安全在數(shù)字化轉(zhuǎn)型中的角色解析

兩年前，數(shù)字化轉(zhuǎn)型達(dá)到一個(gè)高峰期，帶著新的流程模式和產(chǎn)品開發(fā)節(jié)奏，突破了傳統(tǒng)的速度瓶頸。隨著敏捷開發(fā)和DevOps等新的模式加速了市場(chǎng)，安全卻往往被忽略。在那個(gè)時(shí)候，Gartner就曾預(yù)言，在2020年前，會(huì)有60%的數(shù)字業(yè)務(wù)因安全團(tuán)隊(duì)無法管理數(shù)字風(fēng)險(xiǎn)而受到嚴(yán)重業(yè)務(wù)損失。

很多典型的安全問題接連出現(xiàn)，雖然很難把原因歸結(jié)于數(shù)字項(xiàng)目的轉(zhuǎn)型。IDC的安全研究副總裁Pete Lindstrom認(rèn)為，無論這些涉及范圍廣的安全泄露事件是否和數(shù)字化轉(zhuǎn)型直接相關(guān)，這些事件都引起商業(yè)上的領(lǐng)導(dǎo)者們重新思考風(fēng)險(xiǎn)和解決方案，試圖將風(fēng)險(xiǎn)最小化。

基于Marsh & Mclennan對(duì)1,500名執(zhí)行官級(jí)別的人的調(diào)研，全球大約有79%的執(zhí)行官級(jí)別的人，將網(wǎng)絡(luò)攻擊和威脅排在2020年組織最優(yōu)先的安全管理項(xiàng)目之一。總體而言，安全在數(shù)字化轉(zhuǎn)型中的角色已經(jīng)在意識(shí)和早期設(shè)計(jì)流程中的影響，兩個(gè)方面得到了改進(jìn)，但CISO們依然在設(shè)法解決自身生態(tài)系統(tǒng)中項(xiàng)目的可視化范圍。

安全挑戰(zhàn)：緊跟節(jié)奏，而風(fēng)險(xiǎn)更多

根據(jù)最近Altimeter的調(diào)研，IT決策人員不只是將安全作為他們?cè)跀?shù)字化轉(zhuǎn)型過程中最需要考慮的東西之一，同時(shí)也是他們投資優(yōu)先級(jí)第二高的項(xiàng)目（35%），僅次于云技術(shù)（37%）。數(shù)字化轉(zhuǎn)型技術(shù)一旦無法保護(hù)業(yè)務(wù)、客戶或者其他關(guān)鍵資產(chǎn)，就會(huì)變得毫無意義；另外，開發(fā)的復(fù)雜性與速度在最大規(guī)模的安全運(yùn)營(yíng)中依然是一大挑戰(zhàn)。

麻省理工大學(xué)的執(zhí)行主任兼制造和生產(chǎn)效率實(shí)驗(yàn)室研究員Abel Sanchez博士認(rèn)為，安全層面的戰(zhàn)爭(zhēng)要比現(xiàn)在的決策周期節(jié)奏更快，因此一旦速度慢下來，就會(huì)難以維持一個(gè)領(lǐng)導(dǎo)層視角。他同時(shí)還表示，敏捷、靈活性、快速?zèng)Q策在安全和開發(fā)當(dāng)中都是必須的三要素。

安全領(lǐng)袖們還需要對(duì)數(shù)字化轉(zhuǎn)型過程中帶來的新風(fēng)險(xiǎn)做好準(zhǔn)備。根據(jù)Ponemon的《數(shù)字轉(zhuǎn)型與網(wǎng)絡(luò)風(fēng)險(xiǎn)》報(bào)告，82%的IT安全與執(zhí)行級(jí)別的受訪者認(rèn)為，他們因?yàn)閿?shù)字化轉(zhuǎn)型至少經(jīng)歷了一次數(shù)據(jù)泄露事件。

企業(yè)風(fēng)險(xiǎn)增多的一個(gè)原因在于企業(yè)越來越多地依賴于第三方——55%的受訪者認(rèn)為他們的第三方伙伴至少需要為他們其中的一次泄露事件負(fù)責(zé)。除了第三方問題之外，58%的受訪者表示他們?nèi)狈σ粋€(gè)第三方風(fēng)險(xiǎn)管理項(xiàng)目；56%的執(zhí)行官認(rèn)為他們很難知道第三方合作者是否有相關(guān)政策，來確保他們信息的安全性。

而最主要的原因，應(yīng)該是安全和執(zhí)行官團(tuán)隊(duì)之間的不協(xié)同——只有16%的受訪者表示他們的IT和業(yè)務(wù)完全匹配。

