论文部分内容阅读
数字化转型(DX)指将处理流程和服务数字化让业务更为灵活,运营更为高效,涵盖了从为客户提供服务到与供应链合作伙伴共同改进流程等方方面面。营销团队想要改变产品的推广方式,人力资源部门希望提升人员招聘质量,IT团队则想要迅速迭代在线服务。
为了启动DX项目,企业需要在设计和策划阶段将人员、程序和技术集中起来,让他们知道数据分析、物联网、移动和社交等技术将在何处发挥重要作用,然而信息安全却经常被排除在计划之外。
缺乏安全性的數字化转型将使风险激增
IT和业务快速追踪方案将重点放在敏捷性和DevOps上以加快上市速度,而安全性的作用则被局限在了发生重大风险和安全问题之后回答各种疑问上。简而言之,数字化转型的根本目的是向客户提供价值,几乎没有考虑对核心安全功能造成的影响。
数据泄露事件和漏洞数量的增长让部分人意识到缺少安全性的数字化转型将导致企业面临更大的风险。市场研究公司Gartner近期预测,由于安全团队无法管理数字化风险,这导致到2020年60%的数字化公司将遭遇重大的服务故障。
Gartner 在报告中指出“与传统业务相比,数字化业务的发展步伐更快。针对最大控制权而设计的传统安全方案在数字化创新的新时代中将不再起作用。”
在数字化转型过程中安全性是否被忽视?
目前许多DX项目都失败了,因为他们关注安全性的时机过晚,或是根本没有关注安全性。戴尔和市场研究公司Dimensional Research的研究报告认为上述情况属实,在众多原因中,最主要的原因是企业主管害怕安全团队的介入会阻止或妨碍他们的数字化转型。
细微的迹象显示这种趋势正在发生变化。屡创新高的数据泄露事件数量、存在漏洞的物联网软件、受到欧盟通用数据保护规定GDPR支持的设计安全运动正使安全性受到越来越多的关注。CCS Insight分析师Nick McQuire称:“今天,我们正看到安全性已经成为了所有机构和首领信息官们的首要议题。”
McQuire 称:“我们在美国和欧洲调查发现,超过70%的公司表示他们正在增加安全预算,近半数的受访者认为他们在未来几年将会受到网络攻击。对于数字化工作场所来说,数据安全为最高级的优先投资项目,其面临的最大挑战是大量涌现的移动应用,而这些移动应用往往是数字化转型策略的先锋。现在的变化是,安全性不仅仅是关键的技术优先项目,同时在业务上也是优先项目。”
不过,这一观点并未被所有人认可。市场研究公司J.Gold Associates LLC创始人兼首席分析师Jack Gold称:“以我与许多企业的谈话经验看,他们只是口头上认为安全性重要,但并没有把安全性作为数字化转型进程的重要部分。”
他指出,对于首席执行官来说,虽然他们知道安全性重要,但并不清楚安全性意味着什么,也不清楚来自不同厂商的各种解决方案在技术上的“拼接”意味着什么。“将它们整合在一起真的十分困难。” Gold说。
McQuire承认许多企业正在努力跟上技术发展的步伐。“许多企业无法跟上技术的快速发展。威胁正在发生变化,我们面对的恶意软件、勒索软件和钓鱼攻击正全面快速增长。GDPR也带来了重大的监管变化,给那些在安全和隐私程序上存在疏漏的企业施加了新的压力,让他们承担起相应的经济责任。”
他补充称,“我们常常将这种情况与缺乏安全人才联系在一起,但是事实是大部分人才正运维着由老旧安全技术组成的繁杂网络,而这些技术根本无法正确地将网络与那些使用移动设备和云应用访问工作信息的员工安全隔离。我们拥有一个正日益兴盛的安全市场。这也是为什么云访问安全、用户行为分析与机器学习、身份即服务、多重身份验证、移动威胁防御等新安全技术兴起的原因。这些新技术代表着现代安全堆栈中的一个新层,它们要对企业提供安全保护,确保流转在企业以外的数据的安全。”
安全性在数字化转型中的作用是什么?
