IT和业务“快通道”(fast-track)计划加速推出市场,安全的作用开始仅限于事后咨询有关风险和安全的连锁(knock-on)影响等问题。简而言之,数字化转型过于注重为客户(或同等级别的人)提供价值,以至于很少会考虑到核心安全功能所产生的影响。

数据显示,仅2017年上半年,由于受到网络攻击,全球有将近20亿个数据记录丢失或被窃走;此外,勒索病毒也成为一大棘手的安全威胁,其中,仅今年5月爆发的勒索软件病毒WannaCry就成功影响了150个国家,导致超过50万设备被感染,在全球造成约100亿美元的经济损失。

数据泄露、恶意软件和漏洞数量的急剧增长导致一些人认为,缺乏安全的数字化转型将致使企业面临更大的安全风险。根据Gartner最新发布的预测结果称,由于安全团队无法管理数字风险,到2020年,60%的数字业务将遭受重大服务故障。

Gartner在报告中指出,数字业务的发展速度比传统业务要快得多,因此,为实现最大限度的控制而设计的传统安全方法将不再适用于数字创新的新时代需求。

此外,IDC公司也通过对2000位跨国企业首席执行官进行调查发现,高达71% 的高管认为对网络安全的担忧正在阻碍其组织内的创新。可见,安全问题是企业迈向数字化转型途中最令人担忧的问题。

安全问题阻碍了数字化转型?

现有的数字化转型项目经常会因为引入安全过晚,或压根没有引入安全等问题而被迫叫停。戴尔和Dimensional Research的研究表明,导致这一情况最主要的原因之一是企业高管担心他们的数字化转型工作会因安全团队的干预而受到阻碍或限制。

不过,有迹象表明这种趋势正在发生变化。根据数据泄露、物联网软件漏洞以及“安全源于设计”(security-by-design,简称SbD)运动的记录数据显示,对于安全的重视度已经得到了很大的提升。

CCS Insight企业研究实践的领导者Nick McQuire表示,“如今,我们可以看到安全问题已经成为所有组织和首席信息官(CIO)的顶级议程项目。在对美国和欧洲的企业进行调查后发现,超过70%的受访企业表示他们已经增加了安全方面的预算;接近一半的受访者表示他们可能会在未来几年内受到网络攻击。”

数据安全是数字化工作的首要投资重点,而推出移动应用程序所面临的主要挑战,往往会对数字化转型战略产生举足轻重的影响。不可否认的变化是,如今,安全不仅已经成为了一项关键的技术优先事项,同时也成为了一项业务。

我与许多企业对话的经验表明,他们只是口头上支持安全,实际上并不会把安全作为数字化转型过程的主要组成部分。

——Jack Gold

Gold Associates LLC创始人兼首席分析师Jack Gold表示,“通过与许多公司交流我发现,他们只是口头上支持安全,实则并未将其作为数字化转型过程的重要组成部分”。

他说,这要归咎于公司的首席执行官们,因为他们只知道安全是重要的,却不明白它真正存在的意义。此外,还要归咎于技术的“拼凑”——这些技术涉及来自不同供应商所提供的各种解决方案。Gold表示,“想要把这些技术完美融合真的是很难。”

McQuire承认,公司很难跟上技术进步的步伐。他说,“许多公司根本无法跟上快速的技术变化趋势。威胁场景正在不断地转变,恶意软件、勒索软件以及网络钓鱼攻击都在迅速增长。此外,GDPR的形式也出现了重大的监管变化,这无疑为那些安全和隐私流程薄弱的企业增加了新的压力,他们将最终为其安全缺失行为承担财务责任。”

造成这一现象的原因包括,其一,大多数企业普遍缺乏安全专业人才。其二,大多数企业运行的仍然是依赖传统安全技术的复杂网络,这些技术已经无法妥善保护企业免受员工困扰,因为现在的员工可以通过各种设备和云应用程序访问工作信息,对此,传统安全技术显然无力应付。其三,安全市场正在蓬勃发展,云访问安全、用户行为分析、机器学习、身份验证即服务、多因素身份验证以及移动威胁防御等新型安全技术正在兴起。这些技术代表了现代企业协议栈的新层次,为保护企业数据安全提供了技术支持。

安全在数字化转型过程中的作用?

