联合汽车电子赵超的企业信息安全之见
扫描二维码
随时随地手机看文章
着新一代数字技术的飞速发展并成功渗入各行各业,信息安全问题已经不再单纯作用于虚拟网络空间,还对于物理世界的企业生产、经营、技术等都产生了巨大的影响。数字经济的全面到来,让信息安全开始成为当代企业发展的第一生命线。
近日,在企业网D1Net和信众智联合主办的2019 CIOC全国CIO大会上,联合汽车电子信息安全总监赵超就分享了自己在企业信息安全建设方面的心得体会。
信息安全是风控体系
“做IT大多是靠经验的,但信息安全除外。”赵超指出,信息安全是风控体系,其核心目标是服务于资产的CIA。大病靠防,小病靠治,和中医体系类似,信息安全需要靠“防”、“治”双轮运作,从“亡羊补牢”到“未雨绸缪”,循环迭代。
“信息系统和安全这两件事情确实可能不是‘同年同月同日生’,但恐怕它们只能‘同年同月同日死。’”赵超表示,由于数字资产中数据与载体密不可分;建设、运维、使用者多重角色、多重关系;软件即服务;虚拟世界与现实世界融合等特点,为信息安全建设带来很大的挑战。这就导致很多企业信息安全建设是在系统建设好、上线运行之后才开始考虑安全的问题。很多安全手段的启用,也不是因为找到了自身的风险所在,往往是跟着行业里的一些实践或者乙方产品的发展启动实施的。但这样一来,就可能导致投入和风险不匹配,资金多花在了一些市场上热门的产品,自身大的漏洞反被忽视。正是因为这个原因,信息安全一定要以体系化运作为基础,以风险为导向。
变化并不是独立发生的
人们关注的是变化,但需要找到核心变量,才能理解变化所在。“在互联网技术的大背景下,数据资产发生很大的变化,导致了信息安全领域面临的问题、可能采取的措施都随之而变。也就是说,信息安全态势的改变并不是独立发生的。”
企业信息化阶段,信息技术是辅助性的,帮助流程落地,使管理透明化。企业做了很多流程系统,但与企业核心价值链的关系并不紧密。与之相对应的,信息安全建设和业务之间更是存在很大隔阂。也就是说,出了信息安全问题,对企业的影响可能并不大。即便是企业最有价值的信息资产,核心技术资料,其保护手段并不过多依赖于信息安全保护机制。往往是通过法律层面的知识产权或商业秘密加以保护。
特别是传统企业,信息系统本身并不直接创造价值。作为业务的辅助手段,这些系统也只是存在于自家的局域网环境里。现在企业都在做数字化创新转型,其根本含义就是利用互联网技术带来的互动作用,把自己的产品和服务推到互联网上,与客户消费者互动。在互联网上的IT系统,才是真正意义上的业务与技术的融合。“如果只是出在公司内网,就无法从互联网如此巨大的经济体中获取价值。”赵超认为,互联网能够让产品服务和客户服务直接送达客户,快速获取并反馈客户需求。未来数字经济和实体经济将会汇集成一个闭环,能让客户需求和价值生成的过程不断循环。
“正因为这样的趋势,信息安全也会发生相应的改变。”赵超直言,信息资产将从静态数据向业务服务转化,不管是To B抑或To C,服务一定是在互联网上的。
“传统意义上的信息安全关注企业内网系统,对应的业务数据是公司的信息资产, 例如研发数据, 经营数据。而互联网上的系统,最重要的是交易数据、客户数据、以及服务送达。在全新的价值网络中,信息安全成为企业价值达成不可或缺的手段。”赵超认为,天下攘攘,皆为利往。未来,整个价值链势必向互联网上迁移,因此,越来越多的信息资产将离开局域网的围栏。企业内部保存的只是一些基本的、作为后盾支撑经营运作的系统。特别是企业价值达成必然是在互联网上实现的。信息安全将成为网络空间的安全问题,和业务完全融合为一体。
立足六大基本点,积极推进企业安全建设
安全无处不在,既需要传统领域的信息保护,又面临着未来的巨大挑战。作为合资企业,联合汽车电子极为重视信息安全的建设,谈及多年来的实战经验,赵超直言应该抓住以下几个基本点:
1. 全局把控、寻找定位。从全价值链着眼,确定信息安全管控范围及力度。还要考虑到未来网络世界里,存在风险和收益的权衡,“风险大、收益大”这一规律也同样适用于信息安全风险。如何把控两者之间的关系,找准安全管控的定位尤为关键。
2. 回归安全本源。信息安全需要做到“亡羊补牢”和“风险识别”,两者不分先后,互为因果,迭代闭环。
3. 导入体系,持续运行。引入信息安全体系,通过PDCA中风险识别、防范措施、检查改进、处置行动等流程,明确监管责任和主体责任,持续运行安全服务。
4. 资产识别要点。在资产识别上明确数据资产,数据载体资产,安全措施资产的不同特性,必要时进行资产同类项合并,这样才能保证风险评估的有效进行。除了数据以外,服务也应该被作为单独的资产来加以识别。
5. 职责定义,三道防线。层层落实“谁主管(业务)谁负责;谁运行谁负责;谁使用谁负责”的主体责任,并建立以主体责任、监管治理和审计为中心的三道防线。
6. 措施的认识。很多企业把措施狭义地理解为技术措施。而信息安全的管控措施包含技术、流程、责任意识多个方面,确立兜底措施的高优先级,追踪技术手段趋势,明确防御措施自身的风险。
演讲末尾,赵超谈及了自己对于未来的展望,她指出,未来企业将会从原有的物理世界中走出来,将价值延伸到互联网的世界中去,和用户接触并产生反馈,带动整个价值链的闭环运作,循环上升。而网络安全、价值创造、技术实现也将完全融为一体,成为企业价值运作的三驾马车。
下载文档
