應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點新聞
企業(yè)注冊個人注冊登錄

騰訊安全田立:企業(yè)ESG與數(shù)字安全免疫力

2023-09-05 13:49 CIO時代網(wǎng)

導讀:8月19日,“第九屆中國行業(yè)互聯(lián)網(wǎng)大會暨CIO班18周年年會”在北京隆重召開。

8月19日,由CIO時代主辦、新基建創(chuàng)新研究院作為智庫支持的“第九屆中國行業(yè)互聯(lián)網(wǎng)大會暨CIO班18周年年會”在北京隆重召開。大會以“大模型時代的數(shù)字化轉(zhuǎn)型”為主題,講述了新時代下各行各業(yè)的全新變革。



騰訊安全策略發(fā)展中心資深專家田立出席了“第九屆中國行業(yè)互聯(lián)網(wǎng)大會暨CIO班18周年年會——2023CIO百人會高峰論壇”,并發(fā)表了題為《從“外驅(qū)”到“內(nèi)驅(qū)”,企業(yè)安全能力建設(shè)的新理念與新路徑——企業(yè)ESG與數(shù)字安全免疫力》的主題演講。在演講中,他著重講述了企業(yè)如何建設(shè)全新的安全范式,提升數(shù)字安全免疫力。

以下為演講內(nèi)容摘錄:

安全建設(shè)應(yīng)與業(yè)務(wù)發(fā)展同步前進

隨著數(shù)字化進程加快,企業(yè)的安全風險和挑戰(zhàn)不斷增加,據(jù)騰訊安全最新調(diào)研數(shù)據(jù)顯示,企業(yè)的安全投入、安全理念和安全能力建設(shè)均面臨著極大的困境。

安全投入失調(diào)。據(jù)調(diào)研數(shù)據(jù)顯示,有70%企業(yè)的安全投入低于5%基準線,11%企業(yè)投入不到1%。

安全建設(shè)理念滯后。隨著企業(yè)業(yè)務(wù)數(shù)字化逐步深入,安全建設(shè)仍停留在“頭疼醫(yī)頭、腳疼醫(yī)腳”的傳統(tǒng)搭煙囪階段。

安全成為企業(yè)發(fā)展的制約因素。有54%的企業(yè)CSO認為當前的安全投入不能滿足企業(yè)發(fā)展需要,更無法支撐企業(yè)技術(shù)發(fā)展與業(yè)務(wù)轉(zhuǎn)型。



究其本質(zhì),安全是一個很難體現(xiàn)價值的領(lǐng)域。企業(yè)應(yīng)跳出“防黑防鬼”的窠臼,不能只從成本視角來考慮安全的ROI,而是要充分認識到安全不僅僅是“砌圍墻”“扎籬笆”的被動防御,而是與要業(yè)務(wù)同步發(fā)展,并圍繞公司的核心業(yè)務(wù)價值來梳理安全的價值。

ESG——企業(yè)長期盈利

與核心競爭力的基石

與此同時,我們也看到了企業(yè)發(fā)展和價值導向的多元化趨勢。對企業(yè)的評價,已經(jīng)不再以短期的單純盈利為導向,而是強調(diào)企業(yè)的可持續(xù)發(fā)展能力、衡量其社會價值與責任擔當,以評估期中長期的價值體現(xiàn)。

image.png



“ESG”是企業(yè)長期盈利與核心競爭力的基石。騰訊在ESG治理中,將“用戶隱私與網(wǎng)絡(luò)安全”“內(nèi)容責任”作為核心議題。在騰訊看來,網(wǎng)絡(luò)安全不僅僅是簡單的數(shù)據(jù)防護,而是履行和承諾騰訊對社會的貢獻和價值的關(guān)鍵要素。

至此,我們可以有信心地說:安全已不再是單純的成本性投入,而是企業(yè)承擔社會責任和面向未來發(fā)展的生命線,完全從被動地對抗攻擊,演變?yōu)橹鲃拥貥?gòu)建自身核心能力。而且,安全工作的工作成績是可量化的、也會被作為公司財報和ESG報告的核心內(nèi)容來體現(xiàn)。

