数字转型中收益与风险共存

■ 山东 李文竹 赵长林

编者按：很多企业都正经历数字转型，但数字转型在为企业带来收益的同时还存在安全风险，企业必须重视这些风险问题，并做出应对，才能立于不败之地。

数字技术已从根本上改变了企业处理业务的方式。移动访问、高级分析、云计算等增加了运营的灵活性，又促进了收入的增长。因此，企业在数字技术上花费了大量资金用于数字技术来保护自己。数字转型的好处在范围和规模上是没有限制的，但是数字转型也给企业和安全团队带来了新的风险。

扩展的基础架构和增加的复杂性

云、移动互联、物联网等新技术已经剧烈影响了变化周期。以前需要几年时间才能实施的东西在如今只需几个月、几星期甚至几天时间。然而，每一种新技术都会使复杂性剧增，从而引起故障，甚至增加企业的攻击面。

企业不断扩增的基础架构可能存在弱点，如开放的端口、漏洞、弱证书或到期证书。这些弱点存在于企业已知的基础设施中，但也会扩展到影子IT设施，也就是在IT部门管理之外的项目和软件，这些可能并不为安全团队所知。而攻击面越来越难以可靠确认，更别说减少了。

“第三方”带来的挑战

很多企业都经历过由“第三方”带来的数据泄露事件。美国国家标准与技术研究院（NIST）甚至认为第三方为首要的风险源，部分原因就在于糟糕的安全实践。所以，企业又能如何确信在业务运营中发挥关键作用的供应商和分包商能够充分保护自己的敏感数据？

企业可以用多种方法提升第三方的风险意识：教育内部的利益相关者要正确地管理第三方风险；要在合同上通过面向外部系统的独立检查来强化第三方的安全业绩期望；要在一个中心数据库中跟踪第三方的风险；要基于已知的长处和弱点来调整方法。

但即使上述全部措施也未必能充分保护企业的敏感数据：企业应当假设其信息已经泄露，并采取措施检测和修复损失。

网络犯罪“数字化”

随着第三方生态系统的发展，越来越多的数据被存储在云端，企业的敏感数据频繁地被泄露。洞悉这一切的网络犯罪分子充分利用这种“意外收获”的数据泄露，利用机密凭据窃取账户或知识产权，实施针对企业的间谍活动。

然而，网络犯罪分子已经注意并找到了利用企业数字变革努力的方法。一旦公司或银行提供了一个新的改进访问性和效率的移动APP，网络犯罪分子很快就开发出一种适合其需要的操纵方法。

为防护这些威胁，企业需要找到检测数据泄露的新方法，以保障其在网络上的品牌，并减少攻

【】【】

击面。

问几个适当的问题

数字技术使得企业更灵活、增加盈利和更好地响应顾客。但数字化是一个持续的过程，并且需要花费时间和精力。最终，为全面地从这些革新性的数字实践和工具中获益，同时还要确保网络安全，企业必须准备不断地计划并持续协作，从而增加自身和第三方数字化实践的透明性。为减少这种数字风险，企业管理者不妨寻求以下三个问题的答案。

首先，谁负责管理数字风险？我们仅仅依靠CISO或风险仅仅局限于某个领域吗？其次，我们要将数字风险管理从公司扩展到合作伙伴和厂商的生态系统吗？企业部署哪些工具才能检测和减少传统边界之外的风险呢？第三，企业的CISO能否解决企业风险中的安全问题？企业是否根据业务风险来衡量安全团队的成功？

随着企业数字化的进一步扩展，外围将继续削弱，但是，有了适当的风险保护策略，任何企业都可能在数字转型时代获得成功。