DX有许多阶段,目前还不清楚安全最适合哪个阶段。市场研究公司Altimeter Group将业务分为六个阶段:像平常一样(一成不变)、积极主动(一些小创新)、形成定式(向外扩展)、成为企业战略(开始广泛的业务合作)、汇聚(专业的DX团队)、创新与适应(数字化转型成为新常态)。安全应当涉及所有阶段还是后面几个阶段,目前尚待商榷。
首席信息安全官目前正尝试着让安全贯穿整个DX过程。在去年年底召开的一个会议上,美国洛杉矶市首席信息安全官TimothyLee表示许多首席信息安全官已经相信数字化转型能够帮助企业适应迅速发展的全球市场。他称:“我们的工作并不仅仅是管理机遇和风险,如今我们的角色正在发生改变,让网络安全成为业务的推动力,使其成为数字化转型基础的一部分。”
与此同时,施乐的首席信息安全官Alissa Johnson(前白宫副首席信息官)也表示首席信息安全官需要在“设计程序之初就要考虑安全性”。
在不久前召开的CSO50会议上,美国国民油井华高公司(NOV)首席信息官兼首席信息安全官Alex Phillips阐述了他们是如何与值得信任的合作伙伴重新考虑针对数字化的安全基础设施,以及每个环节步骤的。他与Gold的观点一致,即安全部门自身也需要转型,不应仅仅作为一个服务提供者。
Duo Security公司的首席分析师Doug Copley建议首席信息安全官们在文化和技术上对IaaS、微服务和API主导的信息时代中的新“模块”做出响应。“对于担任首席信息安全官和类似职务的人员来说,让企业适应新的业务模式和新技术是一种新常态,也是这一岗位的基本要求。” Copley此前曾经担任过该公司的首席信息安全官兼首席隐私官。
在对于安全性应当在哪个阶段被考虑的讨论中,McQuire认为从最开始就应当考虑。他指出,“安全性应当位于数字化转型方案的最前端,理想状态下应当位于最初的规划和设计阶段。我经常看到一些项目要么推迟,要么仓促执行,原因就是在最初的设计时就没有考虑到安全性,或是在一开始就没有确立正确的原则。因此当安全团队最终介入时整个项目已经处于危险状态。我发现那些在一开始就将安全性作为数字转型当中的一部分的企业不仅在长时间的运营中取得了成功,而且在当今的大环境中能够更加迅速的进入市场。”
数字转型需要新的安全方案吗?
在调查中,安全性在当前的数字化时代更多地被视为干扰因素,这一点也不奇怪。McQuire认为需要新的技术来提供安全性。“随着边界的消失,安全需求也在发生变化。我们看到,以往的关注点为客户已有的复杂且庞大的防御性安全产品,在许多情况下这些产品不会互相沟通。现在关注点已经转变成了对完整的综合性安全平台的需求,这些平台能够检测威胁并做出响应。”
McQuire 称,“在整个基础设施(涵盖本地和云端上的设备、网络和应用)中实现可见性的需求有力地推动了从单纯的防御向防御、检测和响应的转变。这是一个重大的变化,因为企业需要能够在更为广阔的攻击面上发现威胁并以前所未有的速度做出响应,以避免名誉受损和合规风险。这也是随着安全市场进入一个新的时代,我们为什么看到在过去几年当中市场上安全分类出现合并以及并购行为出现增长的原因。现代化的安全技术能够帮助企业建立起适合移动和云计算时代的安全架构,以及符合GDPR数据安全规范的新时代安全架构。”
Gold认为人工智能有可能会将 “松散的系统”整合起来,在网络方面提供新的洞察力,让“大海捞针”成为可能。他称,“新技术不仅是数字化转型所需要的,它们还能够让首席信息官们执行新的安全模式。”
最后,他表示团队中负责数字化转型的主管必须要能够带来安全性(或让团队成员能够带来安全性),并且拥有充足的资源能够让企业知道为什么安全性这么重要。“如果企业在数字化转型过程中没有考虑到安全性,那么转型将会失败。没有安全性,数字化转型也就没有什么意义了。”
