Doug Drinkwater

數(shù)字化轉(zhuǎn)型（DX）指將處理流程和服務(wù)數(shù)字化讓業(yè)務(wù)更為靈活，運(yùn)營更為高效，涵蓋了從為客戶提供服務(wù)到與供應(yīng)鏈合作伙伴共同改進(jìn)流程等方方面面。營銷團(tuán)隊(duì)想要改變產(chǎn)品的推廣方式，人力資源部門希望提升人員招聘質(zhì)量，IT團(tuán)隊(duì)則想要迅速迭代在線服務(wù)。

為了啟動(dòng)DX項(xiàng)目，企業(yè)需要在設(shè)計(jì)和策劃階段將人員、程序和技術(shù)集中起來，讓他們知道數(shù)據(jù)分析、物聯(lián)網(wǎng)、移動(dòng)和社交等技術(shù)將在何處發(fā)揮重要作用，然而信息安全卻經(jīng)常被排除在計(jì)劃之外。

缺乏安全性的數(shù)字化轉(zhuǎn)型將使風(fēng)險(xiǎn)激增

IT和業(yè)務(wù)快速追蹤方案將重點(diǎn)放在敏捷性和DevOps上以加快上市速度，而安全性的作用則被局限在了發(fā)生重大風(fēng)險(xiǎn)和安全問題之后回答各種疑問上。簡而言之，數(shù)字化轉(zhuǎn)型的根本目的是向客戶提供價(jià)值，幾乎沒有考慮對核心安全功能造成的影響。

數(shù)據(jù)泄露事件和漏洞數(shù)量的增長讓部分人意識到缺少安全性的數(shù)字化轉(zhuǎn)型將導(dǎo)致企業(yè)面臨更大的風(fēng)險(xiǎn)。市場研究公司Gartner近期預(yù)測，由于安全團(tuán)隊(duì)無法管理數(shù)字化風(fēng)險(xiǎn)，這導(dǎo)致到2020年60%的數(shù)字化公司將遭遇重大的服務(wù)故障。

Gartner 在報(bào)告中指出“與傳統(tǒng)業(yè)務(wù)相比，數(shù)字化業(yè)務(wù)的發(fā)展步伐更快。針對最大控制權(quán)而設(shè)計(jì)的傳統(tǒng)安全方案在數(shù)字化創(chuàng)新的新時(shí)代中將不再起作用?！?/p>

在數(shù)字化轉(zhuǎn)型過程中安全性是否被忽視？

目前許多DX項(xiàng)目都失敗了，因?yàn)樗麄冴P(guān)注安全性的時(shí)機(jī)過晚，或是根本沒有關(guān)注安全性。戴爾和市場研究公司Dimensional Research的研究報(bào)告認(rèn)為上述情況屬實(shí)，在眾多原因中，最主要的原因是企業(yè)主管害怕安全團(tuán)隊(duì)的介入會(huì)阻止或妨礙他們的數(shù)字化轉(zhuǎn)型。

細(xì)微的跡象顯示這種趨勢正在發(fā)生變化。屢創(chuàng)新高的數(shù)據(jù)泄露事件數(shù)量、存在漏洞的物聯(lián)網(wǎng)軟件、受到歐盟通用數(shù)據(jù)保護(hù)規(guī)定GDPR支持的設(shè)計(jì)安全運(yùn)動(dòng)正使安全性受到越來越多的關(guān)注。CCS Insight分析師Nick McQuire稱：“今天，我們正看到安全性已經(jīng)成為了所有機(jī)構(gòu)和首領(lǐng)信息官們的首要議題?！?/p>

McQuire 稱：“我們在美國和歐洲調(diào)查發(fā)現(xiàn)，超過70%的公司表示他們正在增加安全預(yù)算，近半數(shù)的受訪者認(rèn)為他們在未來幾年將會(huì)受到網(wǎng)絡(luò)攻擊。對于數(shù)字化工作場所來說，數(shù)據(jù)安全為最高級的優(yōu)先投資項(xiàng)目，其面臨的最大挑戰(zhàn)是大量涌現(xiàn)的移動(dòng)應(yīng)用，而這些移動(dòng)應(yīng)用往往是數(shù)字化轉(zhuǎn)型策略的先鋒?，F(xiàn)在的變化是，安全性不僅僅是關(guān)鍵的技術(shù)優(yōu)先項(xiàng)目，同時(shí)在業(yè)務(wù)上也是優(yōu)先項(xiàng)目?！?/p>

