Stacy Collett

數(shù)字化轉型在兩年前就已經(jīng)進入高潮，新的流程和產(chǎn)品的開發(fā)速度十分驚人。為了加快產(chǎn)品的上市速度，IT和業(yè)務部門不遺余力地追求敏捷性和DevOps，安全性則往往被他們拋在腦后。市場研究機構Gartner當時預測稱，由于安全團隊無法管理數(shù)字風險，到2020年60%的數(shù)字業(yè)務將遭遇重大服務故障。

在數(shù)字化項目中，極為重要的安全性不出意外地出現(xiàn)了下降，不過目前我們還難以確定其中的主要原因。市場研究機構IDC的安全研究副總裁Pete Lindstrom表示：“不管已經(jīng)被曝光出來的數(shù)據(jù)泄露事件是否與數(shù)字化轉型有直接關系，企業(yè)領導者都應該重新考慮風險和相關解決方案，以便最大限度地降低風險。”

據(jù)Marsh&McLennan（威達信集團）對1500位企業(yè)高管的調(diào)查顯示，如今約有79%的全球高管將網(wǎng)絡攻擊和威脅列為其公司在2020年中最高級別的風險管理優(yōu)先事項?？傮w而言，安全性在數(shù)字化轉型中的作用在設計流程的早期階段已經(jīng)被意識到，并被盡早地涉及。盡管如此，首席信息安全官仍在其生態(tài)系統(tǒng)中努力提升各個項目的可視性。

安全挑戰(zhàn)：跟上發(fā)展步伐

據(jù)Altimeter最近的調(diào)查顯示，IT決策者不僅將網(wǎng)絡安全作為數(shù)字化轉型的首要考慮因素，而且還是其第二大投資重點（35%），僅次于云計算（37%）。如果變革性技術無法保護企業(yè)、客戶和其他重要資產(chǎn)的安全，那么對它們的投資將變得毫無意義。目前，開發(fā)的復雜性和速度仍是安全操作中的重大挑戰(zhàn)。

麻省理工學院制造與生產(chǎn)力實驗室執(zhí)行董事兼研究科學家Abel Sanchez博士說：“這場戰(zhàn)斗的速度已經(jīng)超過了我們的決策周期。如果你的速度緩慢，那么站在領導的角度來看你將變得無關緊要。” 他補充說，安全性和開發(fā)都需要敏捷性、靈活性和快速決策能力。

在全球能源解決方案公司施耐德電氣，網(wǎng)絡安全是其轉型戰(zhàn)略的核心。該公司的全球首席信息安全官Christophe Blassiau正在努力通過將收購行為與公司的其他行為（從研發(fā)到供應鏈再到服務）整合在一起，以提升整個公司的可視性。IT和運營技術（OT）的整合還帶來了新的連接性、數(shù)據(jù)源和潛在漏洞，為此他的團隊還必須要將公司的安全性與合作伙伴和供應商的生態(tài)系統(tǒng)連接起來。

Blassiau說：“我們所有的地方都沒有合適的所有權和能力，因此我們在整個公司中率先重新設計和實施了新治理體系。我并不想擴大團隊，因為安全負責會分解到所有的人身上。在這里，安全是每個人的責任?！?/p>

施耐德針對網(wǎng)絡安全采取了雙管齊下的方法，即創(chuàng)建數(shù)字網(wǎng)絡安全實踐，將網(wǎng)絡專業(yè)人員（數(shù)字風險管理人員和區(qū)域首席信息安全官）納入到了每個實踐當中，并在整個公司范圍內(nèi)建立了一個由經(jīng)過培訓并專注于特定網(wǎng)絡風險的網(wǎng)絡安全主管人員組成的社區(qū)。此舉讓Blassauau在數(shù)字領域獲得了“控制權”。目前公司中專門有一位負責網(wǎng)絡安全的主管向他和每位數(shù)字實踐執(zhí)行主管匯報情況。

