• 「微访谈」安永合伙人顾卿华:网络安全的弹性之路

    时间:2017-10-09    来源:《IT经理世界》    作者:李婷 我要评论() 字号:T | T

  •  信息安全早已不再是防病毒恶意软件那么简单。企业基础框架随着AI、云计算、大数据、区块链风新技术的推进下在发生转型,但是又并没有完全掌握这些技术,其中潜在的信息安全风险也在变大。安全设施也开始影响到实体化的业态,包括一些基础设施、生产线,工业控制系统,传统跟互联网隔离的平台也受到一些攻击,尤其是在跟物联网结合以后。

     

    物联网链接的物品背后有使用者,物品底层有流量,各方进入对于管理的难度是更大的。根据安永最近的一次网络信息安全调查报告显示,73%的企业对移动设备的安全,用户在使用过程中的行为是很担忧的,46%的企业担心他没有能力识别所有的资产,35%的企业担忧如何管理很多的无线接入点,因为很多攻击也是通过这些接入点进来的。

     

    安永咨询服务部合伙人顾卿华认为建立一个弹性的网络安全体系是在当下企业面对信息安全风险时应该着重考虑的,这个体系主要包括三个部分:感知、抵御和应对。

     

    Q:现在企业对网络安全这块主要是在抵御做比较多。您认为造成这样的原因是什么?在感知和应对这块做的不足的原因是什么?

     

    Gary(顾卿华):对于安全问题,最早是企业内部技术性问题。比如说我的系统中病毒,有恶意程序进来,或者是我的网络被外面DDos攻击了,主要还是相对会聚焦在一个相对窄的范畴里面。这个时候它的第一反应是我怎么建一个防御的措施。 但是现在整个安全事件,它对企业的影响已经不只是内部的简单事件而已,首先有对业务的影响,业务可能会中断。业务中断的话就会有客户体验的问题,投诉的问题,就会有声誉的问题。现在随着监管力度上升,可能还有合规监管处罚的问题,所以面会扩得越来越宽广,那在这样一个环境里面要去有效应对的话,发生的事要去有效应对的话,就不是原来那些人就能够掌握的技能和知识了。

     

    企业有点一下子接不上这个轨道。我们之前也在帮一些企业做一些模拟的应对,发生事情之后怎么来响应,这里面会涉及到很多组织,包括做安全技术团队、公关团队、隐私保护团队、法务团队,跟监管对接的团队都会涉及到。甚至有一些还在尝试网络安全的保险,涉及到理赔的部分。所以,它需要对应对机制,或者这个团队的能力要求确实也很高。一部分是说企业可能会有一些脱轨,在建立这个机制,运作这个机制的过程当中,需要重新再去审视一下,再去做一些机制的建立和建设。

     

    前面的感知,我觉得主要的原因是现在新的东西太多了,而且它出现的速度太快了。前面我们花了十年、二十年、三十年才演进到我们信息技术可以支持业务,大幅支撑业务的阶段。后面可能只花了五年到十年,就有层出不穷新的技术。面临这么多新的技术的时候,会存在这样一个滞后。企业得研究这些新技术,研究新技术里面新的威胁,研究新的应对方式,甚至还要研究自己的同业,自己上下游的供应商,自己的用户可能带来潜在风险的掌控,确实对企业来讲也是一个挑战。他的整个机制也要变,整个专业的配备资源也要变。 所以,中间那块的抵御是企业传统善于做的,也一直持续习惯做这些工作,前后两端对企业来说确实是一个挑战,所以可能会稍微步伐慢一些。

     

    Q:从SOC的角度来看,您认为是交给设备供应商去做,还是由企业自己来做更好一些?

     

    Gary:SOC组成部分和参与方还是很多的。企业本身要做很多的工作,有些服务是供应商来做的,包括监控的设备提供,软件、硬件、外部的服务,包括平台的搭建可能都有供应商会参与进来。可能还有一些咨询公司,像我们的角色是说帮助客户建这个体系,来抽取指标,提炼关键的指标,建立一个底层数据的框架和模型,包括建立一些管理的流程。大家的分工定位是不一样的。这本身是企业自身的责任,它一定要来承担责任,最终如果发生风险,发生安全事件的时候,这是企业的责任。所以它要把相关的主体串联起来,最后能够实现动态、实时在运行态里面掌握信息安全整个的风险,并且能够有效的应对。

     

    Q:对于传统企业的数字化转型中面临的风险,您建议他们会从哪些方面适应这些转变?

