聯(lián)合汽車電子趙超的企業(yè)信息安全之見
著新一代數(shù)字技術的飛速發(fā)展并成功滲入各行各業(yè),信息安全問題已經(jīng)不再單純作用于虛擬網(wǎng)絡空間,還對于物理世界的企業(yè)生產(chǎn)、經(jīng)營、技術等都產(chǎn)生了巨大的影響。數(shù)字經(jīng)濟的全面到來,讓信息安全開始成為當代企業(yè)發(fā)展的第一生命線。
近日,在企業(yè)網(wǎng)D1Net和信眾智聯(lián)合主辦的2019 CIOC全國CIO大會上,聯(lián)合汽車電子信息安全總監(jiān)趙超就分享了自己在企業(yè)信息安全建設方面的心得體會。
信息安全是風控體系
“做IT大多是靠經(jīng)驗的,但信息安全除外。”趙超指出,信息安全是風控體系,其核心目標是服務于資產(chǎn)的CIA。大病靠防,小病靠治,和中醫(yī)體系類似,信息安全需要靠“防”、“治”雙輪運作,從“亡羊補牢”到“未雨綢繆”,循環(huán)迭代。
“信息系統(tǒng)和安全這兩件事情確實可能不是‘同年同月同日生’,但恐怕它們只能‘同年同月同日死。’”趙超表示,由于數(shù)字資產(chǎn)中數(shù)據(jù)與載體密不可分;建設、運維、使用者多重角色、多重關系;軟件即服務;虛擬世界與現(xiàn)實世界融合等特點,為信息安全建設帶來很大的挑戰(zhàn)。這就導致很多企業(yè)信息安全建設是在系統(tǒng)建設好、上線運行之后才開始考慮安全的問題。很多安全手段的啟用,也不是因為找到了自身的風險所在,往往是跟著行業(yè)里的一些實踐或者乙方產(chǎn)品的發(fā)展啟動實施的。但這樣一來,就可能導致投入和風險不匹配,資金多花在了一些市場上熱門的產(chǎn)品,自身大的漏洞反被忽視。正是因為這個原因,信息安全一定要以體系化運作為基礎,以風險為導向。
變化并不是獨立發(fā)生的
人們關注的是變化,但需要找到核心變量,才能理解變化所在。“在互聯(lián)網(wǎng)技術的大背景下,數(shù)據(jù)資產(chǎn)發(fā)生很大的變化,導致了信息安全領域面臨的問題、可能采取的措施都隨之而變。也就是說,信息安全態(tài)勢的改變并不是獨立發(fā)生的。”
企業(yè)信息化階段,信息技術是輔助性的,幫助流程落地,使管理透明化。企業(yè)做了很多流程系統(tǒng),但與企業(yè)核心價值鏈的關系并不緊密。與之相對應的,信息安全建設和業(yè)務之間更是存在很大隔閡。也就是說,出了信息安全問題,對企業(yè)的影響可能并不大。即便是企業(yè)最有價值的信息資產(chǎn),核心技術資料,其保護手段并不過多依賴于信息安全保護機制。往往是通過法律層面的知識產(chǎn)權或商業(yè)秘密加以保護。
特別是傳統(tǒng)企業(yè),信息系統(tǒng)本身并不直接創(chuàng)造價值。作為業(yè)務的輔助手段,這些系統(tǒng)也只是存在于自家的局域網(wǎng)環(huán)境里。現(xiàn)在企業(yè)都在做數(shù)字化創(chuàng)新轉(zhuǎn)型,其根本含義就是利用互聯(lián)網(wǎng)技術帶來的互動作用,把自己的產(chǎn)品和服務推到互聯(lián)網(wǎng)上,與客戶消費者互動。在互聯(lián)網(wǎng)上的IT系統(tǒng),才是真正意義上的業(yè)務與技術的融合。“如果只是出在公司內(nèi)網(wǎng),就無法從互聯(lián)網(wǎng)如此巨大的經(jīng)濟體中獲取價值。”趙超認為,互聯(lián)網(wǎng)能夠讓產(chǎn)品服務和客戶服務直接送達客戶,快速獲取并反饋客戶需求。未來數(shù)字經(jīng)濟和實體經(jīng)濟將會匯集成一個閉環(huán),能讓客戶需求和價值生成的過程不斷循環(huán)。