安全團(tuán)隊(duì)也需要改變

安全團(tuán)隊(duì)的挑戰(zhàn)，依然在于如何在數(shù)字化轉(zhuǎn)型的速度之下提升安全性，同時(shí)確保安全貫穿每個(gè)新的內(nèi)部數(shù)字流程，以及外部開發(fā)的產(chǎn)品或者相關(guān)互聯(lián)網(wǎng)機(jī)遇。許多解決方案最終落到IT和安全部門的文化之中。Sanchez博士認(rèn)為，安全團(tuán)隊(duì)也需要隨著數(shù)字化轉(zhuǎn)型發(fā)生改變，而這并不容易；許多相關(guān)人員必須愿意學(xué)習(xí)新的技術(shù)，從而在企業(yè)中建立新的交互工作。

Sanchez博士認(rèn)為，這些改變的一部分可以通過重架構(gòu)解決。比如對(duì)于許多環(huán)節(jié)，測(cè)試人員將不必要，而測(cè)試工作則可以由軟件工程師自己完成。在他看來，沒有人比產(chǎn)品的創(chuàng)建者更了解如何保護(hù)一個(gè)產(chǎn)品。

另外，安全人員還需要不同的才能，或者需要改變一些自己現(xiàn)有的才能。在這個(gè)過程中，一些員工可能會(huì)被淘汰；但如果員工必須去適應(yīng)這種高速的變化。安全團(tuán)隊(duì)需要的，是哪些能真正做出創(chuàng)新并將其引入工作中的人。

不過全球資訊和安全管理服務(wù)廠商NTT的美國(guó)分公司CEO Matt Handler認(rèn)為，對(duì)于安全團(tuán)隊(duì)來說，也有一個(gè)好消息：安全團(tuán)隊(duì)正在逐漸成為業(yè)務(wù)的一部分，和其他相關(guān)團(tuán)隊(duì)的關(guān)系在逐漸改善。

他表示：“安全團(tuán)隊(duì)正在明白，他們不能成為一個(gè)總是只會(huì)說‘不’的部門。他們需要變得更敏捷、靈活，同時(shí)成為賦能者，而非一個(gè)阻礙者?！?/p>

這一過程當(dāng)然也需要CISO的參與。CISO們要成為一名內(nèi)部的顧問，并且成為那些使用新應(yīng)用和技術(shù)部門的協(xié)作者。CISO們首先要改變自己的思路：不再說“不”，而是試著和其他部門一起探討如何能更快速，且安全地落地新的技術(shù)和應(yīng)用。

將安全融入企業(yè)

CISO們已經(jīng)說了好幾年，要將安全加入每個(gè)設(shè)計(jì)的開始階段。如今，由于更迅捷和動(dòng)態(tài)的組件，這個(gè)目標(biāo)能更容易實(shí)現(xiàn)了。Lindstrom提到：“依靠?jī)?nèi)置的安全功能，尤其是云環(huán)境的能力，我們現(xiàn)在有更多方式解決風(fēng)險(xiǎn)。另外，我們也在逐漸從網(wǎng)絡(luò)和主機(jī)安全，轉(zhuǎn)向應(yīng)用安全、數(shù)據(jù)層面安全、身份安全等?！?/p>

另一方面，投資者預(yù)測(cè)，使用機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全公司在2020年會(huì)有很大發(fā)展；不同的小領(lǐng)域網(wǎng)絡(luò)安全廠商會(huì)合并到一起，但同時(shí)他們也會(huì)受到更嚴(yán)格的檢查，確定他們的產(chǎn)品確有宣傳中的效果。擁有海量安全數(shù)據(jù)的公司能夠合并算法、分析能力和機(jī)器學(xué)習(xí)能力，快速識(shí)別威脅并響應(yīng)。機(jī)器只有在人類的管理下才能有最佳效果，同時(shí)還需要花時(shí)間累積大量的相關(guān)數(shù)據(jù)。

在Handler看來，從一個(gè)CISO角度，如果有能力同時(shí)確保安全性和速度，同時(shí)幫助企業(yè)完成自己的里程碑和目標(biāo)，那安全自然就能從一開始就融入流程之中——不過，要達(dá)到這個(gè)目標(biāo)尚需時(shí)日。

我們還有多遠(yuǎn)？

Sanchez博士認(rèn)為，在將網(wǎng)絡(luò)安全融入數(shù)字化轉(zhuǎn)型的路上，很多企業(yè)只是“剛過半途”。他們已經(jīng)使用了自動(dòng)化技術(shù)，并準(zhǔn)備開始考慮人工智能以及預(yù)測(cè)模型。

“我們已經(jīng)上了正軌，但這不代表我們的防線牢不可破?！盨anchez博士說到，“就像在數(shù)字化轉(zhuǎn)型前，軟件開發(fā)并未被完全集成到整個(gè)企業(yè)的業(yè)務(wù)環(huán)境中而現(xiàn)在卻做到了一樣，安全也會(huì)面臨同樣的發(fā)展。最終，業(yè)務(wù)、開發(fā)和安全都會(huì)合到一起，只是需要一些時(shí)間。”