数字化转型需要内置安全性 成功的五个步骤

变化是一个常数。作为人类，我们每七年更换一次体内的每个细胞。同样，在IT领域，我们必须跟上新技术的选择和比以往任何时候都更多的竞争。对于企业而言，数字化转型是如何跟上这种不断变化的趋势。

数字化转型涉及重新考虑您的公司如何提供服务-从开发新的在线服务到重新设计公司提供的产品种类。重要的要素是，数字化转型不仅涵盖IT领域，还涉及技术，业务流程，文化和工作流程等领域。

管理这种深刻的变化-数字化转型应涉及-意味着要更深入地研究事物。同时，在进行这些大规模更改时必须牢记安全性。

数字化转型与变革–为什么很难在其中坚持安全性?

对于客户而言，数字化转型应该在幕后进行，除了所提供的服务外，其可见性极低。他们根本不需要构建或了解后端基础结构，而是应该获得有用的服务，为他们提供更多价值。

对于企业而言，价值主张与之类似：更快地从更多地方获取数据，然后将这些数据用作新服务的一部分，以保持客户的参与度和满意度。诸如物联网之类的新技术的开发可以提供有关业务绩效的更多数据-从供应链中的产品存在到购买方式。可以对这些数据进行分析并用于简化所提供的产品，运往何处以及如何向客户提供产品，所有这些目的都是为了增加销量并保持客户满意。

对于正在进行数字化转型项目的公司，重点是如何提供更好的服务。但是，尽管这些项目侧重于易用性，交付速度和采用率的提高，但它们常常忽略了安全性。除了这些传感器和服务创建和存储的数据之外，任何新的软件服务或与Internet连接的设备都可能容易受到攻击。

例如，已经开发了太多具有差的安全性或不存在安全性并且不考虑更新的智能设备。结果，这些设备可能容易受到可以访问嵌入式相机和麦克风的黑客的攻击。如果没有更强的安全性，这些设备可能会允许攻击者监视您的活动，或访问可识别您何时在家或不在家的信息。

对于涉及数字转换的人员，安全性必须与新服务设计一样重要。但是，这并不是要阻止新的实现或停止创新。实际上，在这种环境下的安全性必须既无摩擦又透明。问题在于，许多数字项目都将重点放在功能上，而忽略或忽略了安全性。

这是一个文化问题，而不是技术问题。有多种安全框架和最佳实践指南可用于数字转换。从OWASP的Web应用程序指南到有关IoT设备安全性标准的新建议，有多种资源可用于通过设计支持更好的安全性。企业必须要求将更多的安全性嵌入他们选择在其数字转换方法中使用的任何新设备或应用程序中，而客户也必须越来越关注其数据的安全性。

那么，您如何在这个瞬息万变的世界中保持合规性?数字转换安全性的宗旨是准确性，可见性，可伸缩性，即时性和透明编排：

1.准确性 –为了使安全性和合规性更加容易，您需要全面的资产可见性和控制权。对于企业而言，可以连接到网络的大量设备都可以代表新的潜在入口点。除了直接连接到公司环境的任何内容外，您可能还必须考虑连接到远程工作人员机器的设备。

要进行管理，您将需要对所有IT资产(无论位于本地，云实例或移动终结点上)的完整，准确和详细的清单。其中应包括已知资产和未知资产或“影子IT”设备。

为此，您必须组合多种检测IT资产的方法。您的资产数据应包括来自现有漏洞管理和连续扫描服务的信息，以及可以发现网络上未经授权或个人设备的新被动扫描的信息。这种组合应显示所有现有的Internet连接设备和资产。如果没有这样做，您的漏洞管理计划和威胁情报决策将基于不完整，不准确和过时的信息。这使您的组织面临更大的风险。

2.可见性 –这与准确性并存，因为如果两者无法很好地协同工作，您将无法全面了解所有IT服务(包括企业网络外部托管的服务)的状况。

随着更多的软件和更多的数据转移到云中，IT基础架构的数量已显着增长。对于企业而言，IT现在包括本地数据中心，端点机器，物联网设备，移动设备(如电话和平板电脑)以及在云中实现的新服务的资产。您无法保护自己不知道的东西。所有这些服务的可见性以及将该数据收集到一个地方有助于确保您所有资产的安全。

3.可扩展性 –数字服务的基本要求之一是，它们可以根据需求的变化而毫不费力地进行扩展。新的数字服务应能应对高峰时期用户需求的快速增长，以免对客户造成干扰。快速发展的企业在研究如何实现这些服务时应特别注意可伸缩性。

同样，安全基础架构应能够应对这些基础架构的快速扩展。对于基于微服务和容器等新技术的现代应用程序，从一开始就将安全性和漏洞管理支持纳入基础架构将确保规模不会影响安全管理或导致政策空白。通过一开始就考虑规模和安全性，数字转换项目可以避免将来出现问题。

4.即时性 –数字服务旨在向客户提供快速，无摩擦的响应。那是他们的本性。但是，重要的是，此服务速度必须与安全速度相匹配。安全团队需要能够在潜在风险开始发展时对潜在问题做出快速反应。

为了实现这一目标，安全团队必须参与项目，以确保从一开始就内置安全性。试图将安全性改造到数字化转换项目中将很快对相关人员造成问题-充其量，这将减慢项目在投产之前的进度;最坏的情况是，当这些服务被关闭并修复时，它可能会导致服务停止。无论哪种方式，对安全的感知都将成为创新的障碍，而不是提供这些新数字服务的必要组成部分。相反，更早地参与流程可以使安全性在问题开始之前就将其停止。

5.透明的编排 – 透明编排与其他标准一起，涉及如何管理业务中创建的所有数据。作为数字转换的一部分，您应该研究如何摄取数据，关联多个来源并实时分析该数据。

这种自动化和编排的主要好处是能够在单个控制台中汇总和合并来自多个源的各种信息。这样，您可以在一个地方一目了然地轻松查看安全性和合规性状况。基于来自整个企业的多个数据集的组合，您应该能够管理对问题的任何响应，以免影响客户。

改变数字转换的安全性

正如越来越多的公司正在实施数字化转型项目一样，IT安全部门也正在改变自己的方法来保持数据的流程和策略。生活节奏的加快和向更多互联网连接服务的转移相结合，导致更多公司转向数字渠道以保持竞争力。

但是，在急于数字化的过程中，不应忽略良好的安全做法。相反，安全团队可以帮助开发人员和业务团队进行协作，以使这些新的数字服务正常运行。通过将准确性，可见性，可伸缩性，即时性和透明编排的价值嵌入数字化转换项目中，安全团队可以确保这些工作取得成功。