兩年前，數字化轉型達到一個高峰期，帶著新的流程模式和產品開發節奏，突破了傳統的速度瓶頸。隨著敏捷開發和DevOps等新的模式加速了市場，安全卻往往被忽略。在那個時候，Gartner就曾預言，在2020年前，會有60%的數字業務因安全團隊無法管理數字風險而受到嚴重業務損失。

很多典型的安全問題接連出現，雖然很難把原因歸結于數字項目的轉型。IDC的安全研究副總裁Pete Lindstrom認為，無論這些涉及范圍廣的安全泄露事件是否和數字化轉型直接相關，這些事件都引起商業上的領導者們重新思考風險和解決方案，試圖將風險最小化。

基于Marsh & Mclennan對1,500名執行官級別的人的調研，全球大約有79%的執行官級別的人，將網絡攻擊和威脅排在2020年組織最優先的安全管理項目之一。總體而言，安全在數字化轉型中的角色已經在意識和早期設計流程中的影響，兩個方面得到了改進，但CISO們依然在設法解決自身生態系統中項目的可視化范圍。

安全挑戰：緊跟節奏，而風險更多

根據最近Altimeter的調研，IT決策人員不只是將安全作為他們在數字化轉型過程中最需要考慮的東西之一，同時也是他們投資優先級第二高的項目（35%），僅次于云技術（37%）。數字化轉型技術一旦無法保護業務、客戶或者其他關鍵資產，就會變得毫無意義；另外，開發的復雜性與速度在最大規模的安全運營中依然是一大挑戰。

麻省理工大學的執行主任兼制造和生產效率實驗室研究員Abel Sanchez博士認為，安全層面的戰爭要比現在的決策周期節奏更快，因此一旦速度慢下來，就會難以維持一個領導層視角。他同時還表示，敏捷、靈活性、快速決策在安全和開發當中都是必須的三要素。

安全領袖們還需要對數字化轉型過程中帶來的新風險做好準備。根據Ponemon的《數字轉型與網絡風險》報告，82%的IT安全與執行級別的受訪者認為，他們因為數字化轉型至少經歷了一次數據泄露事件。

企業風險增多的一個原因在于企業越來越多地依賴于第三方——55%的受訪者認為他們的第三方伙伴至少需要為他們其中的一次泄露事件負責。除了第三方問題之外，58%的受訪者表示他們缺乏一個第三方風險管理項目；56%的執行官認為他們很難知道第三方合作者是否有相關政策，來確保他們信息的安全性。

而最主要的原因，應該是安全和執行官團隊之間的不協同——只有16%的受訪者表示他們的IT和業務完全匹配。

安全團隊也需要改變

安全團隊的挑戰，依然在于如何在數字化轉型的速度之下提升安全性，同時確保安全貫穿每個新的內部數字流程，以及外部開發的產品或者相關互聯網機遇。許多解決方案最終落到IT和安全部門的文化之中。Sanchez博士認為，安全團隊也需要隨著數字化轉型發生改變，而這并不容易；許多相關人員必須愿意學習新的技術，從而在企業中建立新的交互工作。

Sanchez博士認為，這些改變的一部分可以通過重架構解決。比如對于許多環節，測試人員將不必要，而測試工作則可以由軟件工程師自己完成。在他看來，沒有人比產品的創建者更了解如何保護一個產品。

另外，安全人員還需要不同的才能，或者需要改變一些自己現有的才能。在這個過程中，一些員工可能會被淘汰；但如果員工必須去適應這種高速的變化。安全團隊需要的，是哪些能真正做出創新并將其引入工作中的人。

不過全球資訊和安全管理服務廠商NTT的美國分公司CEO Matt Handler認為，對于安全團隊來說，也有一個好消息：安全團隊正在逐漸成為業務的一部分，和其他相關團隊的關系在逐漸改善。

他表示：“安全團隊正在明白，他們不能成為一個總是只會說‘不’的部門。他們需要變得更敏捷、靈活，同時成為賦能者，而非一個阻礙者。”

這一過程當然也需要CISO的參與。CISO們要成為一名內部的顧問，并且成為那些使用新應用和技術部門的協作者。CISO們首先要改變自己的思路：不再說“不”，而是試著和其他部門一起探討如何能更快速，且安全地落地新的技術和應用。

將安全融入企業

CISO們已經說了好幾年，要將安全加入每個設計的開始階段。如今，由于更迅捷和動態的組件，這個目標能更容易實現了。Lindstrom提到：“依靠內置的安全功能，尤其是云環境的能力，我們現在有更多方式解決風險。另外，我們也在逐漸從網絡和主機安全，轉向應用安全、數據層面安全、身份安全等。”

另一方面，投資者預測，使用機器學習的網絡安全公司在2020年會有很大發展；不同的小領域網絡安全廠商會合并到一起，但同時他們也會受到更嚴格的檢查，確定他們的產品確有宣傳中的效果。擁有海量安全數據的公司能夠合并算法、分析能力和機器學習能力，快速識別威脅并響應。機器只有在人類的管理下才能有最佳效果，同時還需要花時間累積大量的相關數據。

在Handler看來，從一個CISO角度，如果有能力同時確保安全性和速度，同時幫助企業完成自己的里程碑和目標，那安全自然就能從一開始就融入流程之中——不過，要達到這個目標尚需時日。

我們還有多遠？

Sanchez博士認為，在將網絡安全融入數字化轉型的路上，很多企業只是“剛過半途”。他們已經使用了自動化技術，并準備開始考慮人工智能以及預測模型。

“我們已經上了正軌，但這不代表我們的防線牢不可破。”Sanchez博士說到，“就像在數字化轉型前，軟件開發并未被完全集成到整個企業的業務環境中而現在卻做到了一樣，安全也會面臨同樣的發展。最終，業務、開發和安全都會合到一起，只是需要一些時間。”