數(shù)字化轉(zhuǎn)型需要內(nèi)置安全性 成功的五個(gè)步驟

變化是一個(gè)常數(shù)。作為人類，我們每七年更換一次體內(nèi)的每個(gè)細(xì)胞。同樣，在IT領(lǐng)域，我們必須跟上新技術(shù)的選擇和比以往任何時(shí)候都更多的競(jìng)爭(zhēng)。對(duì)于企業(yè)而言，數(shù)字化轉(zhuǎn)型是如何跟上這種不斷變化的趨勢(shì)。

數(shù)字化轉(zhuǎn)型涉及重新考慮您的公司如何提供服務(wù)-從開發(fā)新的在線服務(wù)到重新設(shè)計(jì)公司提供的產(chǎn)品種類。重要的要素是，數(shù)字化轉(zhuǎn)型不僅涵蓋IT領(lǐng)域，還涉及技術(shù)，業(yè)務(wù)流程，文化和工作流程等領(lǐng)域。

管理這種深刻的變化-數(shù)字化轉(zhuǎn)型應(yīng)涉及-意味著要更深入地研究事物。同時(shí)，在進(jìn)行這些大規(guī)模更改時(shí)必須牢記安全性。

數(shù)字化轉(zhuǎn)型與變革–為什么很難在其中堅(jiān)持安全性?

對(duì)于客戶而言，數(shù)字化轉(zhuǎn)型應(yīng)該在幕后進(jìn)行，除了所提供的服務(wù)外，其可見性極低。他們根本不需要構(gòu)建或了解后端基礎(chǔ)結(jié)構(gòu)，而是應(yīng)該獲得有用的服務(wù)，為他們提供更多價(jià)值。

對(duì)于企業(yè)而言，價(jià)值主張與之類似：更快地從更多地方獲取數(shù)據(jù)，然后將這些數(shù)據(jù)用作新服務(wù)的一部分，以保持客戶的參與度和滿意度。諸如物聯(lián)網(wǎng)之類的新技術(shù)的開發(fā)可以提供有關(guān)業(yè)務(wù)績(jī)效的更多數(shù)據(jù)-從供應(yīng)鏈中的產(chǎn)品存在到購買方式?？梢詫?duì)這些數(shù)據(jù)進(jìn)行分析并用于簡(jiǎn)化所提供的產(chǎn)品，運(yùn)往何處以及如何向客戶提供產(chǎn)品，所有這些目的都是為了增加銷量并保持客戶滿意。

對(duì)于正在進(jìn)行數(shù)字化轉(zhuǎn)型項(xiàng)目的公司，重點(diǎn)是如何提供更好的服務(wù)。但是，盡管這些項(xiàng)目側(cè)重于易用性，交付速度和采用率的提高，但它們常常忽略了安全性。除了這些傳感器和服務(wù)創(chuàng)建和存儲(chǔ)的數(shù)據(jù)之外，任何新的軟件服務(wù)或與Internet連接的設(shè)備都可能容易受到攻擊。

例如，已經(jīng)開發(fā)了太多具有差的安全性或不存在安全性并且不考慮更新的智能設(shè)備。結(jié)果，這些設(shè)備可能容易受到可以訪問嵌入式相機(jī)和麥克風(fēng)的黑客的攻擊。如果沒有更強(qiáng)的安全性，這些設(shè)備可能會(huì)允許攻擊者監(jiān)視您的活動(dòng)，或訪問可識(shí)別您何時(shí)在家或不在家的信息。

對(duì)于涉及數(shù)字轉(zhuǎn)換的人員，安全性必須與新服務(wù)設(shè)計(jì)一樣重要。但是，這并不是要阻止新的實(shí)現(xiàn)或停止創(chuàng)新。實(shí)際上，在這種環(huán)境下的安全性必須既無摩擦又透明。問題在于，許多數(shù)字項(xiàng)目都將重點(diǎn)放在功能上，而忽略或忽略了安全性。

