7月1日,在2022信息安全高級論壇暨RSA熱點研討會上,奇安信集團戰略咨詢規劃部副總經理鄔怡表示,信息技術與業務運營深度結合、融為一體,企業業務運營高度依賴IT的穩定運行,網絡安全風險等同于業務風險。
“安全正在從底層基礎架構,向應用、業務方向進行深度融合、覆蓋。”鄔怡表示,從2018年到今年的RSAC安全主題演變發現,安全的重點從基礎安全,逐步向數據安全、供應鏈安全、身份安全等方向轉型。這一轉變的背后,數字化的影響是不容忽視的。
數字化成為當今世界轉型升級的新動能,對于企業來說,數字化轉型是企業經營管理模式的全面變革,需要全體人員的共同參與。根據IDG對全球領先的702位IT和商業決策者調查結果顯示,企業的數字化轉型將為企業帶來員工生產力的提升、數據驅動業務價值提升、客戶體驗提升等8方面的價值。
網絡安全是數字化轉型成功的關鍵,不安全,則無業務。鄔怡指出,企業網絡安全體系建設是數字化轉型的“底板工程”,網絡安全是業務發展的前提。“數字化業務運營高度依賴IT的平穩、可靠運行。這也意味著,當業務與信息化深度融合,網絡安全風險等同于業務運營風險。”
鄔怡表示,十四五時期,網絡安全已從“配合”逐漸升級到與信息化同步規劃建設,形成獨立的主線。從安全管理模式來講,企業的網絡安全管理模式將從“被動”的配套模式升級為以“三同步”為原則的體系化規劃建設模式;從安全能力上來講,應從零散演進到體系化,實現安全能力可擴展、可集成、可協同,關注體系化作戰和持續的安全效果;從建設模式來看,從此前的產品獨立部署轉變為深度結合、全面覆蓋,通過實戰化運行將安全融入IT 工作,開展常態化保障數字化業務運營。
鄔怡還總結了數字化轉型階段,安全管理理念的四個變化:一是安全“損失”的含義發生變化:數字化階段,網絡安全損失從信息資產損失提升為業務運營價值損失,同時企業還可能面臨法律責任風險,網絡安全風險可能會導致“一失萬無”的嚴重后果;二是管理理念發生變化:從信息化初級階段的合規管理、信息化高級階段的風險管理,轉變為數字化運營階段的“三同步”;三是安全假設發生變化:“邊界之內皆安全”的假設已不再成立,新的安全假設將更加有效的牽引安全防御措施設計,幫助防守方識別及保護戰術目標,并提示防守方明確戰略任務保障措施;四是,要完善網絡安全“防御姿態”管理:其關鍵是要以體系化技術防御為支撐,形成常態化運行機制、關鍵要把安全運行工作條令化(SOP)、安全團隊建制化,從而形成可持續性防御能力,做到“隨時能戰、戰之能勝”,從而達到保障業務的目標。
面對數字化轉型下的諸多變化如何最終落地,鄔怡表示,應從安全規劃視角,以系統工程方法支撐頂層規劃,將信息化和安全在各個層面和各個角色對齊,促進安全內生于信息化,以網絡安全規劃為指引進行安全能力疊加演進,實現網絡安全與信息化“三同步”的建設模式,確保安全能力與信息化的融合。
