數(shù)字轉(zhuǎn)型中收益與風(fēng)險(xiǎn)共存

■ 山東 李文竹 趙長(zhǎng)林

編者按：很多企業(yè)都正經(jīng)歷數(shù)字轉(zhuǎn)型，但數(shù)字轉(zhuǎn)型在為企業(yè)帶來(lái)收益的同時(shí)還存在安全風(fēng)險(xiǎn)，企業(yè)必須重視這些風(fēng)險(xiǎn)問(wèn)題，并做出應(yīng)對(duì)，才能立于不敗之地。

數(shù)字技術(shù)已從根本上改變了企業(yè)處理業(yè)務(wù)的方式。移動(dòng)訪問(wèn)、高級(jí)分析、云計(jì)算等增加了運(yùn)營(yíng)的靈活性，又促進(jìn)了收入的增長(zhǎng)。因此，企業(yè)在數(shù)字技術(shù)上花費(fèi)了大量資金用于數(shù)字技術(shù)來(lái)保護(hù)自己。數(shù)字轉(zhuǎn)型的好處在范圍和規(guī)模上是沒(méi)有限制的，但是數(shù)字轉(zhuǎn)型也給企業(yè)和安全團(tuán)隊(duì)帶來(lái)了新的風(fēng)險(xiǎn)。

擴(kuò)展的基礎(chǔ)架構(gòu)和增加的復(fù)雜性

云、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)等新技術(shù)已經(jīng)劇烈影響了變化周期。以前需要幾年時(shí)間才能實(shí)施的東西在如今只需幾個(gè)月、幾星期甚至幾天時(shí)間。然而，每一種新技術(shù)都會(huì)使復(fù)雜性劇增，從而引起故障，甚至增加企業(yè)的攻擊面。

企業(yè)不斷擴(kuò)增的基礎(chǔ)架構(gòu)可能存在弱點(diǎn)，如開(kāi)放的端口、漏洞、弱證書或到期證書。這些弱點(diǎn)存在于企業(yè)已知的基礎(chǔ)設(shè)施中，但也會(huì)擴(kuò)展到影子IT設(shè)施，也就是在IT部門管理之外的項(xiàng)目和軟件，這些可能并不為安全團(tuán)隊(duì)所知。而攻擊面越來(lái)越難以可靠確認(rèn)，更別說(shuō)減少了。

“第三方”帶來(lái)的挑戰(zhàn)

很多企業(yè)都經(jīng)歷過(guò)由“第三方”帶來(lái)的數(shù)據(jù)泄露事件。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）甚至認(rèn)為第三方為首要的風(fēng)險(xiǎn)源，部分原因就在于糟糕的安全實(shí)踐。所以，企業(yè)又能如何確信在業(yè)務(wù)運(yùn)營(yíng)中發(fā)揮關(guān)鍵作用的供應(yīng)商和分包商能夠充分保護(hù)自己的敏感數(shù)據(jù)？

企業(yè)可以用多種方法提升第三方的風(fēng)險(xiǎn)意識(shí)：教育內(nèi)部的利益相關(guān)者要正確地管理第三方風(fēng)險(xiǎn)；要在合同上通過(guò)面向外部系統(tǒng)的獨(dú)立檢查來(lái)強(qiáng)化第三方的安全業(yè)績(jī)期望；要在一個(gè)中心數(shù)據(jù)庫(kù)中跟蹤第三方的風(fēng)險(xiǎn)；要基于已知的長(zhǎng)處和弱點(diǎn)來(lái)調(diào)整方法。

但即使上述全部措施也未必能充分保護(hù)企業(yè)的敏感數(shù)據(jù)：企業(yè)應(yīng)當(dāng)假設(shè)其信息已經(jīng)泄露，并采取措施檢測(cè)和修復(fù)損失。

網(wǎng)絡(luò)犯罪“數(shù)字化”

隨著第三方生態(tài)系統(tǒng)的發(fā)展，越來(lái)越多的數(shù)據(jù)被存儲(chǔ)在云端，企業(yè)的敏感數(shù)據(jù)頻繁地被泄露。洞悉這一切的網(wǎng)絡(luò)犯罪分子充分利用這種“意外收獲”的數(shù)據(jù)泄露，利用機(jī)密憑據(jù)竊取賬戶或知識(shí)產(chǎn)權(quán)，實(shí)施針對(duì)企業(yè)的間諜活動(dòng)。

然而，網(wǎng)絡(luò)犯罪分子已經(jīng)注意并找到了利用企業(yè)數(shù)字變革努力的方法。一旦公司或銀行提供了一個(gè)新的改進(jìn)訪問(wèn)性和效率的移動(dòng)APP，網(wǎng)絡(luò)犯罪分子很快就開(kāi)發(fā)出一種適合其需要的操縱方法。

為防護(hù)這些威脅，企業(yè)需要找到檢測(cè)數(shù)據(jù)泄露的新方法，以保障其在網(wǎng)絡(luò)上的品牌，并減少攻

【】【】

擊面。

問(wèn)幾個(gè)適當(dāng)?shù)膯?wèn)題

數(shù)字技術(shù)使得企業(yè)更靈活、增加盈利和更好地響應(yīng)顧客。但數(shù)字化是一個(gè)持續(xù)的過(guò)程，并且需要花費(fèi)時(shí)間和精力。最終，為全面地從這些革新性的數(shù)字實(shí)踐和工具中獲益，同時(shí)還要確保網(wǎng)絡(luò)安全，企業(yè)必須準(zhǔn)備不斷地計(jì)劃并持續(xù)協(xié)作，從而增加自身和第三方數(shù)字化實(shí)踐的透明性。為減少這種數(shù)字風(fēng)險(xiǎn)，企業(yè)管理者不妨尋求以下三個(gè)問(wèn)題的答案。

首先，誰(shuí)負(fù)責(zé)管理數(shù)字風(fēng)險(xiǎn)？我們僅僅依靠CISO或風(fēng)險(xiǎn)僅僅局限于某個(gè)領(lǐng)域嗎？其次，我們要將數(shù)字風(fēng)險(xiǎn)管理從公司擴(kuò)展到合作伙伴和廠商的生態(tài)系統(tǒng)嗎？企業(yè)部署哪些工具才能檢測(cè)和減少傳統(tǒng)邊界之外的風(fēng)險(xiǎn)呢？第三，企業(yè)的CISO能否解決企業(yè)風(fēng)險(xiǎn)中的安全問(wèn)題？企業(yè)是否根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)來(lái)衡量安全團(tuán)隊(duì)的成功？

隨著企業(yè)數(shù)字化的進(jìn)一步擴(kuò)展，外圍將繼續(xù)削弱，但是，有了適當(dāng)?shù)娘L(fēng)險(xiǎn)保護(hù)策略，任何企業(yè)都可能在數(shù)字轉(zhuǎn)型時(shí)代獲得成功。