8月19日,由CIO時(shí)代主辦、新基建創(chuàng)新研究院作為智庫(kù)支持的“第九屆中國(guó)行業(yè)互聯(lián)網(wǎng)大會(huì)暨CIO班18周年年會(huì)”在北京隆重召開。大會(huì)以“大模型時(shí)代的數(shù)字化轉(zhuǎn)型”為主題,講述了新時(shí)代下各行各業(yè)的全新變革。
騰訊安全策略發(fā)展中心資深專家田立出席了“第九屆中國(guó)行業(yè)互聯(lián)網(wǎng)大會(huì)暨CIO班18周年年會(huì)——2023CIO百人會(huì)高峰論壇”,并發(fā)表了題為《從“外驅(qū)”到“內(nèi)驅(qū)”,企業(yè)安全能力建設(shè)的新理念與新路徑——企業(yè)ESG與數(shù)字安全免疫力》的主題演講。在演講中,他著重講述了企業(yè)如何建設(shè)全新的安全范式,提升數(shù)字安全免疫力。
以下為演講內(nèi)容摘錄:
安全建設(shè)應(yīng)與業(yè)務(wù)發(fā)展同步前進(jìn)
隨著數(shù)字化進(jìn)程加快,企業(yè)的安全風(fēng)險(xiǎn)和挑戰(zhàn)不斷增加,據(jù)騰訊安全最新調(diào)研數(shù)據(jù)顯示,企業(yè)的安全投入、安全理念和安全能力建設(shè)均面臨著極大的困境。
安全投入失調(diào)。據(jù)調(diào)研數(shù)據(jù)顯示,有70%企業(yè)的安全投入低于5%基準(zhǔn)線,11%企業(yè)投入不到1%。
安全建設(shè)理念滯后。隨著企業(yè)業(yè)務(wù)數(shù)字化逐步深入,安全建設(shè)仍停留在“頭疼醫(yī)頭、腳疼醫(yī)腳”的傳統(tǒng)搭煙囪階段。
安全成為企業(yè)發(fā)展的制約因素。有54%的企業(yè)CSO認(rèn)為當(dāng)前的安全投入不能滿足企業(yè)發(fā)展需要,更無(wú)法支撐企業(yè)技術(shù)發(fā)展與業(yè)務(wù)轉(zhuǎn)型。
究其本質(zhì),安全是一個(gè)很難體現(xiàn)價(jià)值的領(lǐng)域。企業(yè)應(yīng)跳出“防黑防鬼”的窠臼,不能只從成本視角來(lái)考慮安全的ROI,而是要充分認(rèn)識(shí)到安全不僅僅是“砌圍墻”“扎籬笆”的被動(dòng)防御,而是與要業(yè)務(wù)同步發(fā)展,并圍繞公司的核心業(yè)務(wù)價(jià)值來(lái)梳理安全的價(jià)值。
ESG——企業(yè)長(zhǎng)期盈利
與核心競(jìng)爭(zhēng)力的基石
與此同時(shí),我們也看到了企業(yè)發(fā)展和價(jià)值導(dǎo)向的多元化趨勢(shì)。對(duì)企業(yè)的評(píng)價(jià),已經(jīng)不再以短期的單純盈利為導(dǎo)向,而是強(qiáng)調(diào)企業(yè)的可持續(xù)發(fā)展能力、衡量其社會(huì)價(jià)值與責(zé)任擔(dān)當(dāng),以評(píng)估期中長(zhǎng)期的價(jià)值體現(xiàn)。
“ESG”是企業(yè)長(zhǎng)期盈利與核心競(jìng)爭(zhēng)力的基石。騰訊在ESG治理中,將“用戶隱私與網(wǎng)絡(luò)安全”“內(nèi)容責(zé)任”作為核心議題。在騰訊看來(lái),網(wǎng)絡(luò)安全不僅僅是簡(jiǎn)單的數(shù)據(jù)防護(hù),而是履行和承諾騰訊對(duì)社會(huì)的貢獻(xiàn)和價(jià)值的關(guān)鍵要素。
至此,我們可以有信心地說(shuō):安全已不再是單純的成本性投入,而是企業(yè)承擔(dān)社會(huì)責(zé)任和面向未來(lái)發(fā)展的生命線,完全從被動(dòng)地對(duì)抗攻擊,演變?yōu)橹鲃?dòng)地構(gòu)建自身核心能力。而且,安全工作的工作成績(jī)是可量化的、也會(huì)被作為公司財(cái)報(bào)和ESG報(bào)告的核心內(nèi)容來(lái)體現(xiàn)。
從實(shí)踐的角度出發(fā),騰訊將ESG實(shí)踐分為五個(gè)治理委員會(huì)。其中,用戶隱私和數(shù)據(jù)安全是最核心的委員會(huì)之一,其主要任務(wù)是幫助企業(yè)保護(hù)所有騰訊服務(wù)的C端用戶的業(yè)務(wù)安全,確保騰訊云以及騰訊所有服務(wù)的央國(guó)企和關(guān)基行業(yè)的數(shù)據(jù)安全和網(wǎng)絡(luò)安全。