     

    Gary:我觉得首先最高层的决策者对自己搭建新的业态要有足够的了解,要有一个开放的心态,去了解这些新的业态,或者是找专业的人来构建和搭建新的业务模式。

     

    第二,还是要评估新的风险和威胁,因为这部分跟传统业务的安全隐患和威胁都不同,所以要去研究在新的业态下,到底会产生什么样的威胁?新的威胁和风险出来之后,得有一个重新审视和评估的过程。

     

    第三,人才也很重要。得找适合的人才过来管这些专业的领域和专业的风险。技能上和经验上的差距,可能搞传统业态的人短时间内还是很难弥补的,还得搭建一个专业的团队去做这件事。

     

    还有其他一些具体的过程,如果说我们方向是正确的,然后也知道新的威胁在哪,也有适合团队的话,后面就是操作上的问题了。怎么建机制,建系统,建团队去应对。最重要的还是理念问题,如果往新兴业务去转的话,这个概念要去转变,要驱动业务在于你的能力提升是让企业有能力承担更大风险的业务。

     

    作为一个安全的团队,风险管理团队还是say no,就会一直阻碍他的业务。要转变思路去前瞻、更加主动了解一些风险,最终促使这个企业能往这个方向去走。一些互联网公司做安全、风险管理的就是有这种驱动力想怎么把这种风险可控,最终可以让企业还是能把这个业务做起来。

     

    Q:对于新兴互联网企业是如何在抵御应对上做好防控?

     

    Gary:互联网公司的强项是在于他们有很强的技术团队,而且都是以实验室形式存在,参加很多比赛很厉害,做一些技术储备。

     

    他们的痛点有几个,首先他们以前的业务开始往海外走。对一些合规的要求是有疑问的,比如说他们提供云服务,他们的业务开展到了欧洲、美洲。但是这些国家对于信息安全的保护的要求是什么?他们其实是没有一个深刻的理解。

     

    第二点他们会去考虑的是说,因为他们业务发展很快,他们安全团队自身是否能够很好的嵌入到里面去,让安全能力最终能够助力到这个业务里面的发展,这是所有互联网公司碰到很大的一个难题。我们跟他们交流的过程当中发现,在业务部门里面安全人员去开展推进工作,阻力还是挺大的。因为他们的节奏很快,KPI考核也很快,要推进一件事情的话,其实三个月、六个月就进行一次考核,你要推的话其实很难推进一些事情。这个反而在于高速发展业务、海外扩张的时候碰到的一些难题。

     

    从安全这个角度来讲,互联网企业的挑战,我觉得分两类,一类就是还在起步初期的这些刚刚进入到互联网产业的新兴企业。他们确实技术能力很强,但是这些企业在发展初期重心会在业务的拓展上。而且出于各种各样的考量,效率、成本、各种各样的考量往往会忽视一些跟业务无关的内容,往往安全就会在其中之一,相反这些企业在这个阶段潜在的风险暴露还是很大的。所以,对这些企业的建议还是要挑一些在这个阶段对企业生死存亡安全相关的点还是要做防范的。可能,比如说你数据的泄露,比如说你整个平台的安全性,这是防范外部的攻击,这些基本的工作还是要做的。

     

    第二类企业,可能已经规模非常大了,互联网平台,大型的电商,大型的社交媒体,已经非常非常大了。它的问题可能是另外一个问题,一个是安全合规的问题。因为他已经服务了这么多用户和消费者。他一旦出问题的话就会是一个社会的问题,会影响到很多的使用者和用户。这个时候包括他们其实也是监管机构,网安的监管机构很专注的一群公司。他们关注的就是安全合规方面的要求要能够符合。还有一个这些大企业关注的点,业态、用户、创新非常多如何建立一个前中后协同起来的有效管理机制,高效的管理机制其实也是很重要的。

  • 加入收藏
  • [ 作者:李婷 ]
  • 分享到: 更多
    标签:
  • 相关推荐
    无相关信息
  • 最新消息
    · 「微访谈」安永合伙人顾卿华:网络安全的弹性之路2017-10-09
    · 戴尔科技集团董事长兼首席执行官迈克尔•戴尔访华2017-09-29
    · 2017年中国国际信息通信展览会在京开幕2017-09-27
    · 回顾过去 新的App Store其实是回归了初心2017-09-26
    · NVIDIA TensorRT 3极大推进超大规模数据中心人工智能推理2017-09-26
      已有条评论,查看更多评伦发表评论
  • 用户名:  密码:              匿名发表  | 注册会员
  • 网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述