8月19日,由CIO時代主辦、新基建創新研究院作為智庫支持的“第九屆中國行業互聯網大會暨CIO班18周年年會”在北京隆重召開。大會以“大模型時代的數字化轉型”為主題,講述了新時代下各行各業的全新變革。
騰訊安全策略發展中心資深專家田立出席了“第九屆中國行業互聯網大會暨CIO班18周年年會——2023CIO百人會高峰論壇”,并發表了題為《從“外驅”到“內驅”,企業安全能力建設的新理念與新路徑——企業ESG與數字安全免疫力》的主題演講。在演講中,他著重講述了企業如何建設全新的安全范式,提升數字安全免疫力。
以下為演講內容摘錄:
安全建設應與業務發展同步前進
隨著數字化進程加快,企業的安全風險和挑戰不斷增加,據騰訊安全最新調研數據顯示,企業的安全投入、安全理念和安全能力建設均面臨著極大的困境。
安全投入失調。據調研數據顯示,有70%企業的安全投入低于5%基準線,11%企業投入不到1%。
安全建設理念滯后。隨著企業業務數字化逐步深入,安全建設仍停留在“頭疼醫頭、腳疼醫腳”的傳統搭煙囪階段。
安全成為企業發展的制約因素。有54%的企業CSO認為當前的安全投入不能滿足企業發展需要,更無法支撐企業技術發展與業務轉型。
究其本質,安全是一個很難體現價值的領域。企業應跳出“防黑防鬼”的窠臼,不能只從成本視角來考慮安全的ROI,而是要充分認識到安全不僅僅是“砌圍墻”“扎籬笆”的被動防御,而是與要業務同步發展,并圍繞公司的核心業務價值來梳理安全的價值。
ESG——企業長期盈利
與核心競爭力的基石
與此同時,我們也看到了企業發展和價值導向的多元化趨勢。對企業的評價,已經不再以短期的單純盈利為導向,而是強調企業的可持續發展能力、衡量其社會價值與責任擔當,以評估期中長期的價值體現。
“ESG”是企業長期盈利與核心競爭力的基石。騰訊在ESG治理中,將“用戶隱私與網絡安全”“內容責任”作為核心議題。在騰訊看來,網絡安全不僅僅是簡單的數據防護,而是履行和承諾騰訊對社會的貢獻和價值的關鍵要素。
至此,我們可以有信心地說:安全已不再是單純的成本性投入,而是企業承擔社會責任和面向未來發展的生命線,完全從被動地對抗攻擊,演變為主動地構建自身核心能力。而且,安全工作的工作成績是可量化的、也會被作為公司財報和ESG報告的核心內容來體現。
從實踐的角度出發,騰訊將ESG實踐分為五個治理委員會。其中,用戶隱私和數據安全是最核心的委員會之一,其主要任務是幫助企業保護所有騰訊服務的C端用戶的業務安全,確保騰訊云以及騰訊所有服務的央國企和關基行業的數據安全和網絡安全。
在用戶隱私領域,騰訊建立了對用戶數據和隱私的敬畏文化,積極實踐“將隱私保護融入設計”理念,并建立了 “Person——Button——Data” 隱私和數據保護實踐。
在網絡安全領域,騰訊建立了集團級的安全意識、共識和文化,并基于情報、攻防、管理和規劃能力,建立了持續迭代和有效運營的“動態”和“主動式”安全能力。
如何實現高效的安全建設?高級管理層往往既要我們滿足大量的安全合規、實戰攻防要求,又要少出事、不出事,還要創造價值,提升長期財務競爭力和可持續發展水平。
在騰訊看來,最重要的是轉變安全建設的思路。企業要認識到,安全的本質是識別和防范公司業務活動中可能面臨的風險,所以需要將安全放在核心業務和數據視角思考,并進行深入的治理和實踐。對抗病毒的最優選擇,永遠不是打抗生素,而是建立強壯的體魄和免疫力。
從“思路”到“實踐”
構建企業數字安全免疫力
網絡安全建設不是建城墻,而是需要將靜態安全轉變為彈性、自適應、可拓展的模式。在風險上要從“治已病”轉變為“治未病”,盡早地識別可能會對業務產生威脅的隱患,提前規避隱患,變被動防御為主動防御,提前思考問題,構建防御體系。
企業可通過2個免疫堡壘(數據安全治理與業務風險控制)、1個免疫中樞系統(企業安全運營管理)、3道免疫屏障(邊界、端點、應用開發安全)構建內生免疫力,提升外在防御水平。自外而內的能力,強調通過精細化運營能力,把已有的免疫力屏障(人員、工具、流程)有效地整合起來;但更重要的是自內而外的能力,真正站在企業自身業務和數據視角,思考如何構建具備業務韌性和攻擊免疫力的安全體系。
當然,安全建設需可量化、可評價、可對標,才能可落地與可執行。基于此,騰訊安全也嘗試在免疫力模型的基礎上,構建更加可操作和可落地的評價體系,目前我們初步建立了一個版本的問卷式自評估工具。問卷工具將能夠支持識別企業基于同一個標尺,與同行業、同特征企業進行對標和差距分析。
此外,我們也在嘗試更進一步細化評估的指標體系,以便未來能夠通過輕量級咨詢的方式,幫助企業基于業務識別關鍵風險,參考同業建立標尺,在清晰理解風險和差距的基礎上,建立可落地安全建設路徑。
總結來說,網絡安全永遠不應該脫離于企業自身的治理體系而單獨存在。所以安全建設要圍繞企業的核心業務,與業務共同成長,為業務保駕護航。