在用戶隱私領(lǐng)域,騰訊建立了對(duì)用戶數(shù)據(jù)和隱私的敬畏文化,積極實(shí)踐“將隱私保護(hù)融入設(shè)計(jì)”理念,并建立了 “Person——Button——Data” 隱私和數(shù)據(jù)保護(hù)實(shí)踐。
在網(wǎng)絡(luò)安全領(lǐng)域,騰訊建立了集團(tuán)級(jí)的安全意識(shí)、共識(shí)和文化,并基于情報(bào)、攻防、管理和規(guī)劃能力,建立了持續(xù)迭代和有效運(yùn)營(yíng)的“動(dòng)態(tài)”和“主動(dòng)式”安全能力。
如何實(shí)現(xiàn)高效的安全建設(shè)?高級(jí)管理層往往既要我們滿足大量的安全合規(guī)、實(shí)戰(zhàn)攻防要求,又要少出事、不出事,還要?jiǎng)?chuàng)造價(jià)值,提升長(zhǎng)期財(cái)務(wù)競(jìng)爭(zhēng)力和可持續(xù)發(fā)展水平。
在騰訊看來(lái),最重要的是轉(zhuǎn)變安全建設(shè)的思路。企業(yè)要認(rèn)識(shí)到,安全的本質(zhì)是識(shí)別和防范公司業(yè)務(wù)活動(dòng)中可能面臨的風(fēng)險(xiǎn),所以需要將安全放在核心業(yè)務(wù)和數(shù)據(jù)視角思考,并進(jìn)行深入的治理和實(shí)踐。對(duì)抗病毒的最優(yōu)選擇,永遠(yuǎn)不是打抗生素,而是建立強(qiáng)壯的體魄和免疫力。
從“思路”到“實(shí)踐”
構(gòu)建企業(yè)數(shù)字安全免疫力
網(wǎng)絡(luò)安全建設(shè)不是建城墻,而是需要將靜態(tài)安全轉(zhuǎn)變?yōu)閺椥?、自適應(yīng)、可拓展的模式。在風(fēng)險(xiǎn)上要從“治已病”轉(zhuǎn)變?yōu)?ldquo;治未病”,盡早地識(shí)別可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生威脅的隱患,提前規(guī)避隱患,變被動(dòng)防御為主動(dòng)防御,提前思考問(wèn)題,構(gòu)建防御體系。
企業(yè)可通過(guò)2個(gè)免疫堡壘(數(shù)據(jù)安全治理與業(yè)務(wù)風(fēng)險(xiǎn)控制)、1個(gè)免疫中樞系統(tǒng)(企業(yè)安全運(yùn)營(yíng)管理)、3道免疫屏障(邊界、端點(diǎn)、應(yīng)用開發(fā)安全)構(gòu)建內(nèi)生免疫力,提升外在防御水平。自外而內(nèi)的能力,強(qiáng)調(diào)通過(guò)精細(xì)化運(yùn)營(yíng)能力,把已有的免疫力屏障(人員、工具、流程)有效地整合起來(lái);但更重要的是自內(nèi)而外的能力,真正站在企業(yè)自身業(yè)務(wù)和數(shù)據(jù)視角,思考如何構(gòu)建具備業(yè)務(wù)韌性和攻擊免疫力的安全體系。
當(dāng)然,安全建設(shè)需可量化、可評(píng)價(jià)、可對(duì)標(biāo),才能可落地與可執(zhí)行?;诖?,騰訊安全也嘗試在免疫力模型的基礎(chǔ)上,構(gòu)建更加可操作和可落地的評(píng)價(jià)體系,目前我們初步建立了一個(gè)版本的問(wèn)卷式自評(píng)估工具。問(wèn)卷工具將能夠支持識(shí)別企業(yè)基于同一個(gè)標(biāo)尺,與同行業(yè)、同特征企業(yè)進(jìn)行對(duì)標(biāo)和差距分析。
此外,我們也在嘗試更進(jìn)一步細(xì)化評(píng)估的指標(biāo)體系,以便未來(lái)能夠通過(guò)輕量級(jí)咨詢的方式,幫助企業(yè)基于業(yè)務(wù)識(shí)別關(guān)鍵風(fēng)險(xiǎn),參考同業(yè)建立標(biāo)尺,在清晰理解風(fēng)險(xiǎn)和差距的基礎(chǔ)上,建立可落地安全建設(shè)路徑。
總結(jié)來(lái)說(shuō),網(wǎng)絡(luò)安全永遠(yuǎn)不應(yīng)該脫離于企業(yè)自身的治理體系而單獨(dú)存在。所以安全建設(shè)要圍繞企業(yè)的核心業(yè)務(wù),與業(yè)務(wù)共同成長(zhǎng),為業(yè)務(wù)保駕護(hù)航。