数字化转型涉及数字化流程与服务,旨在保证企业更灵活且更高效地实现运作,从而改善客户服务交付以及供应链合作伙伴关系。营销团队希望借此改变产品的推广方式,人力资源部门希望借此提升招聘率,而IT团队则希望借此对在线服务进行持续迭代。
要启动数字化转型项目,企业首先需要立足规划与战略阶段将人员、流程与技术结合在一起,并考量数据分析、物联网、移动以及社交等技术能否/怎样以这种方式发挥作用。然而,通过目前的情况来看,很多人认为安全实际上被排除在了关注甚至是考量范畴之外。
低安全性数字化转型将增加风险水平
随着敏捷与DevOps等IT与商务快速市场发展计划的出现,安全角色被限制在事后分析风险及安全性相关连锁影响的范畴之内。简而言之,数字化转型的根源在于为客户(或者其他同类对象)提供价值,而很少考虑对核心安全功能产生的影响。
然而,数据泄露事件与安全漏洞的快速增加,使得一部分从业者认为低安全性数字化转型将导致企业面临更高的风险水平。Gartner公司最近作出预测,指出由于安全团队无法切实管理数字化风险,到2020年将有60%的数字业务遭遇重大服务事故。
Gartner公司在报告中指出,“数字化业务以远超传统业务的速度迅猛发展,这意味着专为最大限度实现控制而设计的固有安全方法将不再适用于数字创新这一全新时代。”
安全保障是否落后于数字化转型?
现有数字化转型项目之所以经常遭遇失败,往往是因为其过晚甚至根本没有考虑到安全问题。戴尔与Dimensional Research联合发布的研究结果表明,产生这种结果的主要原因之一,在于企业管理者担心自身数字化转型工作可能受到安全团队干预工作的阻碍或拖延。
已经有迹象表明,这一问题正在得到持续缓解。记录安全违规事件数量、物联网软件bug以及将安全引入设计层面等趋势(更不用提欧盟发布的通用数据保护条例)已经引发了广泛关注。CCS Insight公司企业研究实践负责人Nick McQuire指出,“目前,我们看到安全已经成为各类组织与CIO所面临的核心议题。”
McQuire解释称,“根据我们对美国及欧洲的调查结果来看,超过七成的企业表壳其安全预算正在增加; 亦有近半数受访者表示他们可能会在未来几年之内遭遇网络攻击。数据安全已经成为投资工作中的首要方向,特别是考虑到数字化工作环境与移动应用程序的广泛普及背景。面对这一严重阻碍数字化转型策略的挑战,如今的安全工作已经成为一项关键性技术事务,甚至应被视为业务流程中的组成部分。”
通过与众多企业进行交流,我的体会是他们仍然没有将安全保密视为数字化转型工作中的主要组成部分。——Jack Gold
但也有人对此种观点表示反对。J. Gold Associates有限公司创始人兼首席分析师Jack Gold表示,“通过与众多企业进行交流,我的体会是他们仍然没有将安全保密视为数字化转型工作中的主要组成部分。”
在他看来,很多CEO虽然明白安全的重要意义,但却无法将来自不同供应商的众多解决方案与安全联系起来,并真正拿出可行的处理办法。Gold强调称,“这样的组合工作确实难度极大。”
McQuire坦言,企业很难跟上技术的快速发展步伐。“许多公司根本无法跟上快速的技术变革。目前威胁前景正在转变,恶意软件、勒索软件以及网络钓鱼攻击都在我们眼前迅猛发展。GDPR的出现引发了重大的监管变革,增加了新的压力,并导致现有安全及隐私流程还比较薄弱的企业面临着严格的约束甚至罚款处理。”
McQuire同时补充称,“此外,大多数企业还普遍缺少安全技术人才。也有不少公司使用的是复杂的传统安全技术网络,随着员工越来越多地以混合方式将设备与云应用引入工作信息访问流程,这些技术将无法提供全面的保护能力。当然,这同时意味着安全市场将迎来蓬勃的发展——正因为如此,云访问安全保护、用户行为分析与机器学习、身份即服务、多因素身份验证以及移动威胁防护等新型安全技术正在迅速崛起。这些技术代表着现代安全堆栈中的新层面,并将为将更多数据存放于企业外部的客户提供保障。”
安全将在数字化转型当中扮演怎样的角色?