Doug Drinkwater为美国国际数据集团(IDG)欧洲、中东和非洲(EMEA)内容总监。
原文网址
https://www.csoonline.com/article/3260637/security/what-is-securitys-role-in-digital-transformation.html
为了启动DX项目,企业需要在设计和策划阶段将人员、程序和技术集中起来,让他们知道数据分析、物联网、移动和社交等技术将在何处发挥重要作用,然而信息安全却经常被排除在计划之外。
缺乏安全性的數字化转型将使风险激增
IT和业务快速追踪方案将重点放在敏捷性和DevOps上以加快上市速度,而安全性的作用则被局限在了发生重大风险和安全问题之后回答各种疑问上。简而言之,数字化转型的根本目的是向客户提供价值,几乎没有考虑对核心安全功能造成的影响。
数据泄露事件和漏洞数量的增长让部分人意识到缺少安全性的数字化转型将导致企业面临更大的风险。市场研究公司Gartner近期预测,由于安全团队无法管理数字化风险,这导致到2020年60%的数字化公司将遭遇重大的服务故障。
Gartner 在报告中指出“与传统业务相比,数字化业务的发展步伐更快。针对最大控制权而设计的传统安全方案在数字化创新的新时代中将不再起作用。”
在数字化转型过程中安全性是否被忽视?
目前许多DX项目都失败了,因为他们关注安全性的时机过晚,或是根本没有关注安全性。戴尔和市场研究公司Dimensional Research的研究报告认为上述情况属实,在众多原因中,最主要的原因是企业主管害怕安全团队的介入会阻止或妨碍他们的数字化转型。
细微的迹象显示这种趋势正在发生变化。屡创新高的数据泄露事件数量、存在漏洞的物联网软件、受到欧盟通用数据保护规定GDPR支持的设计安全运动正使安全性受到越来越多的关注。CCS Insight分析师Nick McQuire称:“今天,我们正看到安全性已经成为了所有机构和首领信息官们的首要议题。”
McQuire 称:“我们在美国和欧洲调查发现,超过70%的公司表示他们正在增加安全预算,近半数的受访者认为他们在未来几年将会受到网络攻击。对于数字化工作场所来说,数据安全为最高级的优先投资项目,其面临的最大挑战是大量涌现的移动应用,而这些移动应用往往是数字化转型策略的先锋。现在的变化是,安全性不仅仅是关键的技术优先项目,同时在业务上也是优先项目。”
不过,这一观点并未被所有人认可。市场研究公司J.Gold Associates LLC创始人兼首席分析师Jack Gold称:“以我与许多企业的谈话经验看,他们只是口头上认为安全性重要,但并没有把安全性作为数字化转型进程的重要部分。”
他指出,对于首席执行官来说,虽然他们知道安全性重要,但并不清楚安全性意味着什么,也不清楚来自不同厂商的各种解决方案在技术上的“拼接”意味着什么。“将它们整合在一起真的十分困难。” Gold说。
McQuire承认许多企业正在努力跟上技术发展的步伐。“许多企业无法跟上技术的快速发展。威胁正在发生变化,我们面对的恶意软件、勒索软件和钓鱼攻击正全面快速增长。GDPR也带来了重大的监管变化,给那些在安全和隐私程序上存在疏漏的企业施加了新的压力,让他们承担起相应的经济责任。”
他补充称,“我们常常将这种情况与缺乏安全人才联系在一起,但是事实是大部分人才正运维着由老旧安全技术组成的繁杂网络,而这些技术根本无法正确地将网络与那些使用移动设备和云应用访问工作信息的员工安全隔离。我们拥有一个正日益兴盛的安全市场。这也是为什么云访问安全、用户行为分析与机器学习、身份即服务、多重身份验证、移动威胁防御等新安全技术兴起的原因。这些新技术代表着现代安全堆栈中的一个新层,它们要对企业提供安全保护,确保流转在企业以外的数据的安全。”
安全性在数字化转型中的作用是什么?
