數字轉型中收益與風險共存

■ 山東 李文竹 趙長林

編者按：很多企業都正經歷數字轉型，但數字轉型在為企業帶來收益的同時還存在安全風險，企業必須重視這些風險問題，并做出應對，才能立于不敗之地。

數字技術已從根本上改變了企業處理業務的方式。移動訪問、高級分析、云計算等增加了運營的靈活性，又促進了收入的增長。因此，企業在數字技術上花費了大量資金用于數字技術來保護自己。數字轉型的好處在范圍和規模上是沒有限制的，但是數字轉型也給企業和安全團隊帶來了新的風險。

擴展的基礎架構和增加的復雜性

云、移動互聯、物聯網等新技術已經劇烈影響了變化周期。以前需要幾年時間才能實施的東西在如今只需幾個月、幾星期甚至幾天時間。然而，每一種新技術都會使復雜性劇增，從而引起故障，甚至增加企業的攻擊面。

企業不斷擴增的基礎架構可能存在弱點，如開放的端口、漏洞、弱證書或到期證書。這些弱點存在于企業已知的基礎設施中，但也會擴展到影子IT設施，也就是在IT部門管理之外的項目和軟件，這些可能并不為安全團隊所知。而攻擊面越來越難以可靠確認，更別說減少了。

“第三方”帶來的挑戰

很多企業都經歷過由“第三方”帶來的數據泄露事件。美國國家標準與技術研究院（NIST）甚至認為第三方為首要的風險源，部分原因就在于糟糕的安全實踐。所以，企業又能如何確信在業務運營中發揮關鍵作用的供應商和分包商能夠充分保護自己的敏感數據？

企業可以用多種方法提升第三方的風險意識：教育內部的利益相關者要正確地管理第三方風險；要在合同上通過面向外部系統的獨立檢查來強化第三方的安全業績期望；要在一個中心數據庫中跟蹤第三方的風險；要基于已知的長處和弱點來調整方法。

但即使上述全部措施也未必能充分保護企業的敏感數據：企業應當假設其信息已經泄露，并采取措施檢測和修復損失。

網絡犯罪“數字化”

隨著第三方生態系統的發展，越來越多的數據被存儲在云端，企業的敏感數據頻繁地被泄露。洞悉這一切的網絡犯罪分子充分利用這種“意外收獲”的數據泄露，利用機密憑據竊取賬戶或知識產權，實施針對企業的間諜活動。

然而，網絡犯罪分子已經注意并找到了利用企業數字變革努力的方法。一旦公司或銀行提供了一個新的改進訪問性和效率的移動APP，網絡犯罪分子很快就開發出一種適合其需要的操縱方法。

為防護這些威脅，企業需要找到檢測數據泄露的新方法，以保障其在網絡上的品牌，并減少攻

【】【】

擊面。

問幾個適當的問題

數字技術使得企業更靈活、增加盈利和更好地響應顧客。但數字化是一個持續的過程，并且需要花費時間和精力。最終，為全面地從這些革新性的數字實踐和工具中獲益，同時還要確保網絡安全，企業必須準備不斷地計劃并持續協作，從而增加自身和第三方數字化實踐的透明性。為減少這種數字風險，企業管理者不妨尋求以下三個問題的答案。

首先，誰負責管理數字風險？我們僅僅依靠CISO或風險僅僅局限于某個領域嗎？其次，我們要將數字風險管理從公司擴展到合作伙伴和廠商的生態系統嗎？企業部署哪些工具才能檢測和減少傳統邊界之外的風險呢？第三，企業的CISO能否解決企業風險中的安全問題？企業是否根據業務風險來衡量安全團隊的成功？

隨著企業數字化的進一步擴展，外圍將繼續削弱，但是，有了適當的風險保護策略，任何企業都可能在數字轉型時代獲得成功。