8月19日���,由CIO時代主辦、新基建創(chuàng)新研究院作為智庫支持的“第九屆中國行業(yè)互聯(lián)網(wǎng)大會暨CIO班18周年年會”在北京隆重召開��。大會以“大模型時代的數(shù)字化轉(zhuǎn)型”為主題����,講述了新時代下各行各業(yè)的全新變革。
騰訊安全策略發(fā)展中心資深專家田立出席了“第九屆中國行業(yè)互聯(lián)網(wǎng)大會暨CIO班18周年年會——2023CIO百人會高峰論壇”���,并發(fā)表了題為《從“外驅(qū)”到“內(nèi)驅(qū)”�,企業(yè)安全能力建設(shè)的新理念與新路徑——企業(yè)ESG與數(shù)字安全免疫力》的主題演講�。在演講中,他著重講述了企業(yè)如何建設(shè)全新的安全范式���,提升數(shù)字安全免疫力�。
以下為演講內(nèi)容摘錄:
安全建設(shè)應(yīng)與業(yè)務(wù)發(fā)展同步前進
隨著數(shù)字化進程加快�,企業(yè)的安全風(fēng)險和挑戰(zhàn)不斷增加,據(jù)騰訊安全最新調(diào)研數(shù)據(jù)顯示�,企業(yè)的安全投入、安全理念和安全能力建設(shè)均面臨著極大的困境��。
安全投入失調(diào)��。據(jù)調(diào)研數(shù)據(jù)顯示����,有70%企業(yè)的安全投入低于5%基準(zhǔn)線���,11%企業(yè)投入不到1%。
安全建設(shè)理念滯后�����。隨著企業(yè)業(yè)務(wù)數(shù)字化逐步深入��,安全建設(shè)仍停留在“頭疼醫(yī)頭�、腳疼醫(yī)腳”的傳統(tǒng)搭煙囪階段。
安全成為企業(yè)發(fā)展的制約因素�。有54%的企業(yè)CSO認(rèn)為當(dāng)前的安全投入不能滿足企業(yè)發(fā)展需要,更無法支撐企業(yè)技術(shù)發(fā)展與業(yè)務(wù)轉(zhuǎn)型���。
究其本質(zhì),安全是一個很難體現(xiàn)價值的領(lǐng)域����。企業(yè)應(yīng)跳出“防黑防鬼”的窠臼,不能只從成本視角來考慮安全的ROI��,而是要充分認(rèn)識到安全不僅僅是“砌圍墻”“扎籬笆”的被動防御����,而是與要業(yè)務(wù)同步發(fā)展��,并圍繞公司的核心業(yè)務(wù)價值來梳理安全的價值�����。
ESG——企業(yè)長期盈利
與核心競爭力的基石
與此同時�����,我們也看到了企業(yè)發(fā)展和價值導(dǎo)向的多元化趨勢�。對企業(yè)的評價��,已經(jīng)不再以短期的單純盈利為導(dǎo)向�,而是強調(diào)企業(yè)的可持續(xù)發(fā)展能力、衡量其社會價值與責(zé)任擔(dān)當(dāng)�����,以評估期中長期的價值體現(xiàn)����。
“ESG”是企業(yè)長期盈利與核心競爭力的基石。騰訊在ESG治理中,將“用戶隱私與網(wǎng)絡(luò)安全”“內(nèi)容責(zé)任”作為核心議題�����。在騰訊看來���,網(wǎng)絡(luò)安全不僅僅是簡單的數(shù)據(jù)防護�,而是履行和承諾騰訊對社會的貢獻和價值的關(guān)鍵要素��。
至此�,我們可以有信心地說:安全已不再是單純的成本性投入,而是企業(yè)承擔(dān)社會責(zé)任和面向未來發(fā)展的生命線�,完全從被動地對抗攻擊,演變?yōu)橹鲃拥貥?gòu)建自身核心能力���。而且�,安全工作的工作成績是可量化的�����、也會被作為公司財報和ESG報告的核心內(nèi)容來體現(xiàn)��。
從實踐的角度出發(fā)��,騰訊將ESG實踐分為五個治理委員會���。其中���,用戶隱私和數(shù)據(jù)安全是最核心的委員會之一,其主要任務(wù)是幫助企業(yè)保護所有騰訊服務(wù)的C端用戶的業(yè)務(wù)安全�����,確保騰訊云以及騰訊所有服務(wù)的央國企和關(guān)基行業(yè)的數(shù)據(jù)安全和網(wǎng)絡(luò)安全���。