数字化转型包含很多阶段,但目前尚不清楚安全应该应用于哪个阶段,存在争议的是,有人认为安全可以并且应该应用于所有阶段,也有人认为安全至少应该应用于最后一个阶段。Altimeter Group在其发布的《与数字达尔文主义赛跑:数字化转型的六个阶段》报告中,将数字化转型过程分为了6个阶段,具体包括:

1. 照常营业

机构/企业从一个熟悉而传统的客户、流程、指标、商业模式和技术角度进行运作,相信这仍然是与数字化相关的解决方案;

2. 存在并活跃

口袋实验正在驱动着全公司范围内的数字化素养和创造力,(尽管程度各不相同),旨在改善并增强具体接触点和流程;

3. 正规化

实验变成是蓄意而为,并且在更有潜力、更有能力的水平上执行。计划变得更加大胆,而且其结果是,更改了代理商、寻找新的资源和技术来支持执行。

4. 战略性

个体小组发现了协作的优势,因为他们的研究、工作以及共享的观点有助于完成为了计划数字化转型的所有权、转向力和投资而做的新战略路线图。

5. 集中性

专注于数字化转型的小组以业务和客户为中心的目标形成了指导策略。机构/企业的新的基础设施构建了角色、专业知识、模型、流程和系统来支持转型的固化轮廓。

6. 创新性和适应性

数字化转型成为了一种商业方式,因为管理人员和战略家们认识到变化是一种常态。应当建立一个新的生态系统,以便根据技术和市场趋势的试点来确定和采取行动,并最终形成规模。

目前来看,首席信息安全官正在试图在整个数字化转型过程中发挥作用。例如,在去年年底的一次活动中,洛杉矶市首席信息安全官员Timothy Lee表示,接受数字化转型的首席信息安全官可能会帮助组织更好地适应快速发展的全球市场。他说,“我们的工作不仅仅是管理机会和风险,我们的角色正在转向使网络安全成为公司业务的‘推动者’,并使其成为数字化转型的基础。”

同时,Xerox公司首席信息安全官Alissa Johnson(白宫前副首席信息官)也表示,首席信息安全官需要“在设计过程的一开始就加入安全性”,而且一旦阻断这种创新流程,势必会限制公司获取竞争力和保持相关性的能力。

在上周举办的CSO50会议上,National Oilwell Varco首席信息官和首席信息安全官Alex Phillips解释称,他重新思考了数字化的安全基础设施,发现其需要一个值得信赖的合作伙伴和一步步的流程才能实现。这一想法与Gold的观点不谋而合,即安全需要经历自身的转变,而不是简单地作为其他所有人的服务提供者。

对于那些担任企业首席信息安全官或类似角色的人来说,让您的企业采用新的业务模式和新技术是新的行业标准,同时也是对您角色的基本要求。

——Doug Copley

曾担任首席信息安全官和首席隐私官,现任Duo Security公司首席分析师的Doug Copley可能是把数字化转型的困境拿捏得最为准确的一个人,他认为,在数字化转型的大潮中,企业的首席信息安全官不得不在文化和技术上,对由IaaS、微服务和API所主导的信息时代新“构造块”(building blocks)做出回应。他说,“对于那些担任企业首席信息安全官或类似角色的人来说,让您的企业采用新的业务模式和新技术已经成为新的行业标准,同时也是对您角色的基本要求。”

提到安全应该应用于数字化转型的哪个阶段时,McQuire同意应该从一开始就加入安全因素。

安全应该放在所有数字化转型举措的最前列,最理想的状态是在规划和设计阶段中就开始考虑安全性。我们经常看到一些项目由于没有考虑到安全性或正确的原则,而被迫延迟或叫停。因此,确保安全性是企业数字化转型工作中的重要组成部分⋯⋯应该从一开始就考虑入内⋯⋯所有做到这些的企业不仅取得了长远的成功,而且在当今市场情况下发展得更为迅速。

数字转型是否需要新的安全解决方案?

McQuire认为,在当今这个数字时代,我们需要通过新技术来强化安全性这一点也不奇怪。他说,“随着边界的消失,人们对于安全性的需求也在不断变化。我们可以看到,拥有大量防御性安全产品的客户,在大多数情况下彼此之间并无交流,因此,他们需要一个更为集成和完整的安全平台来实现安全检测和响应。”

“用户的这种防御需求开始转向防御、检测和响应于一体,这主要是由跨基础架构(跨越本地或云中的设备、网络以及应用程序)的可见性因素所驱动的。这是一个巨大的变化,因为公司需要能够在更广泛的攻击面上检测到威胁,并且能够比以往更快地做出响应,以帮助企业避免声誉损失和合规风险等。这也就是为什么我们看到了安全类别在过去几年的市场合并和并购活动中不断上升的原因,因为安全市场正在重塑自身以适应这个新的时代。现代安全技术将帮助企业建立适合移动和云计算时代,以及GDPR数据合规新时代要求的安全架构。”

如果您的企业正处于数字化转型的过程中,但却并不包括安全性,那么您将注定失败。因为没有安全性,数字化转型注定走不远。

——Jack Gold

Gold认为,人工智能(AI)有可能具备将“松散系统”整合在一起的潜力,为网络提供新见解以实现“在大海中捞到针”。他说,“新技术不仅是数字化转型所必需的,而且也是为了使首席信息安全官能够实施新的安全模式。”

最后,该安全分析师还表示,团队必须有一名负责数字化转型的管理人员,他们可以拥有适当的资源,然后可以向组织宣传安全性的重要性。他表示,“如果你的公司正处于数字化转型的过程中,但是却不包括安全性,那么你将注定失败。因为没有安全性,数字化转型注定走不远。”

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章