作為CBTS公司的首席信息安全官顧問(wèn)，我經(jīng)常與CIO和 IT 戰(zhàn)略領(lǐng)導(dǎo)者交談。通常，交流的重點(diǎn)是安全問(wèn)題，以及在年度預(yù)算中優(yōu)先考慮業(yè)務(wù)環(huán)境中的安全技術(shù)支出。我還幫助他們考慮，當(dāng)新項(xiàng)目提交給董事會(huì)以尋求資金支持時(shí)，何時(shí)該讓首席信息安全官參與進(jìn)來(lái)。

一個(gè)正受人關(guān)注的項(xiàng)目是數(shù)字轉(zhuǎn)型。有時(shí)這種關(guān)注來(lái)自于CIO，有時(shí)則來(lái)自于另一高層領(lǐng)導(dǎo)。首席財(cái)務(wù)官可能會(huì)看到老舊硬件的經(jīng)常性支出每年都在增加，以及維持遺留系統(tǒng)運(yùn)行也需要資本支出。

沒(méi)有一個(gè)首席財(cái)務(wù)官希望自己的資本支出或運(yùn)營(yíng)成本的預(yù)算每年都呈上升趨勢(shì)，除非有相應(yīng)的收入增長(zhǎng)。

從老舊技術(shù)遷移到現(xiàn)代云環(huán)境，這具有很強(qiáng)的吸引力，而且可以帶來(lái)利潤(rùn)，但你要確保首席信息安全官在開(kāi)啟這一對(duì)話(huà)和戰(zhàn)略時(shí)就參與其中，而不是在產(chǎn)品和供應(yīng)商被選定后再參與進(jìn)來(lái)。

如果CIO清楚，從內(nèi)部可靠運(yùn)行且有良好安全保障的內(nèi)部解決方案遷移出去所帶來(lái)的風(fēng)險(xiǎn)，那么企業(yè)的情況會(huì)很好。但是，如果制定戰(zhàn)略決策的人在沒(méi)有計(jì)算風(fēng)險(xiǎn)的情況下就把非常安全的企業(yè)數(shù)據(jù)轉(zhuǎn)移到云環(huán)境中，那么就有可能遭遇數(shù)據(jù)外泄或勒索軟件事件，從而把自己的數(shù)據(jù)泄露給競(jìng)爭(zhēng)對(duì)手。

為了最大限度地降低數(shù)據(jù)泄露或數(shù)據(jù)丟失的風(fēng)險(xiǎn)，企業(yè)領(lǐng)導(dǎo)者需要做的是確保自己了解如何實(shí)施數(shù)字化轉(zhuǎn)型項(xiàng)目。如果你存儲(chǔ)在云端或移動(dòng)設(shè)備上的數(shù)據(jù)丟失、被盜或遭到破壞，那么數(shù)字化轉(zhuǎn)型的戰(zhàn)略利益可能會(huì)很快喪失。

對(duì)于大多數(shù)公司來(lái)說(shuō)，數(shù)字化轉(zhuǎn)型有三個(gè)主要組成部分：彈性、規(guī)模和上市速度。

企業(yè)領(lǐng)導(dǎo)者希望放棄傳統(tǒng)的業(yè)務(wù)環(huán)境，因?yàn)樵谶@一環(huán)境中，更新升級(jí)很復(fù)雜，很難維護(hù)和打補(bǔ)丁，因此增加容量很困難或很昂貴。云端環(huán)境可以更容易更新升級(jí)，可以根據(jù)需要迅速靈活地?cái)U(kuò)大或減小規(guī)模，以及擁有一個(gè)可迅速調(diào)整以滿(mǎn)足市場(chǎng)需求的靈活環(huán)境。

你可以通過(guò)以下常見(jiàn)方法來(lái)改造遺留應(yīng)用程序：

• 將自托管的總賬和工資應(yīng)用程序遷移到云托管的解決方案。
• 提升自己的網(wǎng)絡(luò)影響力，升級(jí)為移動(dòng)端優(yōu)先的網(wǎng)頁(yè)設(shè)計(jì)。
• 整合物聯(lián)網(wǎng)設(shè)備，以加深市場(chǎng)滲透和使客戶(hù)快速接受。
• 過(guò)渡到基于訂閱方式的產(chǎn)品或服務(wù)。
• 使員工能夠隨時(shí)隨地在任何設(shè)備上工作。

