网络安全在数字转型中扮演什么角色?

笔者的一位朋友，曾任首钢首席研究员，最近在个人微信号上发表了一篇文章“从疫情处置看智能化推进”。

前些天有朋友说：有校友卖车卖房捐款给学校，但钱还放在****里。于是我想，武汉不缺钱但缺少资源：在把钱转化成资源的过程中出现了问题。有些问题是典型的资源配置问题：有的资源因人为原因运不进来，已有的资源不能及时公平地分发下去。

据说有位企业家3天打了上千个电话，主要解决封城导致的运输困难。有的资源运进来了，却堆在仓库中迟迟分不下去；有的因分配不公引发众怒。信息技术的很多优势没有发挥出来。有的基层单位做一件事，要给不同的上级部门填六七张类似的表格、浪费了大量宝贵的时间：这就是共享没做好；有的医院建好入住了，用电、餐饮却没有跟上：这就是协同没做好…..

原则上讲，智能化技术能让决策更科学、协同性更好、反应速度更快。但总体上说，这次的决策、协同和反应速度都不能令人满意。否则，不会出现今天这样的被动局面。

讨论智能化的时候，很多人都在谈算法问题、技术问题，而我和几位朋友却经常谈人的问题、机制的问题、利益的问题。与2003年SARS时期相比，当今的信息技术和硬件设施都已经有了巨大的进步。然而，在决策、协同、反应速度等方面，感觉上却是不进反退。

除了病毒本身的原因外，大概就是人的因素了。我经常强调：如果把智能化当成技术人员的事情，是做不好的。这次疫情处置暴露出来的问题，充分地说明了这个道理。

_

以上是传统企业信息化专家对智能化技术的反思，同样适用于网络安全。

集成化、自动化和智能化是下一代网络安全技术的重大演进方向，但是新冠疫情给我们敲响了警钟：安全风险管理，绝不仅仅是技术问题。把网络安全当成技术人员的事情，是注定要失败的，而且代价通常都很惨痛。

那么，在能力驱动的大安全时代，网络安全在企业数字化转型中到底该扮演何种角色？这个问题不搞清楚，网络安全市场很难跳出技术流的“沙盒”。

以下我们围绕数字化转型的话题，一起来看看企业网络安全面临的重大挑战和变革：

_

数字风险已经超过了传统安全团队的能力

很多企业已经将网络安全在数字战略中的优先地位提到显著位置，而意识到危机的CISO正在将安全责任分散到整个组织中，并致力于改变IT文化。

近两年，随着新工艺和产品开发以惊人的速度向前推进，数字化转型已进入高速发展阶段。随着以DevOps为代表的IT和业务的敏捷化，产品和应用上市速度得到极大提升，例如智能硬件、数字家电、智能应用，供应链全球化和企业竞争生态化产生了更大的“攻击面”，但是安全能力和设计方面的考虑却常常被抛在脑后，数字风险逐步累积逼近危险的阈值。Gartner预测到2020年，由于安全团队无法管理数字风险，将有60%的数字业务将遭遇重大服务故障。

尽管很难确定数字项目是主要原因，但高知名度的安全失误如预期般接踵而至。IDC安全研究副总裁皮特?林德斯特罗姆（Pete Lindstrom）表示：

不管广为宣传的违规行为是否与数字化转型直接相关，它们都让企业领导人重新思考风险和将风险降至最低的解决方案。

_

网络安全的挑战：预算优先级能否看齐云计算

Gartner数据显示，中国在2019年的IT支出约将达到2.9万亿元规模，而信息安全市场规模为500亿元左右，中国网络安全支出占IT支出比例仅为1.7%，而2018年全球信息安全支出占IT支出的比例为3.05%。显然，相对于全球平均安全支出水平还有相当大差距。

新冠病毒和WannaCry病毒给企业决策者最大的警示就是：无论是Safety还是Security，在安全支出上省钱，最后付出的代价将极为惨痛！

年后中国股市开盘网络安全板块不但没有暴跌，而且总体市值还创下历史新高，已经表明大多数投资者都意识到了网络安全市场在“黑天鹅”时代依然有巨大的成长空间。

那么面对“黑天鹅”事件和数字化转型的新挑战，企业的网络安全预算优先级和支出占比可参照大致的“国际标准”是多少？

根据最近的Altimeter调查，IT决策者不仅将网络安全列为数字化转型的首要考虑因素，而且还将其列为第二大投资重点（35%），略低于云计算（37%）。如果无法保护企业、其客户或其他重要资产，创新技术的大笔投资甚至成果都可能“一夜归零”。而面对安全威胁的复杂性和发展速度，即使是最顶级的安全运营团队也会面临持续的挑战和压力。

麻省理工学院制造业与生产力实验室的执行董事兼研究科学家Abel Sanchez博士说：

这场战斗比我们的决策周期要快。如果你行动慢一些，那么从领导力的角度来看，你就变成局外人了。

他补充说，在安全和发展方面，需要敏捷性、灵活性和快速的决策。

在全球能源解决方案公司施耐德电气，网络安全是其转型战略的核心。面对企业并购以及从研发到供应链和服务的业务复杂性，施耐德全球CISO Christophe Blassiau反复强调企业整体数字化安全运营的可视性。IT和运营技术（OT）的集成产生的新连接、数据源和潜在漏洞都需要防护，施耐德的网络团队必须将公司的安全性与合作伙伴和供应商的生态系统由点到面地对接起来。

我不想扩大安全团队的规模，因为这样做给人的印象是，安全问题会有专人解决。在施耐德，安全是每个人的责任。

——施耐德全球CISO Christophe Blassiau

Blassiau表示：我们不是头痛医头，脚痛医脚地划分安全职责或者资质，我们从全公司范围的IT和风险治理设计阶段就开始融入安全。

施耐德对网络采取了双向方式，制定了一个全新的网络安全实践计划，并在每个实践和整个公司中嵌入网络专业人员（数字风险经理和区域CISO），以创建一个网络安全领导者社区，他们接受培训并专注于特定的网络风险。此举让Blassiau 在数字空间中有了一种“控制感”。

每个片区都有一个网络安全负责人向数字实践执行领导汇报，同时也向我汇报。

_

融入业务：安全团队也必须转型

安全团队面临的最大挑战仍然是如何让安全跟上企业数字转型的速度，确保安全性覆盖每一个新的内部数字流程、新产品开发和外部互联网机会。Sanchez说，大部分安全解决方案都归结于IT和安全部门的文化。安全团队也必须经历一场变革。但这并不容易，许多员工必须愿意学习新技能，才能与企业业务人员互动。

其中一些安全转型可以通过重组来实现。例如，许多安全测试人员正在消失，测试工作由软件工程师完成。谁能比产品开发者更懂得如何保护它呢？其他开发领域也是如此。

（编辑：ASP站长网）