這是一個(gè)文化問題，而不是技術(shù)問題。有多種安全框架和最佳實(shí)踐指南可用于數(shù)字轉(zhuǎn)換。從OWASP的Web應(yīng)用程序指南到有關(guān)IoT設(shè)備安全性標(biāo)準(zhǔn)的新建議，有多種資源可用于通過設(shè)計(jì)支持更好的安全性。企業(yè)必須要求將更多的安全性嵌入他們選擇在其數(shù)字轉(zhuǎn)換方法中使用的任何新設(shè)備或應(yīng)用程序中，而客戶也必須越來越關(guān)注其數(shù)據(jù)的安全性。

那么，您如何在這個(gè)瞬息萬變的世界中保持合規(guī)性?數(shù)字轉(zhuǎn)換安全性的宗旨是準(zhǔn)確性，可見性，可伸縮性，即時(shí)性和透明編排：

1.準(zhǔn)確性 –為了使安全性和合規(guī)性更加容易，您需要全面的資產(chǎn)可見性和控制權(quán)。對(duì)于企業(yè)而言，可以連接到網(wǎng)絡(luò)的大量設(shè)備都可以代表新的潛在入口點(diǎn)。除了直接連接到公司環(huán)境的任何內(nèi)容外，您可能還必須考慮連接到遠(yuǎn)程工作人員機(jī)器的設(shè)備。

要進(jìn)行管理，您將需要對(duì)所有IT資產(chǎn)(無論位于本地，云實(shí)例或移動(dòng)終結(jié)點(diǎn)上)的完整，準(zhǔn)確和詳細(xì)的清單。其中應(yīng)包括已知資產(chǎn)和未知資產(chǎn)或“影子IT”設(shè)備。

為此，您必須組合多種檢測(cè)IT資產(chǎn)的方法。您的資產(chǎn)數(shù)據(jù)應(yīng)包括來自現(xiàn)有漏洞管理和連續(xù)掃描服務(wù)的信息，以及可以發(fā)現(xiàn)網(wǎng)絡(luò)上未經(jīng)授權(quán)或個(gè)人設(shè)備的新被動(dòng)掃描的信息。這種組合應(yīng)顯示所有現(xiàn)有的Internet連接設(shè)備和資產(chǎn)。如果沒有這樣做，您的漏洞管理計(jì)劃和威脅情報(bào)決策將基于不完整，不準(zhǔn)確和過時(shí)的信息。這使您的組織面臨更大的風(fēng)險(xiǎn)。

2.可見性 –這與準(zhǔn)確性并存，因?yàn)槿绻麅烧邿o法很好地協(xié)同工作，您將無法全面了解所有IT服務(wù)(包括企業(yè)網(wǎng)絡(luò)外部托管的服務(wù))的狀況。

隨著更多的軟件和更多的數(shù)據(jù)轉(zhuǎn)移到云中，IT基礎(chǔ)架構(gòu)的數(shù)量已顯著增長。對(duì)于企業(yè)而言，IT現(xiàn)在包括本地?cái)?shù)據(jù)中心，端點(diǎn)機(jī)器，物聯(lián)網(wǎng)設(shè)備，移動(dòng)設(shè)備(如電話和平板電腦)以及在云中實(shí)現(xiàn)的新服務(wù)的資產(chǎn)。您無法保護(hù)自己不知道的東西。所有這些服務(wù)的可見性以及將該數(shù)據(jù)收集到一個(gè)地方有助于確保您所有資產(chǎn)的安全。

3.可擴(kuò)展性 –數(shù)字服務(wù)的基本要求之一是，它們可以根據(jù)需求的變化而毫不費(fèi)力地進(jìn)行擴(kuò)展。新的數(shù)字服務(wù)應(yīng)能應(yīng)對(duì)高峰時(shí)期用戶需求的快速增長，以免對(duì)客戶造成干擾。快速發(fā)展的企業(yè)在研究如何實(shí)現(xiàn)這些服務(wù)時(shí)應(yīng)特別注意可伸縮性。

