兩年前，數(shù)字化轉(zhuǎn)型達到一個高峰期，帶著新的流程模式和產(chǎn)品開發(fā)節(jié)奏，突破了傳統(tǒng)的速度瓶頸。隨著敏捷開發(fā)和DevOps等新的模式加速了市場，安全卻往往被忽略。在那個時候，Gartner就曾預(yù)言，在2020年前，會有60%的數(shù)字業(yè)務(wù)因安全團隊無法管理數(shù)字風(fēng)險而受到嚴(yán)重業(yè)務(wù)損失。

很多典型的安全問題接連出現(xiàn)，雖然很難把原因歸結(jié)于數(shù)字項目的轉(zhuǎn)型。IDC的安全研究副總裁Pete Lindstrom認為，無論這些涉及范圍廣的安全泄露事件是否和數(shù)字化轉(zhuǎn)型直接相關(guān)，這些事件都引起商業(yè)上的領(lǐng)導(dǎo)者們重新思考風(fēng)險和解決方案，試圖將風(fēng)險最小化。

基于Marsh & Mclennan對1,500名執(zhí)行官級別的人的調(diào)研，全球大約有79%的執(zhí)行官級別的人，將網(wǎng)絡(luò)攻擊和威脅排在2020年組織最優(yōu)先的安全管理項目之一?？傮w而言，安全在數(shù)字化轉(zhuǎn)型中的角色已經(jīng)在意識和早期設(shè)計流程中的影響，兩個方面得到了改進，但CISO們依然在設(shè)法解決自身生態(tài)系統(tǒng)中項目的可視化范圍。

安全挑戰(zhàn)：緊跟節(jié)奏，而風(fēng)險更多

根據(jù)最近Altimeter的調(diào)研，IT決策人員不只是將安全作為他們在數(shù)字化轉(zhuǎn)型過程中最需要考慮的東西之一，同時也是他們投資優(yōu)先級第二高的項目（35%），僅次于云技術(shù)（37%）。數(shù)字化轉(zhuǎn)型技術(shù)一旦無法保護業(yè)務(wù)、客戶或者其他關(guān)鍵資產(chǎn)，就會變得毫無意義；另外，開發(fā)的復(fù)雜性與速度在最大規(guī)模的安全運營中依然是一大挑戰(zhàn)。

麻省理工大學(xué)的執(zhí)行主任兼制造和生產(chǎn)效率實驗室研究員Abel Sanchez博士認為，安全層面的戰(zhàn)爭要比現(xiàn)在的決策周期節(jié)奏更快，因此一旦速度慢下來，就會難以維持一個領(lǐng)導(dǎo)層視角。他同時還表示，敏捷、靈活性、快速決策在安全和開發(fā)當(dāng)中都是必須的三要素。

安全領(lǐng)袖們還需要對數(shù)字化轉(zhuǎn)型過程中帶來的新風(fēng)險做好準(zhǔn)備。根據(jù)Ponemon的《數(shù)字轉(zhuǎn)型與網(wǎng)絡(luò)風(fēng)險》報告，82%的IT安全與執(zhí)行級別的受訪者認為，他們因為數(shù)字化轉(zhuǎn)型至少經(jīng)歷了一次數(shù)據(jù)泄露事件。

企業(yè)風(fēng)險增多的一個原因在于企業(yè)越來越多地依賴于第三方——55%的受訪者認為他們的第三方伙伴至少需要為他們其中的一次泄露事件負責(zé)。除了第三方問題之外，58%的受訪者表示他們?nèi)狈σ粋€第三方風(fēng)險管理項目；56%的執(zhí)行官認為他們很難知道第三方合作者是否有相關(guān)政策，來確保他們信息的安全性。

而最主要的原因，應(yīng)該是安全和執(zhí)行官團隊之間的不協(xié)同——只有16%的受訪者表示他們的IT和業(yè)務(wù)完全匹配。

安全團隊也需要改變

安全團隊的挑戰(zhàn)，依然在于如何在數(shù)字化轉(zhuǎn)型的速度之下提升安全性，同時確保安全貫穿每個新的內(nèi)部數(shù)字流程，以及外部開發(fā)的產(chǎn)品或者相關(guān)互聯(lián)網(wǎng)機遇。許多解決方案最終落到IT和安全部門的文化之中。Sanchez博士認為，安全團隊也需要隨著數(shù)字化轉(zhuǎn)型發(fā)生改變，而這并不容易；許多相關(guān)人員必須愿意學(xué)習(xí)新的技術(shù)，從而在企業(yè)中建立新的交互工作。

