安全在企業(yè)數(shù)字化轉型中的作用

Doug Drinkwater

數(shù)字化轉型（DX）指將處理流程和服務數(shù)字化讓業(yè)務更為靈活，運營更為高效，涵蓋了從為客戶提供服務到與供應鏈合作伙伴共同改進流程等方方面面。營銷團隊想要改變產品的推廣方式，人力資源部門希望提升人員招聘質量，IT團隊則想要迅速迭代在線服務。

為了啟動DX項目，企業(yè)需要在設計和策劃階段將人員、程序和技術集中起來，讓他們知道數(shù)據(jù)分析、物聯(lián)網、移動和社交等技術將在何處發(fā)揮重要作用，然而信息安全卻經常被排除在計劃之外。

缺乏安全性的數(shù)字化轉型將使風險激增

IT和業(yè)務快速追蹤方案將重點放在敏捷性和DevOps上以加快上市速度，而安全性的作用則被局限在了發(fā)生重大風險和安全問題之后回答各種疑問上。簡而言之，數(shù)字化轉型的根本目的是向客戶提供價值，幾乎沒有考慮對核心安全功能造成的影響。

數(shù)據(jù)泄露事件和漏洞數(shù)量的增長讓部分人意識到缺少安全性的數(shù)字化轉型將導致企業(yè)面臨更大的風險。市場研究公司Gartner近期預測，由于安全團隊無法管理數(shù)字化風險，這導致到2020年60%的數(shù)字化公司將遭遇重大的服務故障。

Gartner 在報告中指出“與傳統(tǒng)業(yè)務相比，數(shù)字化業(yè)務的發(fā)展步伐更快。針對最大控制權而設計的傳統(tǒng)安全方案在數(shù)字化創(chuàng)新的新時代中將不再起作用。”

在數(shù)字化轉型過程中安全性是否被忽視？

目前許多DX項目都失敗了，因為他們關注安全性的時機過晚，或是根本沒有關注安全性。戴爾和市場研究公司Dimensional Research的研究報告認為上述情況屬實，在眾多原因中，最主要的原因是企業(yè)主管害怕安全團隊的介入會阻止或妨礙他們的數(shù)字化轉型。

細微的跡象顯示這種趨勢正在發(fā)生變化。屢創(chuàng)新高的數(shù)據(jù)泄露事件數(shù)量、存在漏洞的物聯(lián)網軟件、受到歐盟通用數(shù)據(jù)保護規(guī)定GDPR支持的設計安全運動正使安全性受到越來越多的關注。CCS Insight分析師Nick McQuire稱：“今天，我們正看到安全性已經成為了所有機構和首領信息官們的首要議題。”

McQuire 稱：“我們在美國和歐洲調查發(fā)現(xiàn)，超過70%的公司表示他們正在增加安全預算，近半數(shù)的受訪者認為他們在未來幾年將會受到網絡攻擊。對于數(shù)字化工作場所來說，數(shù)據(jù)安全為最高級的優(yōu)先投資項目，其面臨的最大挑戰(zhàn)是大量涌現(xiàn)的移動應用，而這些移動應用往往是數(shù)字化轉型策略的先鋒。現(xiàn)在的變化是，安全性不僅僅是關鍵的技術優(yōu)先項目，同時在業(yè)務上也是優(yōu)先項目。”

不過，這一觀點并未被所有人認可。市場研究公司J.Gold Associates LLC創(chuàng)始人兼首席分析師Jack Gold稱：“以我與許多企業(yè)的談話經驗看，他們只是口頭上認為安全性重要，但并沒有把安全性作為數(shù)字化轉型進程的重要部分。”

他指出，對于首席執(zhí)行官來說，雖然他們知道安全性重要，但并不清楚安全性意味著什么，也不清楚來自不同廠商的各種解決方案在技術上的“拼接”意味著什么。“將它們整合在一起真的十分困難。” Gold說。

McQuire承認許多企業(yè)正在努力跟上技術發(fā)展的步伐。“許多企業(yè)無法跟上技術的快速發(fā)展。威脅正在發(fā)生變化，我們面對的惡意軟件、勒索軟件和釣魚攻擊正全面快速增長。GDPR也帶來了重大的監(jiān)管變化，給那些在安全和隱私程序上存在疏漏的企業(yè)施加了新的壓力，讓他們承擔起相應的經濟責任。”

他補充稱，“我們常常將這種情況與缺乏安全人才聯(lián)系在一起，但是事實是大部分人才正運維著由老舊安全技術組成的繁雜網絡，而這些技術根本無法正確地將網絡與那些使用移動設備和云應用訪問工作信息的員工安全隔離。我們擁有一個正日益興盛的安全市場。這也是為什么云訪問安全、用戶行為分析與機器學習、身份即服務、多重身份驗證、移動威脅防御等新安全技術興起的原因。這些新技術代表著現(xiàn)代安全堆棧中的一個新層，它們要對企業(yè)提供安全保護，確保流轉在企業(yè)以外的數(shù)據(jù)的安全。”

