8月19日,由CIO時(shí)代主辦����、新基建創(chuàng)新研究院作為智庫(kù)支持的“第九屆中國(guó)行業(yè)互聯(lián)網(wǎng)大會(huì)暨CIO班18周年年會(huì)”在北京隆重召開。大會(huì)以“大模型時(shí)代的數(shù)字化轉(zhuǎn)型”為主題�����,講述了新時(shí)代下各行各業(yè)的全新變革�。
騰訊安全策略發(fā)展中心資深專家田立出席了“第九屆中國(guó)行業(yè)互聯(lián)網(wǎng)大會(huì)暨CIO班18周年年會(huì)——2023CIO百人會(huì)高峰論壇”,并發(fā)表了題為《從“外驅(qū)”到“內(nèi)驅(qū)”����,企業(yè)安全能力建設(shè)的新理念與新路徑——企業(yè)ESG與數(shù)字安全免疫力》的主題演講�����。在演講中�����,他著重講述了企業(yè)如何建設(shè)全新的安全范式���,提升數(shù)字安全免疫力���。
以下為演講內(nèi)容摘錄:
安全建設(shè)應(yīng)與業(yè)務(wù)發(fā)展同步前進(jìn)
隨著數(shù)字化進(jìn)程加快�,企業(yè)的安全風(fēng)險(xiǎn)和挑戰(zhàn)不斷增加����,據(jù)騰訊安全最新調(diào)研數(shù)據(jù)顯示,企業(yè)的安全投入���、安全理念和安全能力建設(shè)均面臨著極大的困境���。
安全投入失調(diào)。據(jù)調(diào)研數(shù)據(jù)顯示��,有70%企業(yè)的安全投入低于5%基準(zhǔn)線��,11%企業(yè)投入不到1%�����。
安全建設(shè)理念滯后����。隨著企業(yè)業(yè)務(wù)數(shù)字化逐步深入,安全建設(shè)仍停留在“頭疼醫(yī)頭���、腳疼醫(yī)腳”的傳統(tǒng)搭煙囪階段��。
安全成為企業(yè)發(fā)展的制約因素��。有54%的企業(yè)CSO認(rèn)為當(dāng)前的安全投入不能滿足企業(yè)發(fā)展需要���,更無(wú)法支撐企業(yè)技術(shù)發(fā)展與業(yè)務(wù)轉(zhuǎn)型���。
究其本質(zhì),安全是一個(gè)很難體現(xiàn)價(jià)值的領(lǐng)域�����。企業(yè)應(yīng)跳出“防黑防鬼”的窠臼�,不能只從成本視角來(lái)考慮安全的ROI,而是要充分認(rèn)識(shí)到安全不僅僅是“砌圍墻”“扎籬笆”的被動(dòng)防御�,而是與要業(yè)務(wù)同步發(fā)展�,并圍繞公司的核心業(yè)務(wù)價(jià)值來(lái)梳理安全的價(jià)值。
ESG——企業(yè)長(zhǎng)期盈利
與核心競(jìng)爭(zhēng)力的基石
與此同時(shí)���,我們也看到了企業(yè)發(fā)展和價(jià)值導(dǎo)向的多元化趨勢(shì)�。對(duì)企業(yè)的評(píng)價(jià)����,已經(jīng)不再以短期的單純盈利為導(dǎo)向�,而是強(qiáng)調(diào)企業(yè)的可持續(xù)發(fā)展能力��、衡量其社會(huì)價(jià)值與責(zé)任擔(dān)當(dāng)����,以評(píng)估期中長(zhǎng)期的價(jià)值體現(xiàn)。
“ESG”是企業(yè)長(zhǎng)期盈利與核心競(jìng)爭(zhēng)力的基石��。騰訊在ESG治理中���,將“用戶隱私與網(wǎng)絡(luò)安全”“內(nèi)容責(zé)任”作為核心議題���。在騰訊看來(lái),網(wǎng)絡(luò)安全不僅僅是簡(jiǎn)單的數(shù)據(jù)防護(hù)�����,而是履行和承諾騰訊對(duì)社會(huì)的貢獻(xiàn)和價(jià)值的關(guān)鍵要素�����。
至此,我們可以有信心地說(shuō):安全已不再是單純的成本性投入�,而是企業(yè)承擔(dān)社會(huì)責(zé)任和面向未來(lái)發(fā)展的生命線,完全從被動(dòng)地對(duì)抗攻擊��,演變?yōu)橹鲃?dòng)地構(gòu)建自身核心能力��。而且��,安全工作的工作成績(jī)是可量化的�����、也會(huì)被作為公司財(cái)報(bào)和ESG報(bào)告的核心內(nèi)容來(lái)體現(xiàn)�。
從實(shí)踐的角度出發(fā),騰訊將ESG實(shí)踐分為五個(gè)治理委員會(huì)�。其中,用戶隱私和數(shù)據(jù)安全是最核心的委員會(huì)之一��,其主要任務(wù)是幫助企業(yè)保護(hù)所有騰訊服務(wù)的C端用戶的業(yè)務(wù)安全����,確保騰訊云以及騰訊所有服務(wù)的央國(guó)企和關(guān)基行業(yè)的數(shù)據(jù)安全和網(wǎng)絡(luò)安全。