不過，這一觀點(diǎn)并未被所有人認(rèn)可。市場研究公司J.Gold Associates LLC創(chuàng)始人兼首席分析師Jack Gold稱：“以我與許多企業(yè)的談話經(jīng)驗(yàn)看，他們只是口頭上認(rèn)為安全性重要，但并沒有把安全性作為數(shù)字化轉(zhuǎn)型進(jìn)程的重要部分?！?/p>

他指出，對于首席執(zhí)行官來說，雖然他們知道安全性重要，但并不清楚安全性意味著什么，也不清楚來自不同廠商的各種解決方案在技術(shù)上的“拼接”意味著什么?！皩⑺鼈冋显谝黄鹫娴氖掷щy?！?Gold說。

McQuire承認(rèn)許多企業(yè)正在努力跟上技術(shù)發(fā)展的步伐。“許多企業(yè)無法跟上技術(shù)的快速發(fā)展。威脅正在發(fā)生變化，我們面對的惡意軟件、勒索軟件和釣魚攻擊正全面快速增長。GDPR也帶來了重大的監(jiān)管變化，給那些在安全和隱私程序上存在疏漏的企業(yè)施加了新的壓力，讓他們承擔(dān)起相應(yīng)的經(jīng)濟(jì)責(zé)任?！?/p>

他補(bǔ)充稱，“我們常常將這種情況與缺乏安全人才聯(lián)系在一起，但是事實(shí)是大部分人才正運(yùn)維著由老舊安全技術(shù)組成的繁雜網(wǎng)絡(luò)，而這些技術(shù)根本無法正確地將網(wǎng)絡(luò)與那些使用移動(dòng)設(shè)備和云應(yīng)用訪問工作信息的員工安全隔離。我們擁有一個(gè)正日益興盛的安全市場。這也是為什么云訪問安全、用戶行為分析與機(jī)器學(xué)習(xí)、身份即服務(wù)、多重身份驗(yàn)證、移動(dòng)威脅防御等新安全技術(shù)興起的原因。這些新技術(shù)代表著現(xiàn)代安全堆棧中的一個(gè)新層，它們要對企業(yè)提供安全保護(hù)，確保流轉(zhuǎn)在企業(yè)以外的數(shù)據(jù)的安全?！?/p>

安全性在數(shù)字化轉(zhuǎn)型中的作用是什么？

DX有許多階段，目前還不清楚安全最適合哪個(gè)階段。市場研究公司Altimeter Group將業(yè)務(wù)分為六個(gè)階段：像平常一樣（一成不變）、積極主動(dòng)（一些小創(chuàng)新）、形成定式（向外擴(kuò)展）、成為企業(yè)戰(zhàn)略（開始廣泛的業(yè)務(wù)合作）、匯聚（專業(yè)的DX團(tuán)隊(duì)）、創(chuàng)新與適應(yīng)（數(shù)字化轉(zhuǎn)型成為新常態(tài)）。安全應(yīng)當(dāng)涉及所有階段還是后面幾個(gè)階段，目前尚待商榷。

首席信息安全官目前正嘗試著讓安全貫穿整個(gè)DX過程。在去年年底召開的一個(gè)會(huì)議上，美國洛杉磯市首席信息安全官TimothyLee表示許多首席信息安全官已經(jīng)相信數(shù)字化轉(zhuǎn)型能夠幫助企業(yè)適應(yīng)迅速發(fā)展的全球市場。他稱：“我們的工作并不僅僅是管理機(jī)遇和風(fēng)險(xiǎn)，如今我們的角色正在發(fā)生改變，讓網(wǎng)絡(luò)安全成為業(yè)務(wù)的推動(dòng)力，使其成為數(shù)字化轉(zhuǎn)型基礎(chǔ)的一部分?！?/p>

與此同時(shí)，施樂的首席信息安全官Alissa Johnson（前白宮副首席信息官）也表示首席信息安全官需要在“設(shè)計(jì)程序之初就要考慮安全性”。

在不久前召開的CSO50會(huì)議上，美國國民油井華高公司（NOV）首席信息官兼首席信息安全官Alex Phillips闡述了他們是如何與值得信任的合作伙伴重新考慮針對數(shù)字化的安全基礎(chǔ)設(shè)施，以及每個(gè)環(huán)節(jié)步驟的。他與Gold的觀點(diǎn)一致，即安全部門自身也需要轉(zhuǎn)型，不應(yīng)僅僅作為一個(gè)服務(wù)提供者。

Duo Security公司的首席分析師Doug Copley建議首席信息安全官們在文化和技術(shù)上對IaaS、微服務(wù)和API主導(dǎo)的信息時(shí)代中的新“模塊”做出響應(yīng)。“對于擔(dān)任首席信息安全官和類似職務(wù)的人員來說，讓企業(yè)適應(yīng)新的業(yè)務(wù)模式和新技術(shù)是一種新常態(tài)，也是這一崗位的基本要求?！?Copley此前曾經(jīng)擔(dān)任過該公司的首席信息安全官兼首席隱私官。

