在数字化转型中，安全能发挥什么作用？

Stacy Collett

数字化转型在两年前就已经进入高潮，新的流程和产品的开发速度十分惊人。为了加快产品的上市速度，IT和业务部门不遗余力地追求敏捷性和DevOps，安全性则往往被他们抛在脑后。市场研究机构Gartner当时预测称，由于安全团队无法管理数字风险，到2020年60%的数字业务将遭遇重大服务故障。

在数字化项目中，极为重要的安全性不出意外地出现了下降，不过目前我们还难以确定其中的主要原因。市场研究机构IDC的安全研究副总裁Pete Lindstrom表示：“不管已经被曝光出来的数据泄露事件是否与数字化转型有直接关系，企业领导者都应该重新考虑风险和相关解决方案，以便最大限度地降低风险。”

据Marsh&McLennan（威达信集团）对1500位企业高管的调查显示，如今约有79%的全球高管将网络攻击和威胁列为其公司在2020年中最高级别的风险管理优先事项。总体而言，安全性在数字化转型中的作用在设计流程的早期阶段已经被意识到，并被尽早地涉及。尽管如此，首席信息安全官仍在其生态系统中努力提升各个项目的可视性。

安全挑战：跟上发展步伐

据Altimeter最近的调查显示，IT决策者不仅将网络安全作为数字化转型的首要考虑因素，而且还是其第二大投资重点（35%），仅次于云计算（37%）。如果变革性技术无法保护企业、客户和其他重要资产的安全，那么对它们的投资将变得毫无意义。目前，开发的复杂性和速度仍是安全操作中的重大挑战。

麻省理工学院制造与生产力实验室执行董事兼研究科学家Abel Sanchez博士说：“这场战斗的速度已经超过了我们的决策周期。如果你的速度缓慢，那么站在领导的角度来看你将变得无关紧要。” 他补充说，安全性和开发都需要敏捷性、灵活性和快速决策能力。

在全球能源解决方案公司施耐德电气，网络安全是其转型战略的核心。该公司的全球首席信息安全官Christophe Blassiau正在努力通过将收购行为与公司的其他行为（从研发到供应链再到服务）整合在一起，以提升整个公司的可视性。IT和运营技术（OT）的整合还带来了新的连接性、数据源和潜在漏洞，为此他的团队还必须要将公司的安全性与合作伙伴和供应商的生态系统连接起来。

Blassiau说：“我们所有的地方都没有合适的所有权和能力，因此我们在整个公司中率先重新设计和实施了新治理体系。我并不想扩大团队，因为安全负责会分解到所有的人身上。在这里，安全是每个人的责任。”

施耐德针对网络安全采取了双管齐下的方法，即创建数字网络安全实践，将网络专业人员（数字风险管理人员和区域首席信息安全官）纳入到了每个实践当中，并在整个公司范围内建立了一个由经过培训并专注于特定网络风险的网络安全主管人员组成的社区。此举让Blassauau在数字领域获得了“控制权”。目前公司中专门有一位负责网络安全的主管向他和每位数字实践执行主管汇报情况。

安全团队也必须转型

安全团队面临的挑战仍然是如何以与数字化转型相匹配的速度提升安全性，并确保安全性能够覆盖每个新的内部数字流程和外部的产品开发工作，亦或是互联网机遇。Sanchez说，大多数解决方案都取决于IT和安全部门的文化。他警告說：“安全团队也必须经历转型。”这做起来并不容易，许多员工必须要主动学习新技能，才能与业务部门实现互动。

Sanchez说，其中一些工作可以通过重组来实现。例如，在许多实践中，测试人员正在消失，测试工作转而由软件工程师负责。他补充说：“有谁会比开发产品的人员更了解如何保护该产品呢？”在其他开发领域也可以这么做。

与此同时，Sanchez还指出：“你可能还需要不同的人才，亦或是对人才进行调整。这样一来，你可能会失去很多人，但是他们必须要适应自己的岗位。你需要那种能够进行创新并有能力运用创新的人。因为这个世界正在快速地发展。”

专门提供数字转型服务的大型全球咨询和托管安全服务提供商NTT的美洲地区安全部门首席执行官Matt Handler说，好消息是，整个安全团队正变得越来越接地气，并成为了业务的一部分，这也使得大家的关系越来越融洽。

Handler说：“安全团队知道他们不能都处于闭门造车的状态。他们必须要敏捷且灵活，不能成为阻碍者而应成为推动者。这一转变在去年就已经发生了。”

Handler补充说，首席信息安全官也必须要不断提升自己的能力，在部署应用程序或新技术的部门中承担起内部顾问和协作者的角色。“与其拒绝，不如说‘让我们看看如何尽快安全地做到这一点。我认为，仅此一词就改变了首席信息安全官的角色。”

加入安全性

多年来，首席信息安全官一直在大力宣传在设计流程之初就必须加入安全性。现在，得益于有了更多灵活的动态组件，这一理念已经变得更容易实现。Lindstrom说：“特别是在云端已经有了可以使用的内置安全功能，我们可以利用它们来缓解风险。如今，除了网络和基于主机的安全性外，我们还正在将其进一步加入到应用程序、数据层的安全和身份识别当中。”

此外，投资者预测，随着小型特色网络安全服务商不断被合并，使用机器学习的网络安全公司可能会在2020年脱颖而出。这些网络安全公司所声称的技术能力将会受到严格的审查。拥有大量安全数据的公司可以将算法、分析和机器学习相结合一起，以极快的速度（几乎在威胁发生的同时）识别并响应威胁。机器要想达到人类的管理水平，要想达到与模式匹配数据一样出色的程度，还需要时间。

Handler说：“从首席信息安全官的角度来看，如果你能够快速提供安全性，帮助企业达到他们的里程碑和目标，并且从一开始就将安全性纳入到设计流程当中，那么你将获得极大的成功。不过这只是一种理想状态。”

我们距目标还有多远？

关于数字转换中的网络安全问题，Sanchez说，越来越多的企业进入到了“中间阶段”，他们已经经历了自动化流程，并且开始使用人工智能和预测模型。

Sanchez说：“虽然我们正走在正确的道路上，但是这并不意味着不会出现妥协或折中的情况。”就像在数字转换开始之前尚未集成所有的软件开发一样，安全性如今也是如此。所有这些现在都必须集中起来，但是这需要时间。”

原文网址

https：//www.csoonline.com/article/3512578/what-is-securitys-role-in-digital-transformation.html