你可能會(huì)想知道：為什么 IT 部門(mén)沒(méi)有加入轉(zhuǎn)型的行列?原因往往是缺乏資金。

德勤公司在 2020 年的一份報(bào)告指出，IT 部門(mén)平均將 56% 的預(yù)算用于維護(hù)，只有 18% 的預(yù)算用于創(chuàng)新。好吧，我會(huì)把可用的資金來(lái)淘汰遺留應(yīng)用程序。

你可能在想：“增加預(yù)算可以解決這個(gè)問(wèn)題!”但沒(méi)有那么快。波耐蒙研究所 2022 年的一項(xiàng)調(diào)查報(bào)告顯示，超過(guò) 70% 的受訪(fǎng)者認(rèn)為自己的企業(yè)經(jīng)歷了數(shù)據(jù)泄露，因?yàn)樗麄兿虻谌焦?yīng)商授予了過(guò)多的訪(fǎng)問(wèn)權(quán)限。

創(chuàng)新和安全需要齊頭并進(jìn)。

當(dāng)進(jìn)行創(chuàng)新和使用新的云服務(wù)時(shí)，你需要使用新的安全工具和管理機(jī)制進(jìn)行保護(hù)，并監(jiān)測(cè)誰(shuí)可以訪(fǎng)問(wèn)數(shù)據(jù)，以及他們可以用數(shù)據(jù)做什么。安全工具需要從堆棧上移到應(yīng)用層，以重點(diǎn)關(guān)注數(shù)據(jù)。其目標(biāo)是保護(hù)數(shù)據(jù)，而不是設(shè)備或網(wǎng)絡(luò)。

確保數(shù)字化轉(zhuǎn)型項(xiàng)目平穩(wěn)推進(jìn)，需要關(guān)注四個(gè)安全領(lǐng)域

1. ZTNA：零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)不是一個(gè)可以購(gòu)買(mǎi)的產(chǎn)品，更確切地說(shuō)，它是一種方法，其前提是任何用戶(hù)或設(shè)備都是不可信的。用戶(hù)和設(shè)備在被授予訪(fǎng)問(wèn)權(quán)之前需要進(jìn)行驗(yàn)證。

2. TPRM：第三方風(fēng)險(xiǎn)管理是風(fēng)險(xiǎn)登記冊(cè)的一個(gè)主要組成部分。當(dāng)你將應(yīng)用程序遷移到云托管解決方案或亞馬遜網(wǎng)絡(luò)服務(wù)/微軟云 (AWS/Azure) 時(shí)，你無(wú)法再控制誰(shuí)可以訪(fǎng)問(wèn)數(shù)據(jù)中心;你是將自己的數(shù)據(jù)和系統(tǒng)托付給第三方。你需要確認(rèn)，第三方是否已經(jīng)部署了自己想要的安全流程和程序。任何存儲(chǔ)、傳輸、處理或可以訪(fǎng)問(wèn)你的數(shù)據(jù)的供應(yīng)商都需要進(jìn)行第三方風(fēng)險(xiǎn)管理。

3. 物聯(lián)網(wǎng)：像 Alexa、Siri 和谷歌家居 (Google Home) 等物聯(lián)網(wǎng)設(shè)備就是你如今客戶(hù)所處的位置。數(shù)字化轉(zhuǎn)型將導(dǎo)致無(wú)數(shù)的設(shè)備與你的數(shù)據(jù)進(jìn)行交互，并可能與你的系統(tǒng)進(jìn)行交互。你的數(shù)字化轉(zhuǎn)型項(xiàng)目首先要關(guān)注于人們能發(fā)出請(qǐng)求的移動(dòng)設(shè)備。但你也要為物聯(lián)網(wǎng)設(shè)備進(jìn)行設(shè)計(jì)，以便這些設(shè)備能與你的云托管應(yīng)用程序進(jìn)行交互。當(dāng)你做這些工作時(shí)，你需要意識(shí)到自己與這類(lèi)設(shè)備交互時(shí)伴隨的安全問(wèn)題。

4. CASB：全新的云應(yīng)用需要自己的安全團(tuán)隊(duì)使用云安全控制措施，例如云訪(fǎng)問(wèn)安全代理 (CASB)。CASB 是云原生的安全工具，可確保業(yè)務(wù)環(huán)境中的用戶(hù)只能訪(fǎng)問(wèn)安全策略允許他們?cè)L問(wèn)的云服務(wù)。云安全態(tài)勢(shì)管理 (CSPM) 是另一種工具，可以監(jiān)控云環(huán)境，并在安全權(quán)限設(shè)置不正確時(shí)向你發(fā)出提醒。