数字化转型分为多个阶段,但目前尚不清楚我们应该如何更自然地将安全因素引入哪些位置。Altimeter Group提出了六阶段理论,即原有(陈旧)、现有且活跃(初步创新)、正式(扩展)策略(企业内全面协作)、融合(建立专项数字化转型团队)以及创新与适应(将数字化转型视为新的常态)等阶段。目前人们尚在争论安全因素到底该被贯彻至各个阶段当中,还是至少应被引入后续几个阶段。
就目前来看,CISO正努力加入数字化转型的运作流程。举例来说,在去年年底的一次会议当中,来自洛杉矶的CISO Timothy Lee就表示,将CISO角色引入数字化转型流程也许能帮助企业适应快速发展的全球市场。Lee指出,“我们的工作不仅仅是管理机遇与风险,我们的角色也正在由网络捍卫者转化为业务推动者,而这种转化也正是数字化转型的基础之一。”
与此同时,施乐公司CISO Alissa Johnson(曾任美国白宫副CIO)也表示,CISO们需要“将安全引入设计工作的开端阶段”。但考虑到可能由此给创新工作带来的负面影响,CISO往往会“阻碍企业提升竞争优势并改善市场地位的努力”。
在上周的CSO50大会上,National Oilwell Varco公司CIO兼CISO Alex Phillips对自己的数字化安全基础设施思考作出了阐述,他强调称这方面工作需要借助可信赖的合作伙伴的有力支持,并逐步推动相关流程。Gold也抱有相同的观点,即安全升级的过程必然伴随着CISO自身角色的转变——而非单纯充当其他部门的服务供应者。
对于各位CISO或者肩负类似职务的人群而言,确保所在组织采用新的商业模式以及新型技术成果已经成为一种新的规范,同时也是对CISO角色的基本要求。——Doug Copley
曾任CISO兼首席隐私官的Doug Copley目前为Duo Security公司的首席分析师。在谈到数字化转型困境时,他表示CISO们将不得不在文化与技术层面对信息时代下以IaaS、微服务以及API为主体的趋势性变化作出回应。“对于各位CISO或者肩负类似职务的人群而言,确保所在组织采用新的商业模式以及新型技术成果已经成为一种新的规范,同时也是对CISO角色的基本要求。”
在安全阶段讨论方面,McQuire认为应从起步阶段即充分考虑安全保障的需求。他解释称,“安全工作应该被视为所有数字化转型计划的最前沿。在理想情况下,我们应在起步阶段即将其引入规划与设计流程。我看到不少项目正是由于未能充分考虑到安全性或者相关原则的重要性,而被迫延迟甚至彻底叫停。当安全团队最终被迫介入时,整个项目中的各个组成部分可能都已经存在问题。确保安全性是企业数字化转型工作中的固有组成部分……且应从起步阶段即得到重视……只有这样,项目才有可能在快速投放市场的同时带来长期成功。”
数字化转型是否需要新的安全解决方案?
因此,在数字化时代之下,我们需要将安全性视为必要的预防性手段。也正因为如此,McQuire才强调应该使用新的技术手段以加强安全性水平。他指出,“随着边界的消失,对安全性的要求也在不断变化。根据我们观察到的情况,客户的关注重点正在转移。此类客户能够拥有复杂的防御安全产品组合,但这些产品在多数情况下彼此无法对接,因此需要一套集成化程度更高且更为完整的安全平台,从而切实实现检测与响应能力。”
McQuire继续补充道,“这种面向防御、检测与响应的保护思路转变,主要是为了实现跨基础设施——包括跨设备、网络以及应用程序——的可见性,且无论立足内部环境抑或云端。这是一种巨大的变化,且要求企业必须能够在更为广泛的攻击面上检测到威胁,同时以远超以往的速度作出响应,从而避免名誉损害及合规性风险。正因为如此,我们才看到安全市场正根据新时代下的重塑需求出现众多合并与收购活动。现代安全技术将寿命企业客户建立起真正适合移动与云计算时代要求的安全架构,并充分满足GDPR背景下的数据合规性约束。”
如果您的企业正处于数字化转型过程当中,但未能考虑到安全性因素,那么结果必然是失败。没有数字性,数字化转型将无从谈起。——Jack Gold
Gold认为,人工智能的潜在应用将能够实现“松散系统”的整合工作,带来对网络的新见解,最终“在大海中捞起细针”。他解释称,“新技术的引入不仅是为了实现数字化转型,同时也是为了帮助CISO真正实现新的安全模式。”
最后,这位分析师表示,高管团队中也必须引入一名负责数字化转型的领导者(负责安全工作)。其需要拥有相应资源,而后在企业内部宣传安全保障工作的重要性。如果您的企业正处于数字化转型过程当中,但未能考虑到安全性因素,那么结果必然是失败。没有数字性,数字化转型将无从谈起。”
本文翻译自CSOOnline
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