安全性在數(shù)字化轉型中的作用是什么？

DX有許多階段，目前還不清楚安全最適合哪個階段。市場研究公司Altimeter Group將業(yè)務分為六個階段：像平常一樣（一成不變）、積極主動（一些小創(chuàng)新）、形成定式（向外擴展）、成為企業(yè)戰(zhàn)略（開始廣泛的業(yè)務合作）、匯聚（專業(yè)的DX團隊）、創(chuàng)新與適應（數(shù)字化轉型成為新常態(tài)）。安全應當涉及所有階段還是后面幾個階段，目前尚待商榷。

首席信息安全官目前正嘗試著讓安全貫穿整個DX過程。在去年年底召開的一個會議上，美國洛杉磯市首席信息安全官TimothyLee表示許多首席信息安全官已經相信數(shù)字化轉型能夠幫助企業(yè)適應迅速發(fā)展的全球市場。他稱：“我們的工作并不僅僅是管理機遇和風險，如今我們的角色正在發(fā)生改變，讓網絡安全成為業(yè)務的推動力，使其成為數(shù)字化轉型基礎的一部分。”

與此同時，施樂的首席信息安全官Alissa Johnson（前白宮副首席信息官）也表示首席信息安全官需要在“設計程序之初就要考慮安全性”。

在不久前召開的CSO50會議上，美國國民油井華高公司（NOV）首席信息官兼首席信息安全官Alex Phillips闡述了他們是如何與值得信任的合作伙伴重新考慮針對數(shù)字化的安全基礎設施，以及每個環(huán)節(jié)步驟的。他與Gold的觀點一致，即安全部門自身也需要轉型，不應僅僅作為一個服務提供者。

Duo Security公司的首席分析師Doug Copley建議首席信息安全官們在文化和技術上對IaaS、微服務和API主導的信息時代中的新“模塊”做出響應。“對于擔任首席信息安全官和類似職務的人員來說，讓企業(yè)適應新的業(yè)務模式和新技術是一種新常態(tài)，也是這一崗位的基本要求。” Copley此前曾經擔任過該公司的首席信息安全官兼首席隱私官。

在對于安全性應當在哪個階段被考慮的討論中，McQuire認為從最開始就應當考慮。他指出，“安全性應當位于數(shù)字化轉型方案的最前端，理想狀態(tài)下應當位于最初的規(guī)劃和設計階段。我經常看到一些項目要么推遲，要么倉促執(zhí)行，原因就是在最初的設計時就沒有考慮到安全性，或是在一開始就沒有確立正確的原則。因此當安全團隊最終介入時整個項目已經處于危險狀態(tài)。我發(fā)現(xiàn)那些在一開始就將安全性作為數(shù)字轉型當中的一部分的企業(yè)不僅在長時間的運營中取得了成功，而且在當今的大環(huán)境中能夠更加迅速的進入市場。”

數(shù)字轉型需要新的安全方案嗎？

在調查中，安全性在當前的數(shù)字化時代更多地被視為干擾因素，這一點也不奇怪。McQuire認為需要新的技術來提供安全性。“隨著邊界的消失，安全需求也在發(fā)生變化。我們看到，以往的關注點為客戶已有的復雜且龐大的防御性安全產品，在許多情況下這些產品不會互相溝通。現(xiàn)在關注點已經轉變成了對完整的綜合性安全平臺的需求，這些平臺能夠檢測威脅并做出響應。”

McQuire 稱，“在整個基礎設施（涵蓋本地和云端上的設備、網絡和應用）中實現(xiàn)可見性的需求有力地推動了從單純的防御向防御、檢測和響應的轉變。這是一個重大的變化，因為企業(yè)需要能夠在更為廣闊的攻擊面上發(fā)現(xiàn)威脅并以前所未有的速度做出響應，以避免名譽受損和合規(guī)風險。這也是隨著安全市場進入一個新的時代，我們?yōu)槭裁纯吹皆谶^去幾年當中市場上安全分類出現(xiàn)合并以及并購行為出現(xiàn)增長的原因。現(xiàn)代化的安全技術能夠幫助企業(yè)建立起適合移動和云計算時代的安全架構，以及符合GDPR數(shù)據(jù)安全規(guī)范的新時代安全架構。”

Gold認為人工智能有可能會將 “松散的系統(tǒng)”整合起來，在網絡方面提供新的洞察力，讓“大海撈針”成為可能。他稱，“新技術不僅是數(shù)字化轉型所需要的，它們還能夠讓首席信息官們執(zhí)行新的安全模式。”

最后，他表示團隊中負責數(shù)字化轉型的主管必須要能夠帶來安全性（或讓團隊成員能夠帶來安全性），并且擁有充足的資源能夠讓企業(yè)知道為什么安全性這么重要。“如果企業(yè)在數(shù)字化轉型過程中沒有考慮到安全性，那么轉型將會失敗。沒有安全性，數(shù)字化轉型也就沒有什么意義了。”

Doug Drinkwater為美國國際數(shù)據(jù)集團（IDG）歐洲、中東和非洲（EMEA）內容總監(jiān)。

原文網址

https：//www.csoonline.com/article/3260637/security/what-is-securitys-role-in-digital-transformation.html