2月干货分享 | RSA大会 - BSI畅谈从网络安全到数字信任
随着数字经济发展,网络安全和数据安全已经成为当下经济社会发展的主要风险类型。如今网络实体之间信任关系的普遍缺失,已经成为制约数字经济和数字治理进一步高效发展的主要瓶颈。如何建立用户舒适的数字生态系统与数字信任将是企业未来的重中之重。
RSA大会
RSA大会为全球最大的网络安全会议之一。去年的RSA大会于第三季度在旧金山Moscone中心举行。大会的主题为Transform(转型),大会的热门议题为:云安全和云安全运营、黑客与威胁、零信任。BSI集团数字信任咨询全球总经理Mark Brown受邀参加该届大会分享了BSI从网络安全到数字信任的转变溯因。
从网络安全到数字信任
Q:从网络安全到数字信任的转变,是什么原因促使BSI决定除了网络安全之外,要拓宽覆盖范围?
A:30 多年来,在信息和网络安全领域,BSI 一直处于发展的前沿。早在 1995 年与1996 年,BSI 就编写了如今ISO 27001 的前身。在 BSI,我们可以看到客户在技术和数字化转型方面投入了大量的资金。这样做有很多原因,其中之一就是在疫情爆发之后,数字化的需求加速增长,我们迎来了一种新的数字经济社会形式。虽然我们仍需要之前的网络安全来继续保护数据,避免负面风险的影响。但我们也看到,客户需要的是:
- 我如何确定我的投资是正确的?
- 我如何确定我所得到的东西物有所值?
- 我如何确定供应商告诉我要投资的东西,真的可以带来好处吗?
所以说,数字信任不仅仅是保护一个组织免受商业和技术风险的负面影响,实际上,它还能从战略上为公司提供支持,帮助公司通过数字化来加速发展,这体现在四个关键领域,包括:
- 网络安全和隐私
- 数字治理和风险管理
- 数字供应链
- 数据责任以及 AI 的道德和治理
这些服务既提供积极的支持,又防范技术风险,对我们的客户来说非常有帮助,因此他们将非常侧重于技术的讨论转化为新的业务讨论,这也被更广泛的组织所理解。
Q:那么,如果一个组织希望从技术讨论转向业务讨论,他们需要做些什么来拓宽讨论范围呢?
A:实际上,关键是要教育组织和用户,让他们了解这样做的必要性。如果我们回顾过去,有一些东西也是可以利用的。我们经常看到许多组织谈论首席数字官或首席数据官的重要性。然而多年来,这些东西一直在企业的体系之中。我们不会劝说组织设立首席电力官。因为对整个社会来说,电力已经形成一个体系,每个人都能使用。
我们预测,大概在五年之后,也不会有人再谈论首席数字官、首席数据官,因为这将成为体系里的一部分。到那时,对于组织来说,设立这些岗位是很正常的。所以说,我们看到,关键在于消除技术的神秘感,让组织内所有级别的员工都能使用和理解,而不是削弱 CIO 或 CISO 的作用,他们在未来仍然非常重要。
不过我们发现主要的决策者之一,也就是首席运营官的角色正在发生变化。在新的数字社会,当技术失败时,运营是最受打击的领域。当运营失败时,差不多会立刻影响到财务收入。对于一家大公司来说,每小时可能会达到上千万美元。翻译成通用语言,商业的通用语来说就是,在我们看来,关注商业风险和商业运营是组织所做的关键步骤的改变。
Q:作为 ISMG 的核心领导者,从首席信息安全官的角度来看,他们需要做哪些具体的事情来让安全变得容易理解,特别是让首席运营官理解?
A:我本人曾是财富 10 强企业的全球 CISO,于 2010 年初在 SABMiller 担任 CISO,所以对首席运营官非常了解。我了解企业是如何运营的。我了解公司的核心业务是如何运作的。我想对 CISO 说的是,如果您只专注于技术,如果您只是与 CIO 保持一致,那您如何将它转化到更广泛的业务?关键是要了解企业在做的是什么。企业存在的核心原因是什么?
企业存在的核心原因
BSI集团数字信任咨询全球总经理Mark Brown针对企业存在的核心原因提到:“我一直说并且一直认为,根本没有信息安全流程这回事。在 IT 流程中没有这个东西。但是信息安全支持和保护了某个业务流程。对我来说这就是 CISO 的关键职责。理解您要支持的业务流程,了解如果业务流程失败会出现什么问题,然后与 COO、与业务层面的业务领导探讨可以提供的角色和支持,并真正关注业务影响。”
Q:为何您会呼吁重点关注的数字供应链风险领域?
A:因为我们的客户一次又一次地说,在这个领域遭遇了种种挫折。在几年前,对于一个组织来说,要了解整体运营状况是非常容易的。他们可以设置一个巨大的防火墙,来抵御外部的风险。有些人把这描述为,他们能够在周围建立耶利戈之墙并保护它,但如今已出现深度参数化。
我们如今看到的开放云环境,以及在疫情期间发生的数字化转型加速,造成我们无法再设定边界。每个组织都有实体供应链和数字供应链。但数字供应链的问题与内部 IT 环境不同,在内部 IT 环境中,我们可以决定采取哪些控制措施,可以决定在这些环境中设置哪些安全措施。而在数字供应链中,我们要依赖第三方来做出正确的选择。
BSI 在 193 个国家/地区有将近 86,000 位客户,这些客户反复提到,数字供应链是他们的核心网络安全风险之一。2022年我们进行了“客户之声”分析调查,73% 的组织表示这是 CISO 的首要任务,这之前是首席运营官的首要任务。在我们采访的组织中,没有一个组织认为他们已经掌控这个领域。
回到 BSI,作为网络安全最佳实践的发展前沿,这对我们来说是一个关键指标,我们真的需要掌控这个领域,帮助企业了解风险是什么、如何管理风险,并制定解决方案,帮助这些组织和更广泛的社会了解并解决数字供应链风险的影响。
Q:那么,关于供应链,客户通常觉得他们在哪些地方存在差距或不足?
A:其中一方面是确定供应链。这并不是简单地说,公司和谁签了合同。因为还有第三方、第四方、第五方风险。包括:
上游风险
中游风险
下游风险
正如我前面提到的,要理解连接点,这又回到了规划业务流程。在考虑技术格局时,许多组织只考虑他们拥有什么技术解决方案,但他们没有将它映射到业务流程,也就是真正的企业安全架构。
通过规划解决方案,通过了解企业环境之外有哪些供应商、他们在价值链中处于什么位置、他们在业务流程中处于什么位置,实际上就已经开始确定存在关键风险的位置。这不是完全取决于合同的规模,许多组织都会犯这个错误。您在一个组织中花费了数百万美元,并不意味着他们就会构成重大风险。
一个很好的例子就是帮您做年度报告的公司。在年度报告公开之前的三到四周,这是您的公司最敏感的数据,如果您的股票上市的话,则更是如此。这通常是一家公司每年签订的金额最少的合同之一,而且通常不会从网络安全的角度考虑它。
所以说,真正理解数据的敏感性,理解业务流程的关键性,然后将供应商映射到业务流程中,映射到价值链中,这是关键的一步。