從實踐的角度出發(fā),騰訊將ESG實踐分為五個治理委員會。其中,用戶隱私和數(shù)據(jù)安全是最核心的委員會之一,其主要任務(wù)是幫助企業(yè)保護所有騰訊服務(wù)的C端用戶的業(yè)務(wù)安全,確保騰訊云以及騰訊所有服務(wù)的央國企和關(guān)基行業(yè)的數(shù)據(jù)安全和網(wǎng)絡(luò)安全。

在用戶隱私領(lǐng)域,騰訊建立了對用戶數(shù)據(jù)和隱私的敬畏文化,積極實踐“將隱私保護融入設(shè)計”理念,并建立了 “Person——Button——Data” 隱私和數(shù)據(jù)保護實踐。

在網(wǎng)絡(luò)安全領(lǐng)域,騰訊建立了集團級的安全意識、共識和文化,并基于情報、攻防、管理和規(guī)劃能力,建立了持續(xù)迭代和有效運營的“動態(tài)”和“主動式”安全能力。



如何實現(xiàn)高效的安全建設(shè)?高級管理層往往既要我們滿足大量的安全合規(guī)、實戰(zhàn)攻防要求,又要少出事、不出事,還要創(chuàng)造價值,提升長期財務(wù)競爭力和可持續(xù)發(fā)展水平。

在騰訊看來,最重要的是轉(zhuǎn)變安全建設(shè)的思路。企業(yè)要認識到,安全的本質(zhì)是識別和防范公司業(yè)務(wù)活動中可能面臨的風險,所以需要將安全放在核心業(yè)務(wù)和數(shù)據(jù)視角思考,并進行深入的治理和實踐。對抗病毒的最優(yōu)選擇,永遠不是打抗生素,而是建立強壯的體魄和免疫力。

從“思路”到“實踐”

構(gòu)建企業(yè)數(shù)字安全免疫力

image.png

網(wǎng)絡(luò)安全建設(shè)不是建城墻,而是需要將靜態(tài)安全轉(zhuǎn)變?yōu)閺椥?、自適應(yīng)、可拓展的模式。在風險上要從“治已病”轉(zhuǎn)變?yōu)椤爸挝床 保M早地識別可能會對業(yè)務(wù)產(chǎn)生威脅的隱患,提前規(guī)避隱患,變被動防御為主動防御,提前思考問題,構(gòu)建防御體系。



企業(yè)可通過2個免疫堡壘(數(shù)據(jù)安全治理與業(yè)務(wù)風險控制)、1個免疫中樞系統(tǒng)(企業(yè)安全運營管理)、3道免疫屏障(邊界、端點、應(yīng)用開發(fā)安全)構(gòu)建內(nèi)生免疫力,提升外在防御水平。自外而內(nèi)的能力,強調(diào)通過精細化運營能力,把已有的免疫力屏障(人員、工具、流程)有效地整合起來;但更重要的是自內(nèi)而外的能力,真正站在企業(yè)自身業(yè)務(wù)和數(shù)據(jù)視角,思考如何構(gòu)建具備業(yè)務(wù)韌性和攻擊免疫力的安全體系。

當然,安全建設(shè)需可量化、可評價、可對標,才能可落地與可執(zhí)行?;诖?,騰訊安全也嘗試在免疫力模型的基礎(chǔ)上,構(gòu)建更加可操作和可落地的評價體系,目前我們初步建立了一個版本的問卷式自評估工具。問卷工具將能夠支持識別企業(yè)基于同一個標尺,與同行業(yè)、同特征企業(yè)進行對標和差距分析。

此外,我們也在嘗試更進一步細化評估的指標體系,以便未來能夠通過輕量級咨詢的方式,幫助企業(yè)基于業(yè)務(wù)識別關(guān)鍵風險,參考同業(yè)建立標尺,在清晰理解風險和差距的基礎(chǔ)上,建立可落地安全建設(shè)路徑。

總結(jié)來說,網(wǎng)絡(luò)安全永遠不應(yīng)該脫離于企業(yè)自身的治理體系而單獨存在。所以安全建設(shè)要圍繞企業(yè)的核心業(yè)務(wù),與業(yè)務(wù)共同成長,為業(yè)務(wù)保駕護航。