在對于安全性應(yīng)當(dāng)在哪個(gè)階段被考慮的討論中，McQuire認(rèn)為從最開始就應(yīng)當(dāng)考慮。他指出，“安全性應(yīng)當(dāng)位于數(shù)字化轉(zhuǎn)型方案的最前端，理想狀態(tài)下應(yīng)當(dāng)位于最初的規(guī)劃和設(shè)計(jì)階段。我經(jīng)?？吹揭恍╉?xiàng)目要么推遲，要么倉促執(zhí)行，原因就是在最初的設(shè)計(jì)時(shí)就沒有考慮到安全性，或是在一開始就沒有確立正確的原則。因此當(dāng)安全團(tuán)隊(duì)最終介入時(shí)整個(gè)項(xiàng)目已經(jīng)處于危險(xiǎn)狀態(tài)。我發(fā)現(xiàn)那些在一開始就將安全性作為數(shù)字轉(zhuǎn)型當(dāng)中的一部分的企業(yè)不僅在長時(shí)間的運(yùn)營中取得了成功，而且在當(dāng)今的大環(huán)境中能夠更加迅速的進(jìn)入市場。”

數(shù)字轉(zhuǎn)型需要新的安全方案嗎？

在調(diào)查中，安全性在當(dāng)前的數(shù)字化時(shí)代更多地被視為干擾因素，這一點(diǎn)也不奇怪。McQuire認(rèn)為需要新的技術(shù)來提供安全性?！半S著邊界的消失，安全需求也在發(fā)生變化。我們看到，以往的關(guān)注點(diǎn)為客戶已有的復(fù)雜且龐大的防御性安全產(chǎn)品，在許多情況下這些產(chǎn)品不會(huì)互相溝通?，F(xiàn)在關(guān)注點(diǎn)已經(jīng)轉(zhuǎn)變成了對完整的綜合性安全平臺的需求，這些平臺能夠檢測威脅并做出響應(yīng)。”

McQuire 稱，“在整個(gè)基礎(chǔ)設(shè)施（涵蓋本地和云端上的設(shè)備、網(wǎng)絡(luò)和應(yīng)用）中實(shí)現(xiàn)可見性的需求有力地推動(dòng)了從單純的防御向防御、檢測和響應(yīng)的轉(zhuǎn)變。這是一個(gè)重大的變化，因?yàn)槠髽I(yè)需要能夠在更為廣闊的攻擊面上發(fā)現(xiàn)威脅并以前所未有的速度做出響應(yīng)，以避免名譽(yù)受損和合規(guī)風(fēng)險(xiǎn)。這也是隨著安全市場進(jìn)入一個(gè)新的時(shí)代，我們?yōu)槭裁纯吹皆谶^去幾年當(dāng)中市場上安全分類出現(xiàn)合并以及并購行為出現(xiàn)增長的原因。現(xiàn)代化的安全技術(shù)能夠幫助企業(yè)建立起適合移動(dòng)和云計(jì)算時(shí)代的安全架構(gòu)，以及符合GDPR數(shù)據(jù)安全規(guī)范的新時(shí)代安全架構(gòu)?！?/p>

Gold認(rèn)為人工智能有可能會(huì)將 “松散的系統(tǒng)”整合起來，在網(wǎng)絡(luò)方面提供新的洞察力，讓“大海撈針”成為可能。他稱，“新技術(shù)不僅是數(shù)字化轉(zhuǎn)型所需要的，它們還能夠讓首席信息官們執(zhí)行新的安全模式?！?/p>

最后，他表示團(tuán)隊(duì)中負(fù)責(zé)數(shù)字化轉(zhuǎn)型的主管必須要能夠帶來安全性（或讓團(tuán)隊(duì)成員能夠帶來安全性），并且擁有充足的資源能夠讓企業(yè)知道為什么安全性這么重要?！叭绻髽I(yè)在數(shù)字化轉(zhuǎn)型過程中沒有考慮到安全性，那么轉(zhuǎn)型將會(huì)失敗。沒有安全性，數(shù)字化轉(zhuǎn)型也就沒有什么意義了。”

Doug Drinkwater為美國國際數(shù)據(jù)集團(tuán)（IDG）歐洲、中東和非洲（EMEA）內(nèi)容總監(jiān)。

原文網(wǎng)址

https：//www.csoonline.com/article/3260637/security/what-is-securitys-role-in-digital-transformation.html