兩年前，數(shù)字化轉(zhuǎn)型達到一個高峰期，帶著新的流程模式和產(chǎn)品開發(fā)節(jié)奏，突破了傳統(tǒng)的速度瓶頸。隨著敏捷開發(fā)和DevOps等新的模式加速了市場，安全卻往往被忽略。在那個時候，Gartner就曾預(yù)言，在2020年前，會有60%的數(shù)字業(yè)務(wù)因安全團隊無法管理數(shù)字風(fēng)險而受到嚴(yán)重業(yè)務(wù)損失。

很多典型的安全問題接連出現(xiàn)，雖然很難把原因歸結(jié)于數(shù)字項目的轉(zhuǎn)型。IDC的安全研究副總裁Pete Lindstrom認(rèn)為，無論這些涉及范圍廣的安全泄露事件是否和數(shù)字化轉(zhuǎn)型直接相關(guān)，這些事件都引起商業(yè)上的領(lǐng)導(dǎo)者們重新思考風(fēng)險和解決方案，試圖將風(fēng)險最小化。

基于Marsh & Mclennan對1,500名執(zhí)行官級別的人的調(diào)研，全球大約有79%的執(zhí)行官級別的人，將網(wǎng)絡(luò)攻擊和威脅排在2020年組織最優(yōu)先的安全管理項目之一?？傮w而言，安全在數(shù)字化轉(zhuǎn)型中的角色已經(jīng)在意識和早期設(shè)計流程中的影響，兩個方面得到了改進，但CISO們依然在設(shè)法解決自身生態(tài)系統(tǒng)中項目的可視化范圍。

安全挑戰(zhàn)：緊跟節(jié)奏，而風(fēng)險更多

根據(jù)最近Altimeter的調(diào)研，IT決策人員不只是將安全作為他們在數(shù)字化轉(zhuǎn)型過程中最需要考慮的東西之一，同時也是他們投資優(yōu)先級第二高的項目（35%），僅次于云技術(shù)（37%）。數(shù)字化轉(zhuǎn)型技術(shù)一旦無法保護業(yè)務(wù)、客戶或者其他關(guān)鍵資產(chǎn)，就會變得毫無意義；另外，開發(fā)的復(fù)雜性與速度在最大規(guī)模的安全運營中依然是一大挑戰(zhàn)。

麻省理工大學(xué)的執(zhí)行主任兼制造和生產(chǎn)效率實驗室研究員Abel Sanchez博士認(rèn)為，安全層面的戰(zhàn)爭要比現(xiàn)在的決策周期節(jié)奏更快，因此一旦速度慢下來，就會難以維持一個領(lǐng)導(dǎo)層視角。他同時還表示，敏捷、靈活性、快速決策在安全和開發(fā)當(dāng)中都是必須的三要素。

安全領(lǐng)袖們還需要對數(shù)字化轉(zhuǎn)型過程中帶來的新風(fēng)險做好準(zhǔn)備。根據(jù)Ponemon的《數(shù)字轉(zhuǎn)型與網(wǎng)絡(luò)風(fēng)險》報告，82%的IT安全與執(zhí)行級別的受訪者認(rèn)為，他們因為數(shù)字化轉(zhuǎn)型至少經(jīng)歷了一次數(shù)據(jù)泄露事件。

企業(yè)風(fēng)險增多的一個原因在于企業(yè)越來越多地依賴于第三方——55%的受訪者認(rèn)為他們的第三方伙伴至少需要為他們其中的一次泄露事件負(fù)責(zé)。除了第三方問題之外，58%的受訪者表示他們?nèi)狈σ粋€第三方風(fēng)險管理項目；56%的執(zhí)行官認(rèn)為他們很難知道第三方合作者是否有相關(guān)政策，來確保他們信息的安全性。

而最主要的原因，應(yīng)該是安全和執(zhí)行官團隊之間的不協(xié)同——只有16%的受訪者表示他們的IT和業(yè)務(wù)完全匹配。

安全團隊也需要改變

安全團隊的挑戰(zhàn)，依然在于如何在數(shù)字化轉(zhuǎn)型的速度之下提升安全性，同時確保安全貫穿每個新的內(nèi)部數(shù)字流程，以及外部開發(fā)的產(chǎn)品或者相關(guān)互聯(lián)網(wǎng)機遇。許多解決方案最終落到IT和安全部門的文化之中。Sanchez博士認(rèn)為，安全團隊也需要隨著數(shù)字化轉(zhuǎn)型發(fā)生改變，而這并不容易；許多相關(guān)人員必須愿意學(xué)習(xí)新的技術(shù)，從而在企業(yè)中建立新的交互工作。

