什么 is security'在数字化转型中的作用?

随着安全重新获得数字战略的优先考虑,CISO正在将安全责任分散到整个组织中,并致力于改变IT文化。

在电路网络中通过问号形锁孔进行锁定+二进制/数字转换
伊万娜斯塔/盖蒂图片社

两年前 数字化转型 新工艺和产品开发以惊人的速度向前发展。随着IT和业务等敏捷计划和DevOps等快速发展的计划提高了产品上市速度,安全方面的考虑常常被遗忘了。当时,Gartner预测,由于安全团队无法管理数字风险,到2020年,将有60%的数字业务遭受重大服务故障。

尽管很难确切指出数字项目是主要原因,但随之而来的安全性意外下降。 IDC安全研究副总裁Pete Lindstrom说:“无论是否高度宣传的违规行为都与数字化转型直接相关,他们都使企业领导者再次考虑风险和将风险最小化的解决方案。”

如今,大约79%的全球高管将网络攻击和威胁列为其组织中最高的组织之一 风险管理 根据Marsh的说法,2020年的工作重点&麦克伦南(McLennan)对1,500位高管的调查。总体而言,安全性在数字化转型中的作用在设计过程的早期阶段已经提高了知名度和参与度,但是CISO仍在努力了解其生态系统中项目的广度。

安全方面的挑战:跟上步伐,增加风险

根据a的说法,IT决策者不仅将数字化转型中的网络安全作为首要考虑因素,而且还将其作为第二大投资重点(35%),仅次于云计算(37%)。 最近的高度计调查。如果变革性技术无法保护企业,其客户或其他重要资产,那么它们的投资可能毫无意义,而且开发的复杂性和速度仍在挑战着最大的安全运营部门。

“这场战斗的进行速度超过了我们的决策周期。如果您走得慢一点,那么从领导的角度来看就无关紧要。”麻省理工学院制造与生产力实验室执行董事兼研究科学家Abel Sanchez博士说。他补充说,安全性和开发都需要敏捷性,灵活性和快速决策能力。

在全球能源解决方案公司施耐德电气,网络安全是其转型战略的核心。全球CISO克里斯托弗·布拉索(Christophe Blassiau)努力通过收购的复杂组合以及公司的许多不同活动来获得整个组织的知名度-R公司&D以供应链为服务。 IT和运营技术(OT)的集成还带来了新的连接性,数据源和需要保护的潜在漏洞,他的团队必须将公司的安全性与合作伙伴和供应商的生态系统联系起来。

Blassiau说:“我们到处都没有合适的所有权或资质水平,因此我们从设计和组织整个公司内建立的新治理开始。” “我不想壮大团队,因为您给人的印象是它会被其他人解决。在这里,安全是每个人的责任。”

取而代之的是,施耐德对网络采取双重手段,创建了一种数字网络安全实践,并将网络专业人员(数字风险管理人员和区域CISO)嵌入到每种实践中以及整个公司中,以建立经过培训并专注于特定网络风险的网络领导者社区。此举使Blassauau在数字领域有了“控制感”。有一位网络负责人向每位数字实践执行主管汇报,并向我汇报。”他说。

安全领导者需要为数字化转型带来的额外风险做好准备。根据 Ponemon的数字化转型与网络风险 报告称,有82%的IT安全和C级受访者表示,他们由于数字化转型而经历了至少一次数据泄露。 

增加风险的原因之一是对第三方的依赖增加,其中55%的受访者说,他们至少对其中一项违规行为负责。尽管依赖第三方,但58%的人表示他们没有第三方网络风险管理程序,而56%的C级高管表示,要知道第三方是否有确保其安全性的政策和做法具有挑战性。信息。

根据Ponemon报告,在数字转换项目中引入的漏洞的主要原因是安全性和最高管理层之间的不一致。只有16%的受访者表示IT和业务线完全一致。

安全团队也必须转型

安全团队面临的挑战仍然是如何以数字化转型的速度增加安全性,并确保安全性跨越每个新的内部数字流程和开发的外部产品或创造的互联网机会。 Sanchez说,大多数解决方案都取决于IT和安全部门的文化。 “安全团队也必须进行一次转型。”他警告说,这并不容易,许多员工必须愿意学习新技能,才能与业务组织进行互动。

桑切斯说,其中一些可以通过重组来实现。例如,许多实践中的测试人员正在消失,现在由软件工程师进行测试。 “谁比开发产品的人更了解如何保护该产品?”他补充说,其他发展领域也可以做到这一点。 

“您可能还需要其他才能,或者您需要改变的才华。您可能会失去很多人,但他们需要适应。您需要能够进行创新和介绍创新的人才。”桑切斯说。 “世界发展太快了。”

好消息是,整个安全团队变得越来越平易近人,并成为业务的一部分,从而建立了更好的关系,NTT是一家大型的全球咨询和托管安全服务提供商,提供数字化服务,其美洲安全部门首席执行官Matt Handler说。转型服务。

“安全团队正在得知他们不可能一直都是'No Office'。他们必须敏捷,灵活并且被视为推动者,而不是阻碍者。” Handler说。 “这只是在去年左右发生的事情。”

Handler补充说,CISO也必须不断发展,并在部署应用程序或新技术的部门中担当内部顾问和协作者的角色。 “与其说不,不如说‘让我们看看如何尽快,安全地做到这一点。”我想这句话本身就改变了CISO的局面。”

烘焙安全 

多年来,CISO一直在吹捧在设计过程的一开始就必须插入安全性。现在,由于有了更多灵活和动态的组件,这更容易实现。 Lindstrom说:“特别是云,以及可以利用的内置安全功能,我们可以利用它来应对风险,而且我们正在进一步努力解决堆栈问题-远离网络和主机,基于安全性-应用程序,数据层安全性和身份事物。”

此外,投资者预测,随着利基网络安全厂商的数量不断合并,使用机器学习的网络安全公司可能会在2020年脱颖而出,尽管他们将严格按照其声称的技术能力进行严格的审查。拥有大量安全数据的公司可以将算法,分析和机器学习相结合,以闪电般的速度识别和响应威胁,速度几乎与发生时一样快。机器只能与负责管理机器的人员一样好,也要与要进行模式匹配的数据一样好,这需要时间。

“从CISO的角度来看,如果您能够快速提供安全性并帮助企业仍然实现其里程碑和目标,并且从一开始就将安全性纳入流程中,那么您将获得本垒打。但这绝对是未来的状态,”汉德勒说。

我们到了吗?

关于数字转换中的网络安全,桑切斯说,越来越多的组织“居于中间”。他们经历了自动化过程,并且开始着眼于AI和预测模型。

桑切斯说:“我们走在正确的道路上,但这并不意味着不会妥协。”就像在数字转换之前尚未集成所有软件开发一样,现在,安全性也是如此。所有这些都必须现在在一起。这只需要时间。”

版权© 2020 IDG通讯,Inc.