作為CBTS公司的首席信息安全官顧問，我經(jīng)常與CIO和 IT 戰(zhàn)略領(lǐng)導(dǎo)者交談。通常，交流的重點是安全問題，以及在年度預(yù)算中優(yōu)先考慮業(yè)務(wù)環(huán)境中的安全技術(shù)支出。我還幫助他們考慮，當新項目提交給董事會以尋求資金支持時，何時該讓首席信息安全官參與進來。

一個正受人關(guān)注的項目是數(shù)字轉(zhuǎn)型。有時這種關(guān)注來自于CIO，有時則來自于另一高層領(lǐng)導(dǎo)。首席財務(wù)官可能會看到老舊硬件的經(jīng)常性支出每年都在增加，以及維持遺留系統(tǒng)運行也需要資本支出。

沒有一個首席財務(wù)官希望自己的資本支出或運營成本的預(yù)算每年都呈上升趨勢，除非有相應(yīng)的收入增長。

從老舊技術(shù)遷移到現(xiàn)代云環(huán)境，這具有很強的吸引力，而且可以帶來利潤，但你要確保首席信息安全官在開啟這一對話和戰(zhàn)略時就參與其中，而不是在產(chǎn)品和供應(yīng)商被選定后再參與進來。

如果CIO清楚，從內(nèi)部可靠運行且有良好安全保障的內(nèi)部解決方案遷移出去所帶來的風(fēng)險，那么企業(yè)的情況會很好。但是，如果制定戰(zhàn)略決策的人在沒有計算風(fēng)險的情況下就把非常安全的企業(yè)數(shù)據(jù)轉(zhuǎn)移到云環(huán)境中，那么就有可能遭遇數(shù)據(jù)外泄或勒索軟件事件，從而把自己的數(shù)據(jù)泄露給競爭對手。

為了最大限度地降低數(shù)據(jù)泄露或數(shù)據(jù)丟失的風(fēng)險，企業(yè)領(lǐng)導(dǎo)者需要做的是確保自己了解如何實施數(shù)字化轉(zhuǎn)型項目。如果你存儲在云端或移動設(shè)備上的數(shù)據(jù)丟失、被盜或遭到破壞，那么數(shù)字化轉(zhuǎn)型的戰(zhàn)略利益可能會很快喪失。

對于大多數(shù)公司來說，數(shù)字化轉(zhuǎn)型有三個主要組成部分：彈性、規(guī)模和上市速度。

企業(yè)領(lǐng)導(dǎo)者希望放棄傳統(tǒng)的業(yè)務(wù)環(huán)境，因為在這一環(huán)境中，更新升級很復(fù)雜，很難維護和打補丁，因此增加容量很困難或很昂貴。云端環(huán)境可以更容易更新升級，可以根據(jù)需要迅速靈活地擴大或減小規(guī)模，以及擁有一個可迅速調(diào)整以滿足市場需求的靈活環(huán)境。

你可以通過以下常見方法來改造遺留應(yīng)用程序：

• 將自托管的總賬和工資應(yīng)用程序遷移到云托管的解決方案。
• 提升自己的網(wǎng)絡(luò)影響力，升級為移動端優(yōu)先的網(wǎng)頁設(shè)計。
• 整合物聯(lián)網(wǎng)設(shè)備，以加深市場滲透和使客戶快速接受。
• 過渡到基于訂閱方式的產(chǎn)品或服務(wù)。
• 使員工能夠隨時隨地在任何設(shè)備上工作。

你可能會想知道：為什么 IT 部門沒有加入轉(zhuǎn)型的行列?原因往往是缺乏資金。

德勤公司在 2020 年的一份報告指出，IT 部門平均將 56% 的預(yù)算用于維護，只有 18% 的預(yù)算用于創(chuàng)新。好吧，我會把可用的資金來淘汰遺留應(yīng)用程序。

你可能在想：“增加預(yù)算可以解決這個問題!”但沒有那么快。波耐蒙研究所 2022 年的一項調(diào)查報告顯示，超過 70% 的受訪者認為自己的企業(yè)經(jīng)歷了數(shù)據(jù)泄露，因為他們向第三方供應(yīng)商授予了過多的訪問權(quán)限。

創(chuàng)新和安全需要齊頭并進。

當進行創(chuàng)新和使用新的云服務(wù)時，你需要使用新的安全工具和管理機制進行保護，并監(jiān)測誰可以訪問數(shù)據(jù)，以及他們可以用數(shù)據(jù)做什么。安全工具需要從堆棧上移到應(yīng)用層，以重點關(guān)注數(shù)據(jù)。其目標是保護數(shù)據(jù)，而不是設(shè)備或網(wǎng)絡(luò)。

確保數(shù)字化轉(zhuǎn)型項目平穩(wěn)推進，需要關(guān)注四個安全領(lǐng)域

1. ZTNA：零信任網(wǎng)絡(luò)訪問不是一個可以購買的產(chǎn)品，更確切地說，它是一種方法，其前提是任何用戶或設(shè)備都是不可信的。用戶和設(shè)備在被授予訪問權(quán)之前需要進行驗證。

2. TPRM：第三方風(fēng)險管理是風(fēng)險登記冊的一個主要組成部分。當你將應(yīng)用程序遷移到云托管解決方案或亞馬遜網(wǎng)絡(luò)服務(wù)/微軟云 (AWS/Azure) 時，你無法再控制誰可以訪問數(shù)據(jù)中心;你是將自己的數(shù)據(jù)和系統(tǒng)托付給第三方。你需要確認，第三方是否已經(jīng)部署了自己想要的安全流程和程序。任何存儲、傳輸、處理或可以訪問你的數(shù)據(jù)的供應(yīng)商都需要進行第三方風(fēng)險管理。

3. 物聯(lián)網(wǎng)：像 Alexa、Siri 和谷歌家居 (Google Home) 等物聯(lián)網(wǎng)設(shè)備就是你如今客戶所處的位置。數(shù)字化轉(zhuǎn)型將導(dǎo)致無數(shù)的設(shè)備與你的數(shù)據(jù)進行交互，并可能與你的系統(tǒng)進行交互。你的數(shù)字化轉(zhuǎn)型項目首先要關(guān)注于人們能發(fā)出請求的移動設(shè)備。但你也要為物聯(lián)網(wǎng)設(shè)備進行設(shè)計，以便這些設(shè)備能與你的云托管應(yīng)用程序進行交互。當你做這些工作時，你需要意識到自己與這類設(shè)備交互時伴隨的安全問題。

4. CASB：全新的云應(yīng)用需要自己的安全團隊使用云安全控制措施，例如云訪問安全代理 (CASB)。CASB 是云原生的安全工具，可確保業(yè)務(wù)環(huán)境中的用戶只能訪問安全策略允許他們訪問的云服務(wù)。云安全態(tài)勢管理 (CSPM) 是另一種工具，可以監(jiān)控云環(huán)境，并在安全權(quán)限設(shè)置不正確時向你發(fā)出提醒。