內容目錄
文/Stacy Collett 譯/Nica
兩年前,數位轉型快速席捲全球,以新處理程序與產品,極速發展。當敏捷與DevOps這類IT與商業經營的速成舉措加快了切入市場的速度,安全性考量就被拋在腦後。如今,Gartner預測有60%數位業務將在2020年因資安團隊能力不足以管理數位風險,而面臨重大服務失誤。
雖然很難精準確認是由於數位專案所導致,但備受矚目的資安過失繼而一如預期的發生了。「無論這些高度公開的外洩事件是否直指與數位轉型相關,這些事件都讓企業領導者重新考量風險,與足以最小化風險的解決方案。」IDC資安研究副總裁 Pete Lindstrom 如此表示。
據 Marsh & McLennan 針對1500名執行高層所做的調查內容顯示,現今已有79%全球執行高層將網路攻擊與威脅,列入企業組織2020年風險管理首重優先處理事項之一。整體而言,資安在數位轉型中的角色,在設計程序早期階段的意識與參與方面皆有改善,不過CISO還在努力設法爭取他們在其產業生態中專案所及的能見度。
資安的挑戰:與時俱進、風險尤甚
據Altimeter近期的一份調查報告指出,IT決策制定者面臨數位轉型時,不僅將網路安全納入優先考量,同時也是企業第二優先投資(35%),僅次於雲端(37%)。若企業不能保障其業務、客戶或其他賴以維生的資產,那麼在轉型技術上的投資就毫無意義,而開發的複雜度與速度也會持續成為挑戰,甚至變成資安操作的難題。
「持續進行的這場戰役,速度比我們的決策周期還快。若動作太慢,從領導者角度來看你就不重要了。」麻省理工學院製造與生產力實驗室的執行董事暨研究科學家 Abel Sanchez 博士做出如上表示。敏捷度、彈性與快速制定決策,都是資安與開發不可或缺的,他補充道。
以全球能源解決方案公司施耐德電機(Schneider Electric)的做法為例,網路安全是該公司轉型策略的重點。該公司全球資訊安全長(CISO) Christophe Blassiau 設法取得整體企業的能見度,因為該企業擁有複雜的併購組合與諸多各異企業行動項目--從研發到供應鏈到服務。IT與營運技術(OT)整合也帶來新的連結、資料來源及必須保護的可能弱點,而他的團隊必須將企業資安與其合作夥伴與廠商的產業生態之間所有的點連結起來。
「我們在整個企業組織上下都找不到適切的主權身份與才能,所以從設計與組織開始建立橫跨整個企業的管理體系。」Blassiau說道。「我並非要逐漸壯大的團隊,因為這會產生一種有某人會來解決的印象。在我們公司,安全性是所有人的責任。」
取而代之的做法是,Schneider對網路採雙重處理:建立數位網路安全實作,並在每個實作裡安插網路專家(數位風險管理與區域性CISO),接著在整體企業建立網路領導社群,這些領導者皆受過訓練,專門處理特定網路風險。這種改變給了Blassiau「在數位領域中的控制感。這樣的做法下,網路領導者向每位數位實作執行領導者報告,也向我報告。」他表示。
資安領導者,必須為數位轉型帶來的額外風險做好萬全準備。據Ponemon的 Digital Transformation and Cyber Risk 報告指出,有82%的IT資安與CXO高層主管回應表示,他們至少經歷一次由數位轉型所導致的資料外洩事件。
增加風險的因素之一是對第三方逐漸依賴,有55%應答者表示至少有一項外洩事件歸咎於此。除了對第三方的依賴外,有58%應答者表示,他們沒有針對第三方網路風險管理的應對專案,而有56%的CXO主管表示,要知曉第三方是否具備保障其資訊安全性的政策與實作是有難度的。
據Ponemon報告指出,數位轉型專案過程中引發易受攻擊弱點的主要肇因,是由於資安與CXO主管的不一致。僅16%應答者表示IT與業務完全契合。
資安團隊也必須轉型
最後,資安團隊就只剩下如何跟上數位轉型的速度加入安全性這項挑戰,還要確保安全性深入每個新的數位程序與外部產品開發或建立網際網路契機。絕大多數解決方案取決於IT與資安部門文化,Sanchez表示。「資安團隊還必須把整個轉型程序走過一遍。」他警告,這並不容易,而且必須有許多工作人員願意學習新的技能,以便與營運組織互動。
這些行動有部份可以靠重新組織做到,Sanchez表示。舉例來說,在許多實作中測試人員正在消失,測試的部份現由軟體工程師完成。「有誰比創造這項產品的人更瞭解它有多安全?」他補充道,開發程序的其他範疇也能這麼做。
「你可能也許要不同的人才,或必須替換人才。你會失去一堆人,但他們就是必須勝任。你需要能夠改革並引進改革的那種人,」Sanchez表示。「這個世界的變化就是太快。」
好消息是整體而言資安團隊越來越平易近人,並逐漸成為業務的一部份,從而建立了更好的關係,NTT美洲資安執行長 Matt Handler 表示,NTT乃大型全球諮商與管理資安服務供應商,提供數位轉型服務。
「資安團隊正在學習不要成為永遠的『不可以辦公室』。他們必須敏捷、彈性,被視為能者而不是阻礙者。」Handler表示。「這是去年左右才開始有的現象。」
CISO也要進化,要擔任企業內部顧問的角色,也要成為佈署應用或新技術部門協作者,Handler補充說明。「與其反對,不如說『我們來看看,能否盡可能快又安全地為這件事做點什麼。』光這樣的說法,我認為就能改變CISO的局面。」
代入安全性
CISO多年來一直宣揚,在設計程序初期就必須置入安全性。如今,更靈活與動態的元件,讓這個目標更容易達成。「有了雲端更是如虎添翼,」還有能加以利用的內建安全性功能,「我們就能用它們抵禦風險,」Lindstrom表示,「而且我們正讓作業堆疊更貼近應用、資料層安全性與身份識別等諸如此類,而不再是網路與以主機為基礎的安全性。」
此外,投資者預測使用機器學習的網路安全公司,將隨著適任資安廠商數量漸趨穩定而在2020年脫穎而出,不過它們會面臨高規格審查-以它們聲稱自有技術能達到的嚴謹程度。擁有可以結合演算法、分析與機器學習的大規模安全性資料池的公司行號,可以用極快速度識別並反制威脅-幾乎就在事件發生當下那麼快。機器只能做到跟策劃它們的人一樣好,只能做到與進行模式比對所針對的那些資料一樣完整,但這必須花時間。
「從CISO的角度來看,若能快速提供安全性,協助公司依舊達成里程碑與目標,並且從一開始就將安全性牢牢嵌進處理程序裡,你就安全達陣了。而這絕對就是未來的樣貌。」Handler表示。
我們到一定程度了嗎?
談到數位轉型中的網路安全,Sanchez認為很多企業組織已經「完成一半」。「這些企業大多走完整個自動化程序,且已經開始尋找人工智慧與預測模組。」
「我們走在正確的道路上,但不代表這就不會出錯。」Sanchez說道。「就如同軟體開發在數位轉型前仍未全面整合,時下安全性狀況也是如此。這一切如今都必須整合在一起。只是需要花點時間。」
本文轉載自 CIO Taiwan,來源:資安在數位轉型裡的角色