Sanchez博士認(rèn)為，這些改變的一部分可以通過重架構(gòu)解決。比如對于許多環(huán)節(jié)，測試人員將不必要，而測試工作則可以由軟件工程師自己完成。在他看來，沒有人比產(chǎn)品的創(chuàng)建者更了解如何保護一個產(chǎn)品。

另外，安全人員還需要不同的才能，或者需要改變一些自己現(xiàn)有的才能。在這個過程中，一些員工可能會被淘汰；但如果員工必須去適應(yīng)這種高速的變化。安全團隊需要的，是哪些能真正做出創(chuàng)新并將其引入工作中的人。

不過全球資訊和安全管理服務(wù)廠商NTT的美國分公司CEO Matt Handler認(rèn)為，對于安全團隊來說，也有一個好消息：安全團隊正在逐漸成為業(yè)務(wù)的一部分，和其他相關(guān)團隊的關(guān)系在逐漸改善。

他表示：“安全團隊正在明白，他們不能成為一個總是只會說‘不’的部門。他們需要變得更敏捷、靈活，同時成為賦能者，而非一個阻礙者。”

這一過程當(dāng)然也需要CISO的參與。CISO們要成為一名內(nèi)部的顧問，并且成為那些使用新應(yīng)用和技術(shù)部門的協(xié)作者。CISO們首先要改變自己的思路：不再說“不”，而是試著和其他部門一起探討如何能更快速，且安全地落地新的技術(shù)和應(yīng)用。

將安全融入企業(yè)

CISO們已經(jīng)說了好幾年，要將安全加入每個設(shè)計的開始階段。如今，由于更迅捷和動態(tài)的組件，這個目標(biāo)能更容易實現(xiàn)了。Lindstrom提到：“依靠內(nèi)置的安全功能，尤其是云環(huán)境的能力，我們現(xiàn)在有更多方式解決風(fēng)險。另外，我們也在逐漸從網(wǎng)絡(luò)和主機安全，轉(zhuǎn)向應(yīng)用安全、數(shù)據(jù)層面安全、身份安全等?！?/p>

另一方面，投資者預(yù)測，使用機器學(xué)習(xí)的網(wǎng)絡(luò)安全公司在2020年會有很大發(fā)展；不同的小領(lǐng)域網(wǎng)絡(luò)安全廠商會合并到一起，但同時他們也會受到更嚴(yán)格的檢查，確定他們的產(chǎn)品確有宣傳中的效果。擁有海量安全數(shù)據(jù)的公司能夠合并算法、分析能力和機器學(xué)習(xí)能力，快速識別威脅并響應(yīng)。機器只有在人類的管理下才能有最佳效果，同時還需要花時間累積大量的相關(guān)數(shù)據(jù)。

在Handler看來，從一個CISO角度，如果有能力同時確保安全性和速度，同時幫助企業(yè)完成自己的里程碑和目標(biāo)，那安全自然就能從一開始就融入流程之中——不過，要達到這個目標(biāo)尚需時日。

我們還有多遠？

Sanchez博士認(rèn)為，在將網(wǎng)絡(luò)安全融入數(shù)字化轉(zhuǎn)型的路上，很多企業(yè)只是“剛過半途”。他們已經(jīng)使用了自動化技術(shù)，并準(zhǔn)備開始考慮人工智能以及預(yù)測模型。

“我們已經(jīng)上了正軌，但這不代表我們的防線牢不可破?！盨anchez博士說到，“就像在數(shù)字化轉(zhuǎn)型前，軟件開發(fā)并未被完全集成到整個企業(yè)的業(yè)務(wù)環(huán)境中而現(xiàn)在卻做到了一樣，安全也會面臨同樣的發(fā)展。最終，業(yè)務(wù)、開發(fā)和安全都會合到一起，只是需要一些時間。”