作為CBTS公司的首席信息安全官顧問，我經常與CIO和IT戰(zhàn)略領導者交談。通常，交流的重點是安全問題，以及在年度預算中優(yōu)先考慮業(yè)務環(huán)境中的安全技術支出。我還幫助他們考慮，當新項目提交給董事會以尋求資金支持時，何時該讓首席信息安全官參與進來。

一個正受人關注的項目是數(shù)字轉型。有時這種關注來自于CIO，有時則來自于另一高層領導。首席財務官可能會看到老舊硬件的經常性支出每年都在增加，以及維持遺留系統(tǒng)運行也需要資本支出。

沒有一個首席財務官希望自己的資本支出或運營成本的預算每年都呈上升趨勢，除非有相應的收入增長。

從老舊技術遷移到現(xiàn)代云環(huán)境，這具有很強的吸引力，而且可以帶來利潤，但你要確保首席信息安全官在開啟這一對話和戰(zhàn)略時就參與其中，而不是在產品和供應商被選定后再參與進來。

如果CIO清楚，從內部可靠運行且有良好安全保障的內部解決方案遷移出去所帶來的風險，那么企業(yè)的情況會很好。但是，如果制定戰(zhàn)略決策的人在沒有計算風險的情況下就把非常安全的企業(yè)數(shù)據轉移到云環(huán)境中，那么就有可能遭遇數(shù)據外泄或勒索軟件事件，從而把自己的數(shù)據泄露給競爭對手。

為了最大限度地降低數(shù)據泄露或數(shù)據丟失的風險，企業(yè)領導者需要做的是確保自己了解如何實施數(shù)字化轉型項目。如果你存儲在云端或移動設備上的數(shù)據丟失、被盜或遭到破壞，那么數(shù)字化轉型的戰(zhàn)略利益可能會很快喪失。

對于大多數(shù)公司來說，數(shù)字化轉型有三個主要組成部分：彈性、規(guī)模和上市速度。

企業(yè)領導者希望放棄傳統(tǒng)的業(yè)務環(huán)境，因為在這一環(huán)境中，更新升級很復雜，很難維護和打補丁，因此增加容量很困難或很昂貴。云端環(huán)境可以更容易更新升級，可以根據需要迅速靈活地擴大或減小規(guī)模，以及擁有一個可迅速調整以滿足市場需求的靈活環(huán)境。

你可以通過以下常見方法來改造遺留應用程序：

• 將自托管的總賬和工資應用程序遷移到云托管的解決方案。
• 提升自己的網絡影響力，升級為移動端優(yōu)先的網頁設計。
• 整合物聯(lián)網設備，以加深市場滲透和使客戶快速接受。
• 過渡到基于訂閱方式的產品或服務。
• 使員工能夠隨時隨地在任何設備上工作。

你可能會想知道：為什么 IT 部門沒有加入轉型的行列?原因往往是缺乏資金。

德勤公司在 2020 年的一份報告指出，IT 部門平均將 56% 的預算用于維護，只有 18% 的預算用于創(chuàng)新。好吧，我會把可用的資金來淘汰遺留應用程序。

你可能在想：“增加預算可以解決這個問題!”但沒有那么快。波耐蒙研究所 2022 年的一項調查報告顯示，超過 70% 的受訪者認為自己的企業(yè)經歷了數(shù)據泄露，因為他們向第三方供應商授予了過多的訪問權限。

創(chuàng)新和安全需要齊頭并進。

當進行創(chuàng)新和使用新的云服務時，你需要使用新的安全工具和管理機制進行保護，并監(jiān)測誰可以訪問數(shù)據，以及他們可以用數(shù)據做什么。安全工具需要從堆棧上移到應用層，以重點關注數(shù)據。其目標是保護數(shù)據，而不是設備或網絡。

確保數(shù)字化轉型項目平穩(wěn)推進，需要關注四個安全領域

1.ZTNA：零信任網絡訪問不是一個可以購買的產品，更確切地說，它是一種方法，其前提是任何用戶或設備都是不可信的。用戶和設備在被授予訪問權之前需要進行驗證。

2.TPRM：第三方風險管理是風險登記冊的一個主要組成部分。當你將應用程序遷移到云托管解決方案或亞馬遜網絡服務/微軟云 (AWS/Azure) 時，你無法再控制誰可以訪問數(shù)據中心;你是將自己的數(shù)據和系統(tǒng)托付給第三方。你需要確認，第三方是否已經部署了自己想要的安全流程和程序。任何存儲、傳輸、處理或可以訪問你的數(shù)據的供應商都需要進行第三方風險管理。

3.物聯(lián)網：像 Alexa、Siri 和谷歌家居 (Google Home) 等物聯(lián)網設備就是你如今客戶所處的位置。數(shù)字化轉型將導致無數(shù)的設備與你的數(shù)據進行交互，并可能與你的系統(tǒng)進行交互。你的數(shù)字化轉型項目首先要關注于人們能發(fā)出請求的移動設備。但你也要為物聯(lián)網設備進行設計，以便這些設備能與你的云托管應用程序進行交互。當你做這些工作時，你需要意識到自己與這類設備交互時伴隨的安全問題。

4.CASB：全新的云應用需要自己的安全團隊使用云安全控制措施，例如云訪問安全代理 (CASB)。CASB 是云原生的安全工具，可確保業(yè)務環(huán)境中的用戶只能訪問安全策略允許他們訪問的云服務。云安全態(tài)勢管理 (CSPM) 是另一種工具，可以監(jiān)控云環(huán)境，并在安全權限設置不正確時向你發(fā)出提醒。