數(shù)字化轉(zhuǎn)型需要內(nèi)置安全性 成功的五個步驟

變化是一個常數(shù)。作為人類，我們每七年更換一次體內(nèi)的每個細胞。同樣，在IT領(lǐng)域，我們必須跟上新技術(shù)的選擇和比以往任何時候都更多的競爭。對于企業(yè)而言，數(shù)字化轉(zhuǎn)型是如何跟上這種不斷變化的趨勢。

數(shù)字化轉(zhuǎn)型涉及重新考慮您的公司如何提供服務(wù)-從開發(fā)新的在線服務(wù)到重新設(shè)計公司提供的產(chǎn)品種類。重要的要素是，數(shù)字化轉(zhuǎn)型不僅涵蓋IT領(lǐng)域，還涉及技術(shù)，業(yè)務(wù)流程，文化和工作流程等領(lǐng)域。

管理這種深刻的變化-數(shù)字化轉(zhuǎn)型應(yīng)涉及-意味著要更深入地研究事物。同時，在進行這些大規(guī)模更改時必須牢記安全性。

數(shù)字化轉(zhuǎn)型與變革–為什么很難在其中堅持安全性?

對于客戶而言，數(shù)字化轉(zhuǎn)型應(yīng)該在幕后進行，除了所提供的服務(wù)外，其可見性極低。他們根本不需要構(gòu)建或了解后端基礎(chǔ)結(jié)構(gòu)，而是應(yīng)該獲得有用的服務(wù)，為他們提供更多價值。

對于企業(yè)而言，價值主張與之類似：更快地從更多地方獲取數(shù)據(jù)，然后將這些數(shù)據(jù)用作新服務(wù)的一部分，以保持客戶的參與度和滿意度。諸如物聯(lián)網(wǎng)之類的新技術(shù)的開發(fā)可以提供有關(guān)業(yè)務(wù)績效的更多數(shù)據(jù)-從供應(yīng)鏈中的產(chǎn)品存在到購買方式?？梢詫@些數(shù)據(jù)進行分析并用于簡化所提供的產(chǎn)品，運往何處以及如何向客戶提供產(chǎn)品，所有這些目的都是為了增加銷量并保持客戶滿意。

對于正在進行數(shù)字化轉(zhuǎn)型項目的公司，重點是如何提供更好的服務(wù)。但是，盡管這些項目側(cè)重于易用性，交付速度和采用率的提高，但它們常常忽略了安全性。除了這些傳感器和服務(wù)創(chuàng)建和存儲的數(shù)據(jù)之外，任何新的軟件服務(wù)或與Internet連接的設(shè)備都可能容易受到攻擊。

例如，已經(jīng)開發(fā)了太多具有差的安全性或不存在安全性并且不考慮更新的智能設(shè)備。結(jié)果，這些設(shè)備可能容易受到可以訪問嵌入式相機和麥克風(fēng)的黑客的攻擊。如果沒有更強的安全性，這些設(shè)備可能會允許攻擊者監(jiān)視您的活動，或訪問可識別您何時在家或不在家的信息。

對于涉及數(shù)字轉(zhuǎn)換的人員，安全性必須與新服務(wù)設(shè)計一樣重要。但是，這并不是要阻止新的實現(xiàn)或停止創(chuàng)新。實際上，在這種環(huán)境下的安全性必須既無摩擦又透明。問題在于，許多數(shù)字項目都將重點放在功能上，而忽略或忽略了安全性。

這是一個文化問題，而不是技術(shù)問題。有多種安全框架和最佳實踐指南可用于數(shù)字轉(zhuǎn)換。從OWASP的Web應(yīng)用程序指南到有關(guān)IoT設(shè)備安全性標(biāo)準(zhǔn)的新建議，有多種資源可用于通過設(shè)計支持更好的安全性。企業(yè)必須要求將更多的安全性嵌入他們選擇在其數(shù)字轉(zhuǎn)換方法中使用的任何新設(shè)備或應(yīng)用程序中，而客戶也必須越來越關(guān)注其數(shù)據(jù)的安全性。

那么，您如何在這個瞬息萬變的世界中保持合規(guī)性?數(shù)字轉(zhuǎn)換安全性的宗旨是準(zhǔn)確性，可見性，可伸縮性，即時性和透明編排：

1.準(zhǔn)確性 –為了使安全性和合規(guī)性更加容易，您需要全面的資產(chǎn)可見性和控制權(quán)。對于企業(yè)而言，可以連接到網(wǎng)絡(luò)的大量設(shè)備都可以代表新的潛在入口點。除了直接連接到公司環(huán)境的任何內(nèi)容外，您可能還必須考慮連接到遠程工作人員機器的設(shè)備。

要進行管理，您將需要對所有IT資產(chǎn)(無論位于本地，云實例或移動終結(jié)點上)的完整，準(zhǔn)確和詳細的清單。其中應(yīng)包括已知資產(chǎn)和未知資產(chǎn)或“影子IT”設(shè)備。

