随着安全在数字战略中重新获得优先地位,很多企业的信息安全官(CISO)正在将安全责任分散到组织中,并致力于改变IT文化。
两年前,随着新流程和产品开发以惊人的速度向前推进,数字化转型已进入高速发展阶段。随着IT和业务快速跟踪敏捷和DevOps等计划以提高上市速度,安全方面的考虑通常被抛在脑后。调研机构Gartner公司在当时预测,到2020年,由于安全团队无法管理数字风险,60%的数字业务将遭遇重大服务故障。
尽管很难确切指出数字项目是主要原因,但随之而来的安全性意外降低。调研机构IDC公司安全研究副总裁Pete Lindstrom表示:“无论广为人知的数据泄露违规行为是否与数字化转型直接相关,他们都使企业**者再次考虑将风险降至低的解决方案。”
根据Marsh&McLennan公司对1,500位企业高管的调查,如今,约有79%的企业高管将网络攻击和威胁视为其组织2020年高的风险管理优先事项之一。总体而言,安全性在数字化转型中的作用在设计过程的早期阶段已经提高了意识,并提高了参与度,但是信息安全官(CISO)仍在努力提高其生态系统中各个项目的可视性。
安全挑战需要跟上步伐
根据Altimeter公司最近进行的一次调查,IT决策者不仅将网络安全作为数字化转型的首要考虑因素,而且还是其第二大投资重点(35%),仅低于云计算(37%)。如果变革性技术无法保护企业、客户或其他重要资产,那么它们的投资就毫无意义,而且开发的复杂性和速度仍是安全运营部门面临的挑战。
麻省理工学院制造与生产力实验室执行董事兼研究科学家Abel Sanchez博士说,“这场战斗比我们的决策周期进展更快。如果行动迟缓,那么从领导的角度来看就无关紧要。安全性和开发都需要敏捷性、灵活性和快速决策能力。”
对于全球能源解决方案厂商施耐德电气公司来说,网络安全是其转型战略的中心。该公司全球信息安全官(CISO)Christophe Blassiau努力提高组织的知名度,这是因为收购的复杂组合以及企业的许多不同活动——从研发到供应链再到服务。IT和运营技术(OT)的集成还带来了新的连接、数据源和需要保护的潜在漏洞,他的团队必须将企业安全与合作伙伴和供应商生态系统之间的点连接起来。
Blassiau说:“我们为了获得更多合适的所有权或资质,所以从设计和组织开始。而在这里,安全是每个人的责任。”
安全团队也必须转型
企业安全团队面临的挑战仍然是如何以数字化转型的速度增加安全性,并确保安全性跨越每个新的内部数字流程和开发外部产品或创造互联的机会。Sanchez表示,大多数解决方案都取决于IT和安全部门的文化。他警告说,“安全团队也必须进行转型。这并不容易,许多员工必须愿意学习新技能,才能更好地进行互动。”
Sanchez表示,其中一些可以通过重组来实现。例如,许多实践中的测试人员正在消失,现在由软件工程师进行测试。他补充说,“谁比创造产品的人更了解如何保护该产品?其他发展领域也可以做到这一点。”
Sanchez说,“企业可能还需要其他才能的员工,或者需要培训现有员工。企业也可能会失去一些员工,但需要适应。企业需要更多的人才进行创新,并将其引入市场。这是因为世界的发展太快了。”
NTT公司美洲安全执行官Matt Handler表示,好消息是,其安全团队变得更加团结协作,从而与业务部门建立更好的关系。NTT公司是一家大型全球咨询机构,也是一家提供数字转换服务的托管安全服务提供商。
Handler说,“组织的安全团队必须敏捷灵活,并且被视为推动者,而不是阻碍者。”
Handler补充说,信息安全官(CISO)也必须不断发展,并在部署应用程序或新技术的部门中担当内部顾问和协作者的角色。他说,“与其说不能,不如说‘让我们看看如何尽快做到这一点,并且安全地做到这一点。’我认为,这将改变信息安全官(CISO)面临的局面。”
考虑安全性
多年来,信息安全官(CISO)在设计过程的一开始就必须考虑安全性。现在,由于有了更多灵活和动态的组件,这更容易实现。Lindstrom说:“特别是云计算,以及可以利用的内置安全功能,我们可以利用它来解决风险,而且正在进一步努力解决堆栈问题——从网络和基于主机的安全到应用程序,到数据层安全,以及各种身份信息。”
此外,一些投资者预测,随着利基网络安全厂商的数量不断增长,使用机器学习的网络安全公司可能会在2020年脱颖而出,不过,这些公司的安全技术将面临严格的审查。拥有大量安全数据的企业可以将算法、分析和机器学习结合起来,以闪电般的速度识别和应对威胁——几乎和威胁发生的速度一样快。机器只能和管理它们的人类一样好,但也只能和它们模式匹配的数据一样好。
Handler说,“从信息安全官(CISO)的角度来看,如果能够快速提供安全性,并帮助企业仍然实现其里程碑和目标,并且从一开始就将安全性纳入流程中,那么将获良好的结果。”
数字化转型的进程到了哪个阶段?
Sanchez表示,关于数字化转型中的网络安全问题,更多企业的进程已经过半,他们已经经历了自动化的过程,开始关注人工智能和预测建模。
Sanchez说:“我们走上了正确的轨道,但这并不意味着不会遇到阻碍。就像在数字化转型之前,整个系统的软件开发都没有集成到一起一样,在安全方面也是如此。所有这些都必须集成在一起。只是需要时间。”