在用戶隱私領(lǐng)域�����,騰訊建立了對用戶數(shù)據(jù)和隱私的敬畏文化��,積極實踐“將隱私保護融入設(shè)計”理念���,并建立了 “Person——Button——Data” 隱私和數(shù)據(jù)保護實踐。
在網(wǎng)絡(luò)安全領(lǐng)域�,騰訊建立了集團級的安全意識、共識和文化���,并基于情報����、攻防、管理和規(guī)劃能力���,建立了持續(xù)迭代和有效運營的“動態(tài)”和“主動式”安全能力�����。
如何實現(xiàn)高效的安全建設(shè)��?高級管理層往往既要我們滿足大量的安全合規(guī)�、實戰(zhàn)攻防要求����,又要少出事、不出事�,還要創(chuàng)造價值,提升長期財務(wù)競爭力和可持續(xù)發(fā)展水平��。
在騰訊看來����,最重要的是轉(zhuǎn)變安全建設(shè)的思路���。企業(yè)要認(rèn)識到����,安全的本質(zhì)是識別和防范公司業(yè)務(wù)活動中可能面臨的風(fēng)險,所以需要將安全放在核心業(yè)務(wù)和數(shù)據(jù)視角思考��,并進行深入的治理和實踐�。對抗病毒的最優(yōu)選擇,永遠不是打抗生素�����,而是建立強壯的體魄和免疫力�����。
從“思路”到“實踐”
構(gòu)建企業(yè)數(shù)字安全免疫力
網(wǎng)絡(luò)安全建設(shè)不是建城墻���,而是需要將靜態(tài)安全轉(zhuǎn)變?yōu)閺椥?、自適應(yīng)�����、可拓展的模式。在風(fēng)險上要從“治已病”轉(zhuǎn)變?yōu)椤爸挝床 ?���,盡早地識別可能會對業(yè)務(wù)產(chǎn)生威脅的隱患,提前規(guī)避隱患��,變被動防御為主動防御�,提前思考問題,構(gòu)建防御體系���。
企業(yè)可通過2個免疫堡壘(數(shù)據(jù)安全治理與業(yè)務(wù)風(fēng)險控制)���、1個免疫中樞系統(tǒng)(企業(yè)安全運營管理)、3道免疫屏障(邊界��、端點��、應(yīng)用開發(fā)安全)構(gòu)建內(nèi)生免疫力�,提升外在防御水平。自外而內(nèi)的能力�,強調(diào)通過精細化運營能力,把已有的免疫力屏障(人員�、工具、流程)有效地整合起來��;但更重要的是自內(nèi)而外的能力,真正站在企業(yè)自身業(yè)務(wù)和數(shù)據(jù)視角����,思考如何構(gòu)建具備業(yè)務(wù)韌性和攻擊免疫力的安全體系。
當(dāng)然��,安全建設(shè)需可量化�����、可評價����、可對標(biāo)�,才能可落地與可執(zhí)行?�;诖?,騰訊安全也嘗試在免疫力模型的基礎(chǔ)上,構(gòu)建更加可操作和可落地的評價體系���,目前我們初步建立了一個版本的問卷式自評估工具��。問卷工具將能夠支持識別企業(yè)基于同一個標(biāo)尺�����,與同行業(yè)����、同特征企業(yè)進行對標(biāo)和差距分析。
此外���,我們也在嘗試更進一步細化評估的指標(biāo)體系�,以便未來能夠通過輕量級咨詢的方式�����,幫助企業(yè)基于業(yè)務(wù)識別關(guān)鍵風(fēng)險�����,參考同業(yè)建立標(biāo)尺����,在清晰理解風(fēng)險和差距的基礎(chǔ)上,建立可落地安全建設(shè)路徑���。
總結(jié)來說���,網(wǎng)絡(luò)安全永遠不應(yīng)該脫離于企業(yè)自身的治理體系而單獨存在�����。所以安全建設(shè)要圍繞企業(yè)的核心業(yè)務(wù)��,與業(yè)務(wù)共同成長��,為業(yè)務(wù)保駕護航�����。