“正因為這樣的趨勢,信息安全也會發(fā)生相應的改變。”趙超直言,信息資產(chǎn)將從靜態(tài)數(shù)據(jù)向業(yè)務服務轉(zhuǎn)化,不管是To B抑或To C,服務一定是在互聯(lián)網(wǎng)上的。
“傳統(tǒng)意義上的信息安全關注企業(yè)內(nèi)網(wǎng)系統(tǒng),對應的業(yè)務數(shù)據(jù)是公司的信息資產(chǎn), 例如研發(fā)數(shù)據(jù), 經(jīng)營數(shù)據(jù)。而互聯(lián)網(wǎng)上的系統(tǒng),最重要的是交易數(shù)據(jù)、客戶數(shù)據(jù)、以及服務送達。在全新的價值網(wǎng)絡中,信息安全成為企業(yè)價值達成不可或缺的手段。”趙超認為,天下攘攘,皆為利往。未來,整個價值鏈勢必向互聯(lián)網(wǎng)上遷移,因此,越來越多的信息資產(chǎn)將離開局域網(wǎng)的圍欄。企業(yè)內(nèi)部保存的只是一些基本的、作為后盾支撐經(jīng)營運作的系統(tǒng)。特別是企業(yè)價值達成必然是在互聯(lián)網(wǎng)上實現(xiàn)的。信息安全將成為網(wǎng)絡空間的安全問題,和業(yè)務完全融合為一體。
立足六大基本點,積極推進企業(yè)安全建設
安全無處不在,既需要傳統(tǒng)領域的信息保護,又面臨著未來的巨大挑戰(zhàn)。作為合資企業(yè),聯(lián)合汽車電子極為重視信息安全的建設,談及多年來的實戰(zhàn)經(jīng)驗,趙超直言應該抓住以下幾個基本點:
1. 全局把控、尋找定位。從全價值鏈著眼,確定信息安全管控范圍及力度。還要考慮到未來網(wǎng)絡世界里,存在風險和收益的權衡,“風險大、收益大”這一規(guī)律也同樣適用于信息安全風險。如何把控兩者之間的關系,找準安全管控的定位尤為關鍵。
2. 回歸安全本源。信息安全需要做到“亡羊補牢”和“風險識別”,兩者不分先后,互為因果,迭代閉環(huán)。
3. 導入體系,持續(xù)運行。引入信息安全體系,通過PDCA中風險識別、防范措施、檢查改進、處置行動等流程,明確監(jiān)管責任和主體責任,持續(xù)運行安全服務。
4. 資產(chǎn)識別要點。在資產(chǎn)識別上明確數(shù)據(jù)資產(chǎn),數(shù)據(jù)載體資產(chǎn),安全措施資產(chǎn)的不同特性,必要時進行資產(chǎn)同類項合并,這樣才能保證風險評估的有效進行。除了數(shù)據(jù)以外,服務也應該被作為單獨的資產(chǎn)來加以識別。
5. 職責定義,三道防線。層層落實“誰主管(業(yè)務)誰負責;誰運行誰負責;誰使用誰負責”的主體責任,并建立以主體責任、監(jiān)管治理和審計為中心的三道防線。
6. 措施的認識。很多企業(yè)把措施狹義地理解為技術措施。而信息安全的管控措施包含技術、流程、責任意識多個方面,確立兜底措施的高優(yōu)先級,追蹤技術手段趨勢,明確防御措施自身的風險。
演講末尾,趙超談及了自己對于未來的展望,她指出,未來企業(yè)將會從原有的物理世界中走出來,將價值延伸到互聯(lián)網(wǎng)的世界中去,和用戶接觸并產(chǎn)生反饋,帶動整個價值鏈的閉環(huán)運作,循環(huán)上升。而網(wǎng)絡安全、價值創(chuàng)造、技術實現(xiàn)也將完全融為一體,成為企業(yè)價值運作的三駕馬車。