Sanchez博士認為，這些改變的一部分可以通過重架構(gòu)解決。比如對于許多環(huán)節(jié)，測試人員將不必要，而測試工作則可以由軟件工程師自己完成。在他看來，沒有人比產(chǎn)品的創(chuàng)建者更了解如何保護一個產(chǎn)品。

另外，安全人員還需要不同的才能，或者需要改變一些自己現(xiàn)有的才能。在這個過程中，一些員工可能會被淘汰；但如果員工必須去適應(yīng)這種高速的變化。安全團隊需要的，是哪些能真正做出創(chuàng)新并將其引入工作中的人。

不過全球資訊和安全管理服務(wù)廠商NTT的美國分公司CEO Matt Handler認為，對于安全團隊來說，也有一個好消息：安全團隊正在逐漸成為業(yè)務(wù)的一部分，和其他相關(guān)團隊的關(guān)系在逐漸改善。

他表示：“安全團隊正在明白，他們不能成為一個總是只會說‘不’的部門。他們需要變得更敏捷、靈活，同時成為賦能者，而非一個阻礙者?！?/p>

這一過程當(dāng)然也需要CISO的參與。CISO們要成為一名內(nèi)部的顧問，并且成為那些使用新應(yīng)用和技術(shù)部門的協(xié)作者。CISO們首先要改變自己的思路：不再說“不”，而是試著和其他部門一起探討如何能更快速，且安全地落地新的技術(shù)和應(yīng)用。

將安全融入企業(yè)

CISO們已經(jīng)說了好幾年，要將安全加入每個設(shè)計的開始階段。如今，由于更迅捷和動態(tài)的組件，這個目標(biāo)能更容易實現(xiàn)了。Lindstrom提到：“依靠內(nèi)置的安全功能，尤其是云環(huán)境的能力，我們現(xiàn)在有更多方式解決風(fēng)險。另外，我們也在逐漸從網(wǎng)絡(luò)和主機安全，轉(zhuǎn)向應(yīng)用安全、數(shù)據(jù)層面安全、身份安全等?！?/p>

另一方面，投資者預(yù)測，使用機器學(xué)習(xí)的網(wǎng)絡(luò)安全公司在2020年會有很大發(fā)展；不同的小領(lǐng)域網(wǎng)絡(luò)安全廠商會合并到一起，但同時他們也會受到更嚴(yán)格的檢查，確定他們的產(chǎn)品確有宣傳中的效果。擁有海量安全數(shù)據(jù)的公司能夠合并算法、分析能力和機器學(xué)習(xí)能力，快速識別威脅并響應(yīng)。機器只有在人類的管理下才能有最佳效果，同時還需要花時間累積大量的相關(guān)數(shù)據(jù)。

在Handler看來，從一個CISO角度，如果有能力同時確保安全性和速度，同時幫助企業(yè)完成自己的里程碑和目標(biāo)，那安全自然就能從一開始就融入流程之中——不過，要達到這個目標(biāo)尚需時日。

我們還有多遠？

Sanchez博士認為，在將網(wǎng)絡(luò)安全融入數(shù)字化轉(zhuǎn)型的路上，很多企業(yè)只是“剛過半途”。他們已經(jīng)使用了自動化技術(shù)，并準(zhǔn)備開始考慮人工智能以及預(yù)測模型。

“我們已經(jīng)上了正軌，但這不代表我們的防線牢不可破。”Sanchez博士說到，“就像在數(shù)字化轉(zhuǎn)型前，軟件開發(fā)并未被完全集成到整個企業(yè)的業(yè)務(wù)環(huán)境中而現(xiàn)在卻做到了一樣，安全也會面臨同樣的發(fā)展。最終，業(yè)務(wù)、開發(fā)和安全都會合到一起，只是需要一些時間?！?/p>