當 Covid 襲來時，公司出于必要不得不加快其數(shù)字化轉(zhuǎn)型進程。但是現(xiàn)在，在最初關閉后將近三年，大多數(shù)組織已經(jīng)接受了數(shù)字化，以至于他們現(xiàn)在正在維護新技術而不是實施更多技術。

網(wǎng)絡安全是公司數(shù)字化轉(zhuǎn)型的重要組成部分。但是組織是否在采用新的網(wǎng)絡安全創(chuàng)新方面停滯不前，或者安全是一個完全獨立的實體？現(xiàn)在發(fā)生了什么？

(資料圖片僅供參考)

數(shù)字化轉(zhuǎn)型的終結(jié)

可以肯定地說，在 2020 年 1 月，大多數(shù)組織都在逐步進行數(shù)字化轉(zhuǎn)型。全面數(shù)字化涉及將更多任務轉(zhuǎn)移到基于計算機的技術（如云和移動），并改變企業(yè)文化和業(yè)務流程。該項目需要有條不紊的規(guī)劃，組織必須分階段完成，制定戰(zhàn)略和預算。這樣，組織及其員工可以隨著時間的推移適應新技術和程序。

2020年3月，一切都變了。如果您的組織沒有加速其數(shù)字化轉(zhuǎn)型過程，那么它就落后了——如果它還能生存的話。Celerity 的一份報告發(fā)現(xiàn)，由于 Covid-19，63% 的組織比計劃更早地開始或加速了數(shù)字化轉(zhuǎn)型，49% 的組織表示，數(shù)字化轉(zhuǎn)型在大流行之前不是戰(zhàn)略重點，但很快成為戰(zhàn)略重點。

“簡而言之，”報告稱，“在大流行開始時，領導者對投資科技充滿熱情，主要是因為這是在確保員工安全的同時保持業(yè)務連續(xù)性的唯一途徑。”

那是三年前。隨著我們進入 2023 年，Nuspire 的首席安全官 JR Cunningham 預測，今年我們可以有把握地說數(shù)字化轉(zhuǎn)型已經(jīng)完成。

“我們是數(shù)字化的，”坎寧安在網(wǎng)絡研討會上說。“轉(zhuǎn)型不是未來的事情。它發(fā)生了。”

數(shù)字化轉(zhuǎn)型使人們對網(wǎng)絡安全的關注達到了新的高度。根據(jù)Ponemon Institute 2020 年的一項研究，數(shù)字化轉(zhuǎn)型增加了網(wǎng)絡風險，尤其是因為組織內(nèi)負責網(wǎng)絡安全的人員（只有 24% 的 CISO 發(fā)揮了重要作用）并未積極參與該過程。

云供應商等第三方在數(shù)字化轉(zhuǎn)型中發(fā)揮著巨大作用，加劇了網(wǎng)絡風險。然而，人們還沒有準備好。約 58% 的受訪者表示他們沒有網(wǎng)絡風險管理計劃，63% 的受訪者表示他們無法確保安全的云環(huán)境。這種對安全性差的第三方供應商的依賴導致了網(wǎng)絡事件。事實上，55% 的 Ponemon 研究受訪者承認，第三方的安全故障導致了數(shù)字化轉(zhuǎn)型后的違規(guī)行為。

請記住，Ponemon 研究發(fā)生在數(shù)字轉(zhuǎn)型推動的高峰期，當時一切都在變化。擁抱新技術的組織并沒有完全忽視網(wǎng)絡安全，但它們在內(nèi)部和外部留下了可供利用的弱點。

在數(shù)字化轉(zhuǎn)型過程中重新思考網(wǎng)絡安全的需求最終確實發(fā)生了。領導層開始意識到，添加新技術需要重組員工安全意識培訓計劃，而遠程工作需要組織改進其網(wǎng)絡安全戰(zhàn)略。他們開始使用網(wǎng)絡安全工具，部分原因是混亂，部分原因是員工隊伍各不相同。但由于時間緊迫，許多組織直接使用這些開箱即用的工具而無需定制。

如果我們真的像 JR Cunningham 預測的那樣進入了后數(shù)字化轉(zhuǎn)型環(huán)境，這對網(wǎng)絡安全來說可能是一個積極的時刻。事實上，我們可能正在見證一個網(wǎng)絡安全轉(zhuǎn)型期。

在“以前”時代，根據(jù)業(yè)務目標和增長計劃執(zhí)行良好的數(shù)字化轉(zhuǎn)型。在大流行期間，主要目標是保持企業(yè)正常運轉(zhuǎn)。這意味著技術舉措是基于當前的業(yè)務需求，而不是為長期成功而規(guī)劃。如果發(fā)生轉(zhuǎn)變，組織現(xiàn)在應該處于維護模式而不是實施模式。

大流行發(fā)生變化后，領導層可以開始構(gòu)建與業(yè)務運營和目標相吻合的網(wǎng)絡安全計劃。在轉(zhuǎn)型期間，安全團隊應指定專人深入研究每個數(shù)字端點，以識別潛在風險。轉(zhuǎn)換后，隨著這些端點已知，組織可以圍繞現(xiàn)有的實際技術構(gòu)建安全性并隨著它的擴展。

憑借已經(jīng)到位的技術基準，安全團隊可以評估與第三方供應商的關系，并深入研究供應鏈的網(wǎng)絡安全。

例如，看看圍繞 API 的風險。API 是數(shù)字化轉(zhuǎn)型的重要組成部分，是移動和 Web 應用程序的支柱。API 中的單個漏洞可能會給公司帶來災難性事件。問題在于準確發(fā)現(xiàn)該漏洞所在的位置。大多數(shù)組織沒有在其應用程序和設備中使用的所有 API 的清單。他們當然不了解整個供應鏈的 API。將曾經(jīng)為數(shù)字化轉(zhuǎn)型預留的預算和時間轉(zhuǎn)移到重新評估供應鏈和供應商的安全實踐上，可以更好地識別和減少潛在風險。

數(shù)字化轉(zhuǎn)型改變了組織的工作方式。組織將繼續(xù)在他們已引入業(yè)務運營的技術的基礎上進行構(gòu)建，并且他們將轉(zhuǎn)變目標以更好地使數(shù)字資產(chǎn)適應工作文化和混合情況。

但最困難的部分已經(jīng)過去了。大流行迫使每個人在戰(zhàn)略規(guī)劃和處理階段提前兩年、三年或五年。云、移動、網(wǎng)絡——基線現(xiàn)已到位。現(xiàn)在我們必須確保我們的網(wǎng)絡安全平臺在數(shù)字維護的新時代領先一步。

編譯自：IBMsecurityintelligence

關鍵詞：