DX有许多阶段,目前还不清楚安全最适合哪个阶段。市场研究公司Altimeter Group将业务分为六个阶段:像平常一样(一成不变)、积极主动(一些小创新)、形成定式(向外扩展)、成为企业战略(开始广泛的业务合作)、汇聚(专业的DX团队)、创新与适应(数字化转型成为新常态)。安全应当涉及所有阶段还是后面几个阶段,目前尚待商榷。
首席信息安全官目前正尝试着让安全贯穿整个DX过程。在去年年底召开的一个会议上,美国洛杉矶市首席信息安全官TimothyLee表示许多首席信息安全官已经相信数字化转型能够帮助企业适应迅速发展的全球市场。他称:“我们的工作并不仅仅是管理机遇和风险,如今我们的角色正在发生改变,让网络安全成为业务的推动力,使其成为数字化转型基础的一部分。”
与此同时,施乐的首席信息安全官Alissa Johnson(前白宫副首席信息官)也表示首席信息安全官需要在“设计程序之初就要考虑安全性”。
在不久前召开的CSO50会议上,美国国民油井华高公司(NOV)首席信息官兼首席信息安全官Alex Phillips阐述了他们是如何与值得信任的合作伙伴重新考虑针对数字化的安全基础设施,以及每个环节步骤的。他与Gold的观点一致,即安全部门自身也需要转型,不应仅仅作为一个服务提供者。
Duo Security公司的首席分析师Doug Copley建议首席信息安全官们在文化和技术上对IaaS、微服务和API主导的信息时代中的新“模块”做出响应。“对于担任首席信息安全官和类似职务的人员来说,让企业适应新的业务模式和新技术是一种新常态,也是这一岗位的基本要求。” Copley此前曾经担任过该公司的首席信息安全官兼首席隐私官。
在对于安全性应当在哪个阶段被考虑的讨论中,McQuire认为从最开始就应当考虑。他指出,“安全性应当位于数字化转型方案的最前端,理想状态下应当位于最初的规划和设计阶段。我经常看到一些项目要么推迟,要么仓促执行,原因就是在最初的设计时就没有考虑到安全性,或是在一开始就没有确立正确的原则。因此当安全团队最终介入时整个项目已经处于危险状态。我发现那些在一开始就将安全性作为数字转型当中的一部分的企业不仅在长时间的运营中取得了成功,而且在当今的大环境中能够更加迅速的进入市场。”
数字转型需要新的安全方案吗?
在调查中,安全性在当前的数字化时代更多地被视为干扰因素,这一点也不奇怪。McQuire认为需要新的技术来提供安全性。“随着边界的消失,安全需求也在发生变化。我们看到,以往的关注点为客户已有的复杂且庞大的防御性安全产品,在许多情况下这些产品不会互相沟通。现在关注点已经转变成了对完整的综合性安全平台的需求,这些平台能够检测威胁并做出响应。”
McQuire 称,“在整个基础设施(涵盖本地和云端上的设备、网络和应用)中实现可见性的需求有力地推动了从单纯的防御向防御、检测和响应的转变。这是一个重大的变化,因为企业需要能够在更为广阔的攻击面上发现威胁并以前所未有的速度做出响应,以避免名誉受损和合规风险。这也是随着安全市场进入一个新的时代,我们为什么看到在过去几年当中市场上安全分类出现合并以及并购行为出现增长的原因。现代化的安全技术能够帮助企业建立起适合移动和云计算时代的安全架构,以及符合GDPR数据安全规范的新时代安全架构。”
Gold认为人工智能有可能会将 “松散的系统”整合起来,在网络方面提供新的洞察力,让“大海捞针”成为可能。他称,“新技术不仅是数字化转型所需要的,它们还能够让首席信息官们执行新的安全模式。”
最后,他表示团队中负责数字化转型的主管必须要能够带来安全性(或让团队成员能够带来安全性),并且拥有充足的资源能够让企业知道为什么安全性这么重要。“如果企业在数字化转型过程中没有考虑到安全性,那么转型将会失败。没有安全性,数字化转型也就没有什么意义了。”
Doug Drinkwater为美国国际数据集团(IDG)欧洲、中东和非洲(EMEA)内容总监。
原文网址
https://www.csoonline.com/article/3260637/security/what-is-securitys-role-in-digital-transformation.html