■ 山東 李文竹 趙長林

編者按：很多企業(yè)都正經(jīng)歷數(shù)字轉(zhuǎn)型，但數(shù)字轉(zhuǎn)型在為企業(yè)帶來收益的同時還存在安全風險，企業(yè)必須重視這些風險問題，并做出應(yīng)對，才能立于不敗之地。

數(shù)字技術(shù)已從根本上改變了企業(yè)處理業(yè)務(wù)的方式。移動訪問、高級分析、云計算等增加了運營的靈活性，又促進了收入的增長。因此，企業(yè)在數(shù)字技術(shù)上花費了大量資金用于數(shù)字技術(shù)來保護自己。數(shù)字轉(zhuǎn)型的好處在范圍和規(guī)模上是沒有限制的，但是數(shù)字轉(zhuǎn)型也給企業(yè)和安全團隊帶來了新的風險。

擴展的基礎(chǔ)架構(gòu)和增加的復(fù)雜性

云、移動互聯(lián)、物聯(lián)網(wǎng)等新技術(shù)已經(jīng)劇烈影響了變化周期。以前需要幾年時間才能實施的東西在如今只需幾個月、幾星期甚至幾天時間。然而，每一種新技術(shù)都會使復(fù)雜性劇增，從而引起故障，甚至增加企業(yè)的攻擊面。

企業(yè)不斷擴增的基礎(chǔ)架構(gòu)可能存在弱點，如開放的端口、漏洞、弱證書或到期證書。這些弱點存在于企業(yè)已知的基礎(chǔ)設(shè)施中，但也會擴展到影子IT設(shè)施，也就是在IT部門管理之外的項目和軟件，這些可能并不為安全團隊所知。而攻擊面越來越難以可靠確認，更別說減少了。

“第三方”帶來的挑戰(zhàn)

很多企業(yè)都經(jīng)歷過由“第三方”帶來的數(shù)據(jù)泄露事件。美國國家標準與技術(shù)研究院（NIST）甚至認為第三方為首要的風險源，部分原因就在于糟糕的安全實踐。所以，企業(yè)又能如何確信在業(yè)務(wù)運營中發(fā)揮關(guān)鍵作用的供應(yīng)商和分包商能夠充分保護自己的敏感數(shù)據(jù)？

企業(yè)可以用多種方法提升第三方的風險意識：教育內(nèi)部的利益相關(guān)者要正確地管理第三方風險；要在合同上通過面向外部系統(tǒng)的獨立檢查來強化第三方的安全業(yè)績期望；要在一個中心數(shù)據(jù)庫中跟蹤第三方的風險；要基于已知的長處和弱點來調(diào)整方法。

但即使上述全部措施也未必能充分保護企業(yè)的敏感數(shù)據(jù)：企業(yè)應(yīng)當假設(shè)其信息已經(jīng)泄露，并采取措施檢測和修復(fù)損失。

網(wǎng)絡(luò)犯罪“數(shù)字化”

隨著第三方生態(tài)系統(tǒng)的發(fā)展，越來越多的數(shù)據(jù)被存儲在云端，企業(yè)的敏感數(shù)據(jù)頻繁地被泄露。洞悉這一切的網(wǎng)絡(luò)犯罪分子充分利用這種“意外收獲”的數(shù)據(jù)泄露，利用機密憑據(jù)竊取賬戶或知識產(chǎn)權(quán)，實施針對企業(yè)的間諜活動。

然而，網(wǎng)絡(luò)犯罪分子已經(jīng)注意并找到了利用企業(yè)數(shù)字變革努力的方法。一旦公司或銀行提供了一個新的改進訪問性和效率的移動APP，網(wǎng)絡(luò)犯罪分子很快就開發(fā)出一種適合其需要的操縱方法。

為防護這些威脅，企業(yè)需要找到檢測數(shù)據(jù)泄露的新方法，以保障其在網(wǎng)絡(luò)上的品牌，并減少攻

【】【】

擊面。

問幾個適當?shù)膯栴}

數(shù)字技術(shù)使得企業(yè)更靈活、增加盈利和更好地響應(yīng)顧客。但數(shù)字化是一個持續(xù)的過程，并且需要花費時間和精力。最終，為全面地從這些革新性的數(shù)字實踐和工具中獲益，同時還要確保網(wǎng)絡(luò)安全，企業(yè)必須準備不斷地計劃并持續(xù)協(xié)作，從而增加自身和第三方數(shù)字化實踐的透明性。為減少這種數(shù)字風險，企業(yè)管理者不妨尋求以下三個問題的答案。

首先，誰負責管理數(shù)字風險？我們僅僅依靠CISO或風險僅僅局限于某個領(lǐng)域嗎？其次，我們要將數(shù)字風險管理從公司擴展到合作伙伴和廠商的生態(tài)系統(tǒng)嗎？企業(yè)部署哪些工具才能檢測和減少傳統(tǒng)邊界之外的風險呢？第三，企業(yè)的CISO能否解決企業(yè)風險中的安全問題？企業(yè)是否根據(jù)業(yè)務(wù)風險來衡量安全團隊的成功？

隨著企業(yè)數(shù)字化的進一步擴展，外圍將繼續(xù)削弱，但是，有了適當?shù)娘L險保護策略，任何企業(yè)都可能在數(shù)字轉(zhuǎn)型時代獲得成功。