COVID-19 的疫情進一步地加速了全球數位轉型的腳步,按微軟 CEO Satya Nadella 所述1「當前兩個月所獲得的數位轉型進展是過去需要兩年才能達到的成果」。數位轉型透過數位的力量為客戶帶來更好的使用經驗,提升企業競爭力的同時,也進一步地擴大了可被攻擊的接觸面積,根據 Ponemon2 的 2020 研究報告指出,受訪者中有 82% 表示其數位轉型項目至少經歷一次資料外洩的問題。另外,為了能夠更了解客戶,提供更完善的服務,資料的收集與應用更是當前商業競爭的重中之重,然而隨著日漸提升的資料隱私保護意識,與相關規範的建立與落實,資訊安全已然無法視為NICE TO HAVE的選項,而是MUST TO HAVE的因子。因此,在考慮數位轉型策略的同時,將安全納入考量,並且雙軌併行,才是當前企業所應該考量的作法。
鑑於此,筆者認為企業把資訊安全融入數位轉型中,有五個關鍵步驟!
1. 了解組織的資訊安全能力
唯有了解自身當前的狀況,才能知道與需求之間的落差!
在規劃數位轉型計畫的同時,誠實地面對組織當前實施安全的現況與能力,才能夠了解與期待之間的落差,並且建構可行的路徑。所謂可行的路徑,便是逐步地將安全工具、驗證能力、與安全文化逐步地與數位工具與商業服務進行融合。也只有透過一開始便考量安全,才能夠務實地將安全融入數位轉型的過程中。
數位轉型所涉及的層面包含了工具採用、文化和流程變更、與人才培養,過程必然對組織裡的每個人產生衝擊。如果將安全作為轉型成功後,才進一步加強的目標。可以想見的是安全將永遠會是拖慢並且減損轉型成果的障礙!
2. 將所屬產業的安全需求納入規劃
企業經營自然無法自外於當地法規對於所屬產業的要求,也無法無視消費者對於企業的期待。因此,數位轉型絕非暫緩合規要求的理由,相反的是一開始便將合規需要納入轉型中,才是事半功倍的最佳途徑。試想當組織內的成員好不容易適應新作法後,卻要立即地面對加入額外要素的作法變更。調適與落實所產生的成本將會是企業無法承受之重。
對於並無具體法規規範的產業來說,基於自動化工具所採用的安全規範與指引,將會是比較直覺且成本較低的選擇,比方說 NIST 與 OWASP。
3. 安全必須存在於服務開發生命週期的每個環節
將安全作為提供服務的最後關卡,往往會導致服務上線的延遲。因此,將安全融入服務開發全生命週期內,才是快速響應市場與變更的最短途徑。然而企業內的安全要求與規範的定義,往往與開發分屬不同的團隊,因此解消安全與品質團隊和開發團隊之間的穀倉問題,將會是落實安全的重要議題。
安全與風控絕非是企業內某特定團體的需要和責任。
DevOps 是響應市場,提升競爭的最佳實踐,然而 DevSecOps 才是企業追求速度的同時,確保成功果實的關鍵。逐步地將安全工具融入交付的自動流水線,並且在組織裡擴散安全的知識與經驗,則是將安全左移至服務開發全生命週期的具體作法。
4. 善用服務日誌
面對日新月異的網路服務攻擊手法,僅僅只靠加固網際網路邊界的安全防護是不夠的!
深入瞭解與分析基礎設施和服務產生的日誌資料,提升安全監測的能力才是更為穩妥的作法。但實際上,隨著數位化發展,龐大的資料量已經成為提升安全監測的最大障礙,而更讓企業困擾的是具有安全知識、善用資料分析與人工智慧,為企業安全提供更好主動能力的人才,卻是目前產業所缺乏的!因此,當企業發展數位轉型項目的同時,除了深化企業內資料人才的安全知識外,也應該善用第三方的解決方案,才能加速資訊安全能力的建立。
5. 強化安全事故應對能力
建立完善的監控機制是安全防護的重要一步。然而當風險發生時,如何快速且有效應對才是減少損失的關鍵。
事故應變除了受制於熟稔安全的專才人員不足外,最大問題仍舊在於如何有效地揉合安全、開發、與維運等各種不同職能間的合作與分工,組織不僅應該為事故應變建立標準流程外,更重要的是將安全考量納入標準流程內,明確地指引問題發生時的協作模式。另外,如何將流程和告警自動化分配至當責的人員也是提升應變能力的有效方式。
後記
在 2020 年,全球因為資安所造成的損失高達近 1 兆美元。疫情逼迫企業更加地擁抱數位能力,改變服務交付的方式,卻也將新的風險帶到了企業面前,逼迫企業不能再用僥倖的心態面對數位時代的新挑戰。
CPHT 正積極地協助企業打造基於安全與有序的數位轉型的方案,並且透過夥伴關係為企業提供實質且有幫助的數位工具!