记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

诸子笔会 | 肖文棣:数字化转型中的安全漫谈

2021-06-19 16:31





自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。




数字化转型中的安全漫谈

文 | 肖文棣




肖文棣

晨星资讯(深圳)有限公司 

安全架构师



OWASP中国广东分会负责人,获得华中科技大学软件工程专业工程硕士学位,持有CISSP、AWS助理解决方案架构师和AWS安全专家等认证。现任晨星资讯(深圳)有限公司安全架构师职务,负责应用安全设计、管理和评审等工作。



数字化转型已经成为企业的核心战略,这是企业应对经济增长放缓、市场竞争激烈、用户需求越来越个性化的必然结果。数字化转型不是一朝一夕的事情,而是一个漫长的过程。所有组织和个人都应制定合适的长期战略来应对。


根据IDC的定义,数字化转型(DX)是指企业运用第三方平台技术,包括云计算、大数据、社交网络和移动应用,通过新的产品和服务、新的业务模式和新的关系创造价值和竞争优势。简单来说,就是对公司的组织和业务流程进行彻底改革,使企业能够利用新兴技术实现业务持续增长,具体来说,营销团队希望能够改变产品的推广方式;人力资源部门希望改善招聘流程;IT团队希望能够及时更新在线服务等。其目的是实现企业业务的转型、创新和增长。其核心一定是业务的转型。



但是在数字化转型过程中,许多人却常常忽略安全因素的重要性。数字化转型过于注重为客户提供价值,以至于很少会考虑到核心安全功能所产生的影响。但事实上,随着数据泄漏、恶意软件和漏洞数量的急剧增长,缺乏安全的数字化转型将使企业面临更大的安全风险。



数字化转型带来新的流程模式和产品开发节奏,突破了传统的速度瓶颈。随着敏捷和DevOps等新的模式加速发展,安全往往被忽视。根据Gartner报告的预测,由于安全团队无法管理数字风险,2020年,60%以上的数字业务将遭受重大服务故障。


IDC公司也通过对2000位跨国企业CEO的调查发现,超过71%的CEO认为对网络安全的担忧正在阻碍其组织内的创新。安全问题是企业迈向数字化转型途中最令人担忧的问题。


近年来,“新基建”是一个网络热词,“新基建”的热度不仅体现在拉动短期投资、加快国家基础设施的速度,而且在推动产业、经济、社会乃至城市治理方面的数字化建设也具有深远意义,能够推动整个国家往信息化阶段走向更全面的数字化阶段。


360的总裁周鸿祎表示,当整个世界、整个国家都完成数字化建设后,其基础都将建立在软件上,这时候如果网络安全没有保证,如若软件有漏洞、遭到攻击,数字化的世界将会受到重大的破坏。所以,安全将成为“新基建”的基础、基石。有了网络安全的保护才能给新基建保驾护航。


既然安全这么重要,那么安全部门在企业的数字化转型中扮演什么样的角色?这是一个值得思考的问题,据笔者了解,很多企业里,安全部门总是被当成背锅侠。有句行话,如果没有问题,要安全何用?如果有问题,要安全何用。笔者认为这样的想法是不恰当的。



根据“安全源于设计”运动的记录数据显示,企业对于安全的重视度已经得到了很大的提升,CCS Insight的领导者Nick表示,“如今,我们可以看到安全问题已经成为所有组织和首席信息官(CIO)的顶级议程项目。在对美国和欧洲的企业进行调查发现,超过70%的受访企业表示他们已经增加了安全方面的预算。”


但是无论如何提高投入,安全人员在企业内部都是稀缺的。公司可能有几千人,但是安全人员可能就是二十来人,前者与后者的比例可能达到100倍甚至更多,所以指望安全人员一手包办整个企业的安全是不现实的。


根据CISSP的要求,企业的最高领导者是安全的最终负责人,同时安全是企业每个人的事情,而绝对不仅仅是安全部门的事情。所以安全部门在企业应该是一个合作者的角色,一个指导者的角色,而不是一个背锅侠的角色。这个理念的转变在数字化转型中非常重要。因为思维的高度决定企业的高度。在笔者公司,倡导的理念就是企业安全人人有责。


全球能源解决方案公司施耐德电气的全球CISO,Chrisophe Blassiau说,“我不想发展更大的团队,在这里,安全是每个人的责任”。



在数字化转型过程中,安全团队也必须转型,安全团队面临的挑战是安全必须适应数字化转型的速度,并确保每个新的内部数字流程和开发的外部产品都是安全的。NT美洲的CEO,Matt Handler表示,好消息是整个安全团队变得更加平易近人,成为业务的一部分,从而建立更好的关系。与其说“不”,不如说“让我们看看我们如何尽快并安全地做到这一点”。Handler说,“安全团队正在了解他们不能一直说不,而必须敏捷、灵活,并被视为推动者而不是阻碍者”,CISO也必须发展,并在部署应用程序和新技术的部门中扮演内部顾问和合作者的角色。


笔者公司一直贯彻这样的理念。在笔者公司的数字化转型中,IT部门使用公有云来替代现有的数据中心,以解决企业资源的问题;市场部门使用微信的公众号来推广自己的产品,培养新的市场增长点;人力资源部门使用微信公众号做招聘宣传,使用第三方的平台进行在线简历管理,提高招聘效率;内部其他部门引用机器人技术来提高自动化水平,提升办事效率。


这些一切都是新的,对于安全部门都是挑战。但基于企业安全人人有责的理念,各个部门都会主动将他们的想法和笔者的安全部门进行商讨,然后共同评估风险和寻找解决方案。这就是真正的企业安全人人有责的理念。


同时笔者公司在2015年就实践了OWASP提出的Security Champion概念,在每个项目都设置有Security Champion的角色,通过Security Champion可以很好地将安全落实到项目中,并且通过Security Champion将业务部门和安全部门紧密联系起来,一起合作将业务做好。



所以在数字化转型中,安全部门一定要做好自己的定位,不能做背锅侠,而应该和其他部门紧密合作,做到企业安全人人有责,并且通过自己的安全知识,建立好安全规范和指导,通过工具和平台更好地服务好业务部门,为业务的发展保驾护航。








RECOMMEND

推荐阅读

诸子笔会|张永宏:安全数字化的价值端建设

诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析

诸子笔会 | 孙琦:数字化助推企业信息安全管理

诸子笔会 | 李磊:安全数字化思考与实践






原文阅读查看往期征文合集


齐心抗疫 与你同在 



你怎么这么好看



知识来源: https://mp.weixin.qq.com/s?__biz=MzIzMTAzNzUxMQ==&mid=2652916765&idx=1&sn=5c40e5a16a0acfe65c7bc86070df21d9

阅读:104169 | 评论:0 | 标签:安全

想收藏或者和大家分享这篇好文章→复制链接地址

“诸子笔会 | 肖文棣:数字化转型中的安全漫谈”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