大数据、人工智能、物联网、云计算等新技术的应用和网络基础设施的建设,推动中国互联网由消费互联网进入到工业互联网的新阶段。数字经济的浪潮下,企业纷纷开启数字化转型。
不过,尽管数字化转型对企业至关重要,大多数企业仍处在盲人摸象阶段,就连BAT翻车也不罕见,企业的数字化转型可谓面临重重挑战。
网络安全问题就是企业数字化转型过程中的较大障碍之一。Fortinet的一项调查显示,85%的企业首席安全官和首席信息安全官认为网络安全是一个巨大的挑战。
不可否认,大数据、云计算、物联网、人工智能等新一代互联网技术,正不断突破原有边界,可正是连接点越多,导致安全漏洞就越多。如何化解数字化转型过程中的网络安全挑战?具体可考虑以下几个维度。
一、加强“影子IT”的合规化监管
当政府机构、企事业单位未经网络安全与信息化部门批准下购买新技术时,便让“影子IT”有机可乘。
美、英、德35%的公司表示,他们每天连接到网络上的非商业设备超过5000个,其中近40%用于连接社交媒体,以及下载应用、游戏和电影。
而云服务的兴起进一步加剧了“影子IT”的问题,因为越来越难以准确评估业务数据的存储位置和控制者。因此,防范网络安全问题,必须要加强“影子IT”的合规化监管
二、未雨绸缪设立安全运营中心
网络攻击者的动机有很多种,但主要是为了经济利益。解决这个问题必须未雨绸缪,各个企业需要设立专门的安全运营中心。
首先,企业需要明确最重要的资产是什么,网络攻击将带来什么样的后果,然后为这些重要资产建立安全的保护墙。
此外,发生网络攻击之后,企业应该迅速“内部验伤”,评估当前的网络攻击对企业带来的影响;再结合威胁情报判定该次攻击事件的危害等级;通过预制应急预案快速恢复网络运营能力。
三、建立定量的、科学的网络安全风险管理体系
普华永道网络安全和隐私主管Sean Joyce有一句名言,“未来的赢家将是那些从设计阶段到生产阶段都建立在风险管理基础上的企业。”
目前,网络安全风险管理是很多政府机构、企事业单位网络安全管理中的短板问题。因此,将风险管理纳入企业数字化转型过程中很有必要。
为此,需要构建一套基于网络安全管理定量的、科学的风险管理体系,用于指导整体的网络安全风险管控,确保网络安全管理工作合规依规。确定一套风险识别、风险评估、风险处理、风险改进的风险管理流程。从而对网络安全风险进行精益管控,提升网络安全管理水平。
四、加强员工的培训,提升员工网络安全意识
据美国联邦调查局数据,自2016年以来,由于企业电子邮件泄露和电子邮件账户泄露带来的全球企业损失已经超过260亿美元。这些邮件主要是网络钓鱼邮件,尤其是看起来像受信任的来源(内部人员或受信任的供应商)的电子邮件。
可见,人为因素是企业网络安全上的巨大威胁之一。那么通过对员工有效的安全意识培训和网络钓鱼模拟,使得员工成为第一道防线——人类防火墙,则可以很大程度上减轻这一问题。
总之,“数字化转型”大幕已经拉开。正如国联易安董事长门嘉平所言:“在数字化转型的同时,网络和信息安全问题如影随形,其影响范围更大、程度更深,安全正面临前所未有的新挑战。数字化转型的核心驱动力是大数据和云计算。所以尤其要加强大数据和云计算安全风险管控。”