安全團隊也必須轉型

安全團隊面臨的挑戰(zhàn)仍然是如何以與數(shù)字化轉型相匹配的速度提升安全性，并確保安全性能夠覆蓋每個新的內(nèi)部數(shù)字流程和外部的產(chǎn)品開發(fā)工作，亦或是互聯(lián)網(wǎng)機遇。Sanchez說，大多數(shù)解決方案都取決于IT和安全部門的文化。他警告說：“安全團隊也必須經(jīng)歷轉型?！边@做起來并不容易，許多員工必須要主動學習新技能，才能與業(yè)務部門實現(xiàn)互動。

Sanchez說，其中一些工作可以通過重組來實現(xiàn)。例如，在許多實踐中，測試人員正在消失，測試工作轉而由軟件工程師負責。他補充說：“有誰會比開發(fā)產(chǎn)品的人員更了解如何保護該產(chǎn)品呢？”在其他開發(fā)領域也可以這么做。

與此同時，Sanchez還指出：“你可能還需要不同的人才，亦或是對人才進行調(diào)整。這樣一來，你可能會失去很多人，但是他們必須要適應自己的崗位。你需要那種能夠進行創(chuàng)新并有能力運用創(chuàng)新的人。因為這個世界正在快速地發(fā)展?！?p>

專門提供數(shù)字轉型服務的大型全球咨詢和托管安全服務提供商NTT的美洲地區(qū)安全部門首席執(zhí)行官Matt Handler說，好消息是，整個安全團隊正變得越來越接地氣，并成為了業(yè)務的一部分，這也使得大家的關系越來越融洽。

Handler說：“安全團隊知道他們不能都處于閉門造車的狀態(tài)。他們必須要敏捷且靈活，不能成為阻礙者而應成為推動者。這一轉變在去年就已經(jīng)發(fā)生了?！?/p>

Handler補充說，首席信息安全官也必須要不斷提升自己的能力，在部署應用程序或新技術的部門中承擔起內(nèi)部顧問和協(xié)作者的角色?！芭c其拒絕，不如說‘讓我們看看如何盡快安全地做到這一點。我認為，僅此一詞就改變了首席信息安全官的角色?！?h3>加入安全性

多年來，首席信息安全官一直在大力宣傳在設計流程之初就必須加入安全性?，F(xiàn)在，得益于有了更多靈活的動態(tài)組件，這一理念已經(jīng)變得更容易實現(xiàn)。Lindstrom說：“特別是在云端已經(jīng)有了可以使用的內(nèi)置安全功能，我們可以利用它們來緩解風險。如今，除了網(wǎng)絡和基于主機的安全性外，我們還正在將其進一步加入到應用程序、數(shù)據(jù)層的安全和身份識別當中?！?/p>

此外，投資者預測，隨著小型特色網(wǎng)絡安全服務商不斷被合并，使用機器學習的網(wǎng)絡安全公司可能會在2020年脫穎而出。這些網(wǎng)絡安全公司所聲稱的技術能力將會受到嚴格的審查。擁有大量安全數(shù)據(jù)的公司可以將算法、分析和機器學習相結合一起，以極快的速度（幾乎在威脅發(fā)生的同時）識別并響應威脅。機器要想達到人類的管理水平，要想達到與模式匹配數(shù)據(jù)一樣出色的程度，還需要時間。

Handler說：“從首席信息安全官的角度來看，如果你能夠快速提供安全性，幫助企業(yè)達到他們的里程碑和目標，并且從一開始就將安全性納入到設計流程當中，那么你將獲得極大的成功。不過這只是一種理想狀態(tài)?！?h3>我們距目標還有多遠？

關于數(shù)字轉換中的網(wǎng)絡安全問題，Sanchez說，越來越多的企業(yè)進入到了“中間階段”，他們已經(jīng)經(jīng)歷了自動化流程，并且開始使用人工智能和預測模型。

Sanchez說：“雖然我們正走在正確的道路上，但是這并不意味著不會出現(xiàn)妥協(xié)或折中的情況?！本拖裨跀?shù)字轉換開始之前尚未集成所有的軟件開發(fā)一樣，安全性如今也是如此。所有這些現(xiàn)在都必須集中起來，但是這需要時間。”

原文網(wǎng)址

https：//www.csoonline.com/article/3512578/what-is-securitys-role-in-digital-transformation.html