8月19日,由CIO时代主办、新基建创新研究院作为智库支持的“第九届中国行业互联网大会暨CIO班18周年年会”在北京隆重召开。大会以“大模型时代的数字化转型”为主题,讲述了新时代下各行各业的全新变革。
腾讯安全策略发展中心资深专家田立出席了“第九届中国行业互联网大会暨CIO班18周年年会——2023CIO百人会高峰论坛”,并发表了题为《从“外驱”到“内驱”,企业安全能力建设的新理念与新路径——企业ESG与数字安全免疫力》的主题演讲。在演讲中,他着重讲述了企业如何建设全新的安全范式,提升数字安全免疫力。
以下为演讲内容摘录:
安全建设应与业务发展同步前进
随着数字化进程加快,企业的安全风险和挑战不断增加,据腾讯安全最新调研数据显示,企业的安全投入、安全理念和安全能力建设均面临着极大的困境。
安全投入失调。据调研数据显示,有70%企业的安全投入低于5%基准线,11%企业投入不到1%。
安全建设理念滞后。随着企业业务数字化逐步深入,安全建设仍停留在“头疼医头、脚疼医脚”的传统搭烟囱阶段。
安全成为企业发展的制约因素。有54%的企业CSO认为当前的安全投入不能满足企业发展需要,更无法支撑企业技术发展与业务转型。
究其本质,安全是一个很难体现价值的领域。企业应跳出“防黑防鬼”的窠臼,不能只从成本视角来考虑安全的ROI,而是要充分认识到安全不仅仅是“砌围墙”“扎篱笆”的被动防御,而是与要业务同步发展,并围绕公司的核心业务价值来梳理安全的价值。
ESG——企业长期盈利
与核心竞争力的基石
与此同时,我们也看到了企业发展和价值导向的多元化趋势。对企业的评价,已经不再以短期的单纯盈利为导向,而是强调企业的可持续发展能力、衡量其社会价值与责任担当,以评估期中长期的价值体现。
“ESG”是企业长期盈利与核心竞争力的基石。腾讯在ESG治理中,将“用户隐私与网络安全”“内容责任”作为核心议题。在腾讯看来,网络安全不仅仅是简单的数据防护,而是履行和承诺腾讯对社会的贡献和价值的关键要素。
至此,我们可以有信心地说:安全已不再是单纯的成本性投入,而是企业承担社会责任和面向未来发展的生命线,完全从被动地对抗攻击,演变为主动地构建自身核心能力。而且,安全工作的工作成绩是可量化的、也会被作为公司财报和ESG报告的核心内容来体现。
从实践的角度出发,腾讯将ESG实践分为五个治理委员会。其中,用户隐私和数据安全是最核心的委员会之一,其主要任务是帮助企业保护所有腾讯服务的C端用户的业务安全,确保腾讯云以及腾讯所有服务的央国企和关基行业的数据安全和网络安全。
在用户隐私领域,腾讯建立了对用户数据和隐私的敬畏文化,积极实践“将隐私保护融入设计”理念,并建立了 “Person——Button——Data” 隐私和数据保护实践。
在网络安全领域,腾讯建立了集团级的安全意识、共识和文化,并基于情报、攻防、管理和规划能力,建立了持续迭代和有效运营的“动态”和“主动式”安全能力。
如何实现高效的安全建设?高级管理层往往既要我们满足大量的安全合规、实战攻防要求,又要少出事、不出事,还要创造价值,提升长期财务竞争力和可持续发展水平。
在腾讯看来,最重要的是转变安全建设的思路。企业要认识到,安全的本质是识别和防范公司业务活动中可能面临的风险,所以需要将安全放在核心业务和数据视角思考,并进行深入的治理和实践。
从“思路”到“实践”
构建企业数字安全免疫力
网络安全建设不是建城墙,而是需要将静态安全转变为弹性、自适应、可拓展的模式。在风险上要从“治已病”转变为“治未病”,尽早地识别可能会对业务产生威胁的隐患,提前规避隐患,变被动防御为主动防御,提前思考问题,构建防御体系。
企业可通过2个免疫堡垒(数据安全治理与业务风险控制)、1个免疫中枢系统(企业安全运营管理)、3道免疫屏障(边界、端点、应用开发安全)构建内生免疫力,提升外在防御水平。自外而内的能力,强调通过精细化运营能力,把已有的免疫力屏障(人员、工具、流程)有效地整合起来;但更重要的是自内而外的能力,真正站在企业自身业务和数据视角,思考如何构建具备业务韧性和攻击免疫力的安全体系。
当然,安全建设需可量化、可评价、可对标,才能可落地与可执行。基于此,腾讯安全也尝试在免疫力模型的基础上,构建更加可操作和可落地的评价体系,目前我们初步建立了一个版本的问卷式自评估工具。问卷工具将能够支持识别企业基于同一个标尺,与同行业、同特征企业进行对标和差距分析。
此外,我们也在尝试更进一步细化评估的指标体系,以便未来能够通过轻量级咨询的方式,帮助企业基于业务识别关键风险,参考同业建立标尺,在清晰理解风险和差距的基础上,建立可落地安全建设路径。
总结来说,网络安全永远不应该脱离于企业自身的治理体系而单独存在。所以安全建设要围绕企业的核心业务,与业务共同成长,为业务保驾护航。