即將進(jìn)入2019年,IT的戰(zhàn)略性也明顯更勝以往。全球咨詢公司EY(安永)的一份新報告明確表明,網(wǎng)絡(luò)安全將會繼續(xù)是一個戰(zhàn)術(shù)問題,而不僅是戰(zhàn)略問題。
安永的這次網(wǎng)絡(luò)安全狀況評估是基于對1400位C級網(wǎng)絡(luò)安全和風(fēng)險領(lǐng)導(dǎo)者進(jìn)行的調(diào)查,結(jié)果顯示,只有8%的受訪者認(rèn)為他們的信息安全功能完全符合自己的要求。事實上,僅有18%的受訪者表示信息完全會定期全面影響企業(yè)戰(zhàn)略計劃,60%的受訪者表示直接負(fù)責(zé)信息安全的人并不是董事會成員。
積極的一面是,大公司78%的受訪者和小公司65%的受訪者認(rèn)為他們的信息安全功能至少部分滿足了他們的需求。調(diào)查還發(fā)現(xiàn),大部分公司都愿意對網(wǎng)絡(luò)安全問題投入資金。大公司今年和明年的網(wǎng)絡(luò)安全預(yù)算分別增加了63%和67%。小公司今年和明年的IT支出預(yù)算也分別增加了50%和66%。
特別是,該研究還表明云計算(52%)、網(wǎng)絡(luò)安全分析(38%)和移動計算(33%)是網(wǎng)絡(luò)安全投資的首要重點。報告發(fā)現(xiàn),大部分組織(77%)都在尋求超越基本網(wǎng)絡(luò)安全保護,開始采用人工智能、機器人過程自動化和分析等先進(jìn)技術(shù)。
顯然,高層領(lǐng)導(dǎo)者意識到了情況的嚴(yán)重性。70%的公司(大公司和小公司分別為73%和68%)表示,高層領(lǐng)導(dǎo)者全面了解安全情況或者正在采取改進(jìn)安全的相關(guān)措施。但是了解某件事與操作某件事是兩個完全不同的概念。如果金錢和技術(shù)可以解決這個問題,網(wǎng)絡(luò)安全就不會成為今天的問題。這也是在大多數(shù)公司里需要從根本上改變的問題。最后可以歸結(jié)為如何構(gòu)建業(yè)務(wù)流程。
大多數(shù)業(yè)務(wù)流程的搭建方式都是為了讓它們盡可能地高效順暢。搭建完成后,就會將它們交給IT團隊來確保安全。網(wǎng)絡(luò)安全幾乎都是事后的想法。隨著更多業(yè)務(wù)流程的性質(zhì)向數(shù)字發(fā)展,需要采用新的方法。數(shù)字業(yè)務(wù)流程的每個獨特環(huán)節(jié)在搭建時就必須得到保護。數(shù)字業(yè)務(wù)流程的安全性取決于其中最薄弱的環(huán)節(jié)。讓一組網(wǎng)絡(luò)安全專家解構(gòu)一個構(gòu)建后的數(shù)字業(yè)務(wù)流程,找出漏洞可能隱藏在哪里,這在根本上是低效的并且存在嚴(yán)重缺陷。在編寫數(shù)字業(yè)務(wù)流程的每一行代碼時,就需要采用最佳的DevSecOps實踐來保護流程的每個組成部分。這意味著在應(yīng)用程序和流程的構(gòu)建過程中,將執(zhí)行安全控制的更多責(zé)任轉(zhuǎn)移給開發(fā)人員。DevSecOps并沒有簡單的按鈕。它需要從根本上轉(zhuǎn)變對如何構(gòu)建和交付應(yīng)用程序的思維模式。但是如果高層領(lǐng)導(dǎo)者真正希望改進(jìn)網(wǎng)絡(luò)安全,那么現(xiàn)在就是整個公司學(xué)習(xí)如何構(gòu)建和維護安全數(shù)字流程的最佳時機。