同樣，安全基礎(chǔ)架構(gòu)應(yīng)能夠應(yīng)對(duì)這些基礎(chǔ)架構(gòu)的快速擴(kuò)展。對(duì)于基于微服務(wù)和容器等新技術(shù)的現(xiàn)代應(yīng)用程序，從一開始就將安全性和漏洞管理支持納入基礎(chǔ)架構(gòu)將確保規(guī)模不會(huì)影響安全管理或?qū)е抡呖瞻住Ｍㄟ^一開始就考慮規(guī)模和安全性，數(shù)字轉(zhuǎn)換項(xiàng)目可以避免將來出現(xiàn)問題。

4.即時(shí)性 –數(shù)字服務(wù)旨在向客戶提供快速，無摩擦的響應(yīng)。那是他們的本性。但是，重要的是，此服務(wù)速度必須與安全速度相匹配。安全團(tuán)隊(duì)需要能夠在潛在風(fēng)險(xiǎn)開始發(fā)展時(shí)對(duì)潛在問題做出快速反應(yīng)。

為了實(shí)現(xiàn)這一目標(biāo)，安全團(tuán)隊(duì)必須參與項(xiàng)目，以確保從一開始就內(nèi)置安全性。試圖將安全性改造到數(shù)字化轉(zhuǎn)換項(xiàng)目中將很快對(duì)相關(guān)人員造成問題-充其量，這將減慢項(xiàng)目在投產(chǎn)之前的進(jìn)度;最壞的情況是，當(dāng)這些服務(wù)被關(guān)閉并修復(fù)時(shí)，它可能會(huì)導(dǎo)致服務(wù)停止。無論哪種方式，對(duì)安全的感知都將成為創(chuàng)新的障礙，而不是提供這些新數(shù)字服務(wù)的必要組成部分。相反，更早地參與流程可以使安全性在問題開始之前就將其停止。

5.透明的編排 – 透明編排與其他標(biāo)準(zhǔn)一起，涉及如何管理業(yè)務(wù)中創(chuàng)建的所有數(shù)據(jù)。作為數(shù)字轉(zhuǎn)換的一部分，您應(yīng)該研究如何攝取數(shù)據(jù)，關(guān)聯(lián)多個(gè)來源并實(shí)時(shí)分析該數(shù)據(jù)。

這種自動(dòng)化和編排的主要好處是能夠在單個(gè)控制臺(tái)中匯總和合并來自多個(gè)源的各種信息。這樣，您可以在一個(gè)地方一目了然地輕松查看安全性和合規(guī)性狀況?；趤碜哉麄€(gè)企業(yè)的多個(gè)數(shù)據(jù)集的組合，您應(yīng)該能夠管理對(duì)問題的任何響應(yīng)，以免影響客戶。

改變數(shù)字轉(zhuǎn)換的安全性

正如越來越多的公司正在實(shí)施數(shù)字化轉(zhuǎn)型項(xiàng)目一樣，IT安全部門也正在改變自己的方法來保持?jǐn)?shù)據(jù)的流程和策略。生活節(jié)奏的加快和向更多互聯(lián)網(wǎng)連接服務(wù)的轉(zhuǎn)移相結(jié)合，導(dǎo)致更多公司轉(zhuǎn)向數(shù)字渠道以保持競(jìng)爭(zhēng)力。

但是，在急于數(shù)字化的過程中，不應(yīng)忽略良好的安全做法。相反，安全團(tuán)隊(duì)可以幫助開發(fā)人員和業(yè)務(wù)團(tuán)隊(duì)進(jìn)行協(xié)作，以使這些新的數(shù)字服務(wù)正常運(yùn)行。通過將準(zhǔn)確性，可見性，可伸縮性，即時(shí)性和透明編排的價(jià)值嵌入數(shù)字化轉(zhuǎn)換項(xiàng)目中，安全團(tuán)隊(duì)可以確保這些工作取得成功。