8月19日,由CIO時代主辦、新基建創(chuàng)新研究院作為智庫支持的“第九屆中國行業(yè)互聯(lián)網(wǎng)大會暨CIO班18周年年會”在北京隆重召開。大會以“大模型時代的數(shù)字化轉型”為主題,講述了新時代下各行各業(yè)的全新變革。
騰訊安全策略發(fā)展中心資深專家田立出席了“第九屆中國行業(yè)互聯(lián)網(wǎng)大會暨CIO班18周年年會——2023CIO百人會高峰論壇”,并發(fā)表了題為《從“外驅(qū)”到“內(nèi)驅(qū)”,企業(yè)安全能力建設的新理念與新路徑——企業(yè)ESG與數(shù)字安全免疫力》的主題演講。在演講中,他著重講述了企業(yè)如何建設全新的安全范式,提升數(shù)字安全免疫力。
以下為演講內(nèi)容摘錄:
安全建設應與業(yè)務發(fā)展同步前進
隨著數(shù)字化進程加快,企業(yè)的安全風險和挑戰(zhàn)不斷增加,據(jù)騰訊安全最新調(diào)研數(shù)據(jù)顯示,企業(yè)的安全投入、安全理念和安全能力建設均面臨著極大的困境。
安全投入失調(diào)。據(jù)調(diào)研數(shù)據(jù)顯示,有70%企業(yè)的安全投入低于5%基準線,11%企業(yè)投入不到1%。
安全建設理念滯后。隨著企業(yè)業(yè)務數(shù)字化逐步深入,安全建設仍停留在“頭疼醫(yī)頭、腳疼醫(yī)腳”的傳統(tǒng)搭煙囪階段。
安全成為企業(yè)發(fā)展的制約因素。有54%的企業(yè)CSO認為當前的安全投入不能滿足企業(yè)發(fā)展需要,更無法支撐企業(yè)技術發(fā)展與業(yè)務轉型。
究其本質(zhì),安全是一個很難體現(xiàn)價值的領域。企業(yè)應跳出“防黑防鬼”的窠臼,不能只從成本視角來考慮安全的ROI,而是要充分認識到安全不僅僅是“砌圍墻”“扎籬笆”的被動防御,而是與要業(yè)務同步發(fā)展,并圍繞公司的核心業(yè)務價值來梳理安全的價值。
ESG——企業(yè)長期盈利
與核心競爭力的基石
與此同時,我們也看到了企業(yè)發(fā)展和價值導向的多元化趨勢。對企業(yè)的評價,已經(jīng)不再以短期的單純盈利為導向,而是強調(diào)企業(yè)的可持續(xù)發(fā)展能力、衡量其社會價值與責任擔當,以評估期中長期的價值體現(xiàn)。
“ESG”是企業(yè)長期盈利與核心競爭力的基石。騰訊在ESG治理中,將“用戶隱私與網(wǎng)絡安全”“內(nèi)容責任”作為核心議題。在騰訊看來,網(wǎng)絡安全不僅僅是簡單的數(shù)據(jù)防護,而是履行和承諾騰訊對社會的貢獻和價值的關鍵要素。
至此,我們可以有信心地說:安全已不再是單純的成本性投入,而是企業(yè)承擔社會責任和面向未來發(fā)展的生命線,完全從被動地對抗攻擊,演變?yōu)橹鲃拥貥嫿ㄗ陨砗诵哪芰?。而且,安全工作的工作成績是可量化的、也會被作為公司財報和ESG報告的核心內(nèi)容來體現(xiàn)。
從實踐的角度出發(fā),騰訊將ESG實踐分為五個治理委員會。其中,用戶隱私和數(shù)據(jù)安全是最核心的委員會之一,其主要任務是幫助企業(yè)保護所有騰訊服務的C端用戶的業(yè)務安全,確保騰訊云以及騰訊所有服務的央國企和關基行業(yè)的數(shù)據(jù)安全和網(wǎng)絡安全。
在用戶隱私領域,騰訊建立了對用戶數(shù)據(jù)和隱私的敬畏文化,積極實踐“將隱私保護融入設計”理念,并建立了 “Person——Button——Data” 隱私和數(shù)據(jù)保護實踐。
在網(wǎng)絡安全領域,騰訊建立了集團級的安全意識、共識和文化,并基于情報、攻防、管理和規(guī)劃能力,建立了持續(xù)迭代和有效運營的“動態(tài)”和“主動式”安全能力。
如何實現(xiàn)高效的安全建設?高級管理層往往既要我們滿足大量的安全合規(guī)、實戰(zhàn)攻防要求,又要少出事、不出事,還要創(chuàng)造價值,提升長期財務競爭力和可持續(xù)發(fā)展水平。
在騰訊看來,最重要的是轉變安全建設的思路。企業(yè)要認識到,安全的本質(zhì)是識別和防范公司業(yè)務活動中可能面臨的風險,所以需要將安全放在核心業(yè)務和數(shù)據(jù)視角思考,并進行深入的治理和實踐。對抗病毒的最優(yōu)選擇,永遠不是打抗生素,而是建立強壯的體魄和免疫力。
從“思路”到“實踐”
構建企業(yè)數(shù)字安全免疫力
網(wǎng)絡安全建設不是建城墻,而是需要將靜態(tài)安全轉變?yōu)閺椥浴⒆赃m應、可拓展的模式。在風險上要從“治已病”轉變?yōu)?ldquo;治未病”,盡早地識別可能會對業(yè)務產(chǎn)生威脅的隱患,提前規(guī)避隱患,變被動防御為主動防御,提前思考問題,構建防御體系。
企業(yè)可通過2個免疫堡壘(數(shù)據(jù)安全治理與業(yè)務風險控制)、1個免疫中樞系統(tǒng)(企業(yè)安全運營管理)、3道免疫屏障(邊界、端點、應用開發(fā)安全)構建內(nèi)生免疫力,提升外在防御水平。自外而內(nèi)的能力,強調(diào)通過精細化運營能力,把已有的免疫力屏障(人員、工具、流程)有效地整合起來;但更重要的是自內(nèi)而外的能力,真正站在企業(yè)自身業(yè)務和數(shù)據(jù)視角,思考如何構建具備業(yè)務韌性和攻擊免疫力的安全體系。
當然,安全建設需可量化、可評價、可對標,才能可落地與可執(zhí)行。基于此,騰訊安全也嘗試在免疫力模型的基礎上,構建更加可操作和可落地的評價體系,目前我們初步建立了一個版本的問卷式自評估工具。問卷工具將能夠支持識別企業(yè)基于同一個標尺,與同行業(yè)、同特征企業(yè)進行對標和差距分析。
此外,我們也在嘗試更進一步細化評估的指標體系,以便未來能夠通過輕量級咨詢的方式,幫助企業(yè)基于業(yè)務識別關鍵風險,參考同業(yè)建立標尺,在清晰理解風險和差距的基礎上,建立可落地安全建設路徑。
總結來說,網(wǎng)絡安全永遠不應該脫離于企業(yè)自身的治理體系而單獨存在。所以安全建設要圍繞企業(yè)的核心業(yè)務,與業(yè)務共同成長,為業(yè)務保駕護航。