在用戶隱私領(lǐng)域��,騰訊建立了對(duì)用戶數(shù)據(jù)和隱私的敬畏文化�,積極實(shí)踐“將隱私保護(hù)融入設(shè)計(jì)”理念�����,并建立了 “Person——Button——Data” 隱私和數(shù)據(jù)保護(hù)實(shí)踐。
在網(wǎng)絡(luò)安全領(lǐng)域���,騰訊建立了集團(tuán)級(jí)的安全意識(shí)�、共識(shí)和文化���,并基于情報(bào)�、攻防���、管理和規(guī)劃能力�,建立了持續(xù)迭代和有效運(yùn)營(yíng)的“動(dòng)態(tài)”和“主動(dòng)式”安全能力�����。
如何實(shí)現(xiàn)高效的安全建設(shè)��?高級(jí)管理層往往既要我們滿足大量的安全合規(guī)�����、實(shí)戰(zhàn)攻防要求���,又要少出事、不出事��,還要?jiǎng)?chuàng)造價(jià)值����,提升長(zhǎng)期財(cái)務(wù)競(jìng)爭(zhēng)力和可持續(xù)發(fā)展水平�����。
在騰訊看來(lái),最重要的是轉(zhuǎn)變安全建設(shè)的思路����。企業(yè)要認(rèn)識(shí)到�����,安全的本質(zhì)是識(shí)別和防范公司業(yè)務(wù)活動(dòng)中可能面臨的風(fēng)險(xiǎn)����,所以需要將安全放在核心業(yè)務(wù)和數(shù)據(jù)視角思考,并進(jìn)行深入的治理和實(shí)踐�����。對(duì)抗病毒的最優(yōu)選擇���,永遠(yuǎn)不是打抗生素�,而是建立強(qiáng)壯的體魄和免疫力。
從“思路”到“實(shí)踐”
構(gòu)建企業(yè)數(shù)字安全免疫力
網(wǎng)絡(luò)安全建設(shè)不是建城墻�,而是需要將靜態(tài)安全轉(zhuǎn)變?yōu)閺椥浴⒆赃m應(yīng)���、可拓展的模式��。在風(fēng)險(xiǎn)上要從“治已病”轉(zhuǎn)變?yōu)?ldquo;治未病”����,盡早地識(shí)別可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生威脅的隱患��,提前規(guī)避隱患�,變被動(dòng)防御為主動(dòng)防御,提前思考問(wèn)題�,構(gòu)建防御體系。
企業(yè)可通過(guò)2個(gè)免疫堡壘(數(shù)據(jù)安全治理與業(yè)務(wù)風(fēng)險(xiǎn)控制)�����、1個(gè)免疫中樞系統(tǒng)(企業(yè)安全運(yùn)營(yíng)管理)�����、3道免疫屏障(邊界����、端點(diǎn)�����、應(yīng)用開發(fā)安全)構(gòu)建內(nèi)生免疫力�,提升外在防御水平����。自外而內(nèi)的能力��,強(qiáng)調(diào)通過(guò)精細(xì)化運(yùn)營(yíng)能力��,把已有的免疫力屏障(人員�、工具、流程)有效地整合起來(lái)���;但更重要的是自內(nèi)而外的能力�����,真正站在企業(yè)自身業(yè)務(wù)和數(shù)據(jù)視角���,思考如何構(gòu)建具備業(yè)務(wù)韌性和攻擊免疫力的安全體系���。
當(dāng)然,安全建設(shè)需可量化���、可評(píng)價(jià)��、可對(duì)標(biāo)�,才能可落地與可執(zhí)行�����?����;诖?�,騰訊安全也嘗試在免疫力模型的基礎(chǔ)上��,構(gòu)建更加可操作和可落地的評(píng)價(jià)體系���,目前我們初步建立了一個(gè)版本的問(wèn)卷式自評(píng)估工具�����。問(wèn)卷工具將能夠支持識(shí)別企業(yè)基于同一個(gè)標(biāo)尺�����,與同行業(yè)�、同特征企業(yè)進(jìn)行對(duì)標(biāo)和差距分析��。
此外�����,我們也在嘗試更進(jìn)一步細(xì)化評(píng)估的指標(biāo)體系�����,以便未來(lái)能夠通過(guò)輕量級(jí)咨詢的方式,幫助企業(yè)基于業(yè)務(wù)識(shí)別關(guān)鍵風(fēng)險(xiǎn)�����,參考同業(yè)建立標(biāo)尺,在清晰理解風(fēng)險(xiǎn)和差距的基礎(chǔ)上����,建立可落地安全建設(shè)路徑。
總結(jié)來(lái)說(shuō)����,網(wǎng)絡(luò)安全永遠(yuǎn)不應(yīng)該脫離于企業(yè)自身的治理體系而單獨(dú)存在�����。所以安全建設(shè)要圍繞企業(yè)的核心業(yè)務(wù),與業(yè)務(wù)共同成長(zhǎng),為業(yè)務(wù)保駕護(hù)航���。