為此，您必須組合多種檢測IT資產(chǎn)的方法。您的資產(chǎn)數(shù)據(jù)應(yīng)包括來自現(xiàn)有漏洞管理和連續(xù)掃描服務(wù)的信息，以及可以發(fā)現(xiàn)網(wǎng)絡(luò)上未經(jīng)授權(quán)或個人設(shè)備的新被動掃描的信息。這種組合應(yīng)顯示所有現(xiàn)有的Internet連接設(shè)備和資產(chǎn)。如果沒有這樣做，您的漏洞管理計劃和威脅情報決策將基于不完整，不準(zhǔn)確和過時的信息。這使您的組織面臨更大的風(fēng)險。

2.可見性 –這與準(zhǔn)確性并存，因為如果兩者無法很好地協(xié)同工作，您將無法全面了解所有IT服務(wù)(包括企業(yè)網(wǎng)絡(luò)外部托管的服務(wù))的狀況。

隨著更多的軟件和更多的數(shù)據(jù)轉(zhuǎn)移到云中，IT基礎(chǔ)架構(gòu)的數(shù)量已顯著增長。對于企業(yè)而言，IT現(xiàn)在包括本地數(shù)據(jù)中心，端點機器，物聯(lián)網(wǎng)設(shè)備，移動設(shè)備(如電話和平板電腦)以及在云中實現(xiàn)的新服務(wù)的資產(chǎn)。您無法保護自己不知道的東西。所有這些服務(wù)的可見性以及將該數(shù)據(jù)收集到一個地方有助于確保您所有資產(chǎn)的安全。

3.可擴展性 –數(shù)字服務(wù)的基本要求之一是，它們可以根據(jù)需求的變化而毫不費力地進行擴展。新的數(shù)字服務(wù)應(yīng)能應(yīng)對高峰時期用戶需求的快速增長，以免對客戶造成干擾。快速發(fā)展的企業(yè)在研究如何實現(xiàn)這些服務(wù)時應(yīng)特別注意可伸縮性。

同樣，安全基礎(chǔ)架構(gòu)應(yīng)能夠應(yīng)對這些基礎(chǔ)架構(gòu)的快速擴展。對于基于微服務(wù)和容器等新技術(shù)的現(xiàn)代應(yīng)用程序，從一開始就將安全性和漏洞管理支持納入基礎(chǔ)架構(gòu)將確保規(guī)模不會影響安全管理或?qū)е抡呖瞻?。通過一開始就考慮規(guī)模和安全性，數(shù)字轉(zhuǎn)換項目可以避免將來出現(xiàn)問題。

4.即時性 –數(shù)字服務(wù)旨在向客戶提供快速，無摩擦的響應(yīng)。那是他們的本性。但是，重要的是，此服務(wù)速度必須與安全速度相匹配。安全團隊需要能夠在潛在風(fēng)險開始發(fā)展時對潛在問題做出快速反應(yīng)。

為了實現(xiàn)這一目標(biāo)，安全團隊必須參與項目，以確保從一開始就內(nèi)置安全性。試圖將安全性改造到數(shù)字化轉(zhuǎn)換項目中將很快對相關(guān)人員造成問題-充其量，這將減慢項目在投產(chǎn)之前的進度;最壞的情況是，當(dāng)這些服務(wù)被關(guān)閉并修復(fù)時，它可能會導(dǎo)致服務(wù)停止。無論哪種方式，對安全的感知都將成為創(chuàng)新的障礙，而不是提供這些新數(shù)字服務(wù)的必要組成部分。相反，更早地參與流程可以使安全性在問題開始之前就將其停止。

5.透明的編排 – 透明編排與其他標(biāo)準(zhǔn)一起，涉及如何管理業(yè)務(wù)中創(chuàng)建的所有數(shù)據(jù)。作為數(shù)字轉(zhuǎn)換的一部分，您應(yīng)該研究如何攝取數(shù)據(jù)，關(guān)聯(lián)多個來源并實時分析該數(shù)據(jù)。

這種自動化和編排的主要好處是能夠在單個控制臺中匯總和合并來自多個源的各種信息。這樣，您可以在一個地方一目了然地輕松查看安全性和合規(guī)性狀況?；趤碜哉麄€企業(yè)的多個數(shù)據(jù)集的組合，您應(yīng)該能夠管理對問題的任何響應(yīng)，以免影響客戶。

改變數(shù)字轉(zhuǎn)換的安全性

正如越來越多的公司正在實施數(shù)字化轉(zhuǎn)型項目一樣，IT安全部門也正在改變自己的方法來保持數(shù)據(jù)的流程和策略。生活節(jié)奏的加快和向更多互聯(lián)網(wǎng)連接服務(wù)的轉(zhuǎn)移相結(jié)合，導(dǎo)致更多公司轉(zhuǎn)向數(shù)字渠道以保持競爭力。

但是，在急于數(shù)字化的過程中，不應(yīng)忽略良好的安全做法。相反，安全團隊可以幫助開發(fā)人員和業(yè)務(wù)團隊進行協(xié)作，以使這些新的數(shù)字服務(wù)正常運行。通過將準(zhǔn)確性，可見性，可伸縮性，即時性和透明編排的價值嵌入數(shù)字化轉(zhuǎn)換項目中，安全團隊可以確保這些工作取得成功。