在數字化轉型中，安全能發揮什么作用？

Stacy Collett

數字化轉型在兩年前就已經進入高潮，新的流程和產品的開發速度十分驚人。為了加快產品的上市速度，IT和業務部門不遺余力地追求敏捷性和DevOps，安全性則往往被他們拋在腦后。市場研究機構Gartner當時預測稱，由于安全團隊無法管理數字風險，到2020年60%的數字業務將遭遇重大服務故障。

在數字化項目中，極為重要的安全性不出意外地出現了下降，不過目前我們還難以確定其中的主要原因。市場研究機構IDC的安全研究副總裁Pete Lindstrom表示：“不管已經被曝光出來的數據泄露事件是否與數字化轉型有直接關系，企業領導者都應該重新考慮風險和相關解決方案，以便最大限度地降低風險。”

據Marsh&McLennan（威達信集團）對1500位企業高管的調查顯示，如今約有79%的全球高管將網絡攻擊和威脅列為其公司在2020年中最高級別的風險管理優先事項。總體而言，安全性在數字化轉型中的作用在設計流程的早期階段已經被意識到，并被盡早地涉及。盡管如此，首席信息安全官仍在其生態系統中努力提升各個項目的可視性。

安全挑戰：跟上發展步伐

據Altimeter最近的調查顯示，IT決策者不僅將網絡安全作為數字化轉型的首要考慮因素，而且還是其第二大投資重點（35%），僅次于云計算（37%）。如果變革性技術無法保護企業、客戶和其他重要資產的安全，那么對它們的投資將變得毫無意義。目前，開發的復雜性和速度仍是安全操作中的重大挑戰。

麻省理工學院制造與生產力實驗室執行董事兼研究科學家Abel Sanchez博士說：“這場戰斗的速度已經超過了我們的決策周期。如果你的速度緩慢，那么站在領導的角度來看你將變得無關緊要。” 他補充說，安全性和開發都需要敏捷性、靈活性和快速決策能力。

在全球能源解決方案公司施耐德電氣，網絡安全是其轉型戰略的核心。該公司的全球首席信息安全官Christophe Blassiau正在努力通過將收購行為與公司的其他行為（從研發到供應鏈再到服務）整合在一起，以提升整個公司的可視性。IT和運營技術（OT）的整合還帶來了新的連接性、數據源和潛在漏洞，為此他的團隊還必須要將公司的安全性與合作伙伴和供應商的生態系統連接起來。

Blassiau說：“我們所有的地方都沒有合適的所有權和能力，因此我們在整個公司中率先重新設計和實施了新治理體系。我并不想擴大團隊，因為安全負責會分解到所有的人身上。在這里，安全是每個人的責任。”

施耐德針對網絡安全采取了雙管齊下的方法，即創建數字網絡安全實踐，將網絡專業人員（數字風險管理人員和區域首席信息安全官）納入到了每個實踐當中，并在整個公司范圍內建立了一個由經過培訓并專注于特定網絡風險的網絡安全主管人員組成的社區。此舉讓Blassauau在數字領域獲得了“控制權”。目前公司中專門有一位負責網絡安全的主管向他和每位數字實踐執行主管匯報情況。

安全團隊也必須轉型

安全團隊面臨的挑戰仍然是如何以與數字化轉型相匹配的速度提升安全性，并確保安全性能夠覆蓋每個新的內部數字流程和外部的產品開發工作，亦或是互聯網機遇。Sanchez說，大多數解決方案都取決于IT和安全部門的文化。他警告說：“安全團隊也必須經歷轉型。”這做起來并不容易，許多員工必須要主動學習新技能，才能與業務部門實現互動。

Sanchez說，其中一些工作可以通過重組來實現。例如，在許多實踐中，測試人員正在消失，測試工作轉而由軟件工程師負責。他補充說：“有誰會比開發產品的人員更了解如何保護該產品呢？”在其他開發領域也可以這么做。

與此同時，Sanchez還指出：“你可能還需要不同的人才，亦或是對人才進行調整。這樣一來，你可能會失去很多人，但是他們必須要適應自己的崗位。你需要那種能夠進行創新并有能力運用創新的人。因為這個世界正在快速地發展。”

專門提供數字轉型服務的大型全球咨詢和托管安全服務提供商NTT的美洲地區安全部門首席執行官Matt Handler說，好消息是，整個安全團隊正變得越來越接地氣，并成為了業務的一部分，這也使得大家的關系越來越融洽。

Handler說：“安全團隊知道他們不能都處于閉門造車的狀態。他們必須要敏捷且靈活，不能成為阻礙者而應成為推動者。這一轉變在去年就已經發生了。”

Handler補充說，首席信息安全官也必須要不斷提升自己的能力，在部署應用程序或新技術的部門中承擔起內部顧問和協作者的角色。“與其拒絕，不如說‘讓我們看看如何盡快安全地做到這一點。我認為，僅此一詞就改變了首席信息安全官的角色。”

加入安全性

多年來，首席信息安全官一直在大力宣傳在設計流程之初就必須加入安全性。現在，得益于有了更多靈活的動態組件，這一理念已經變得更容易實現。Lindstrom說：“特別是在云端已經有了可以使用的內置安全功能，我們可以利用它們來緩解風險。如今，除了網絡和基于主機的安全性外，我們還正在將其進一步加入到應用程序、數據層的安全和身份識別當中。”

此外，投資者預測，隨著小型特色網絡安全服務商不斷被合并，使用機器學習的網絡安全公司可能會在2020年脫穎而出。這些網絡安全公司所聲稱的技術能力將會受到嚴格的審查。擁有大量安全數據的公司可以將算法、分析和機器學習相結合一起，以極快的速度（幾乎在威脅發生的同時）識別并響應威脅。機器要想達到人類的管理水平，要想達到與模式匹配數據一樣出色的程度，還需要時間。

Handler說：“從首席信息安全官的角度來看，如果你能夠快速提供安全性，幫助企業達到他們的里程碑和目標，并且從一開始就將安全性納入到設計流程當中，那么你將獲得極大的成功。不過這只是一種理想狀態。”

我們距目標還有多遠？

關于數字轉換中的網絡安全問題，Sanchez說，越來越多的企業進入到了“中間階段”，他們已經經歷了自動化流程，并且開始使用人工智能和預測模型。

Sanchez說：“雖然我們正走在正確的道路上，但是這并不意味著不會出現妥協或折中的情況。”就像在數字轉換開始之前尚未集成所有的軟件開發一樣，安全性如今也是如此。所有這些現在都必須集中起來，但是這需要時間。”

原文網址

https：//www.csoonline.com/article/3512578/what-is-securitys-role-in-digital-transformation.html