当前, 人类社会正由信息化向数字化演进, 数字化已是很多企业的核心战略, 数字技术也已成为社会快速发展的核心基础及创新原动力. 然而, 云计算, 物联网, 人工智能等新数字技术的出现也带来了新的安全风险, 提出了新的安全需求.
在此背景下, 为了进一步打破传统安全防护的边界, 有效应对数字风险, 加强行业用户, 审计监管部门以及技术厂商间的交流研讨, 中国内部审计协会, 北京国家会计学院, 国际信息系统审计协会(ISACA), 北京谷安天下于 10 月 26 日联合举办了 2019 首届数字风险峰会(DRS), 会议邀请了信息化建设, 企业风险管理以及内部审计领域的国际专家, 权威学者及企业数值化转型的先行者, 共同探讨了在企业数字化转型趋势下, 如何构建有中国特色的数字风险管理应对之道.
直击数字时代安全, 各路大咖出谋划策
在致辞中, 中国电子信息产业集团首席科学家方滨兴表示:"数字化的过程, 一定伴随着新的安全过程, 而'安全过程'不单是数据安全, 数据安全仅是安全的细分领域. 数字化依赖于平台, 平台的可靠性和稳定性使企业数字面临着各种各样的脆弱和不确定性, 从而产生了数字风险. 如何有效控制风险是现在企业面临的主要问题, 需要安全, 业务, 管理, 审计等多个部门, 加强协作, 共同探索."
谈起如何应对安全风险, 国际信息系统审计协会 ISACA 全球 CEO David Samuelson 认为, 在数字化时代, 企业需要采取各种方法消除风险, 但这并不意味着企业要避免所有风险, 因为风险也会带来机会. 因此, 风险应该管理, 而不是消除. 风险管理就是要帮助企业接受风险, 扩大企业目标, 为客户和利益相关者带来更大的价值."我们相信, 专注于目标, 通往有效风险管理的道路将更加清晰."
中国内部审计协会副会长兼秘书长沈立强指出, 数字风险已成为一项影响组织目标实现的关键风险. 与传统风险相比, 数字风险呈现出三大特点: 第一, 数字风险广泛存在于组织的方方面面; 第二, 数字风险的复杂性决定了应对风险的难度更高, 对风险的管理也会涉及到多个领域的知识和技能; 第三, 数字风险可能会在极短时间内给组织在战略和声誉上造成沉重的打击.
"这对企业内部审计人员提出了更高的要求, 需要不断提升在相关领域的业务能力." 沈立强表示, 首先, 需要熟知组织的数字化发展规划, 深入理解其中包含的关键举措和相关技术. 其次, 内部审计还要与组织内部的其他职能密切协作, 整合资源, 形成对风险的统一认识以及二三道防线联动的工作机制. 此外, 还需要通过不断提升在相关领域的业务能力, 为数字化转型和发展的决策者提供富有价值的信息和建议, 成为帮助组织应对数字风险的关键助力.
北京国家会计学院院长秦荣生表示:"我们应以全新视角去理解数字安全问题, 因为数字安全问题未必出现在组织原有的体系内, 而可能是发生在体系外. 现在, 数字安全已经成为国家, 社会乃至全人类的问题. 传统安全观以攻防为主体, 面对新的数字生态, 应该跳出攻防概念, 以协作为基础, 推动政府, 组织, 个人联动, 共同提高防护措施, 构建数字安全的整体体系. 只有从根本上转变安全观念, 提升安全认知维度, 才能真正地以安全为驱动力, 构建真正意义上的数字安全新生态."
北京谷安天下公司董事长, 谷安研究院院长陈伟认为:"数字化在给我们带来机会的同时, 也必然带来许多新的风险. 在企业数字化应用环境下, 风险管理相关部门 (风险, 内控及审计) 将很难沿用传统的'先找监管规范, 再建内控体系, 后进行审计'的传统方法, 技术的快速发展, 市场的快速变化将使传统风险管理逐步进入无'规'可依的境地,'鼓励创新'与'风险控制'未来将是一对矛盾体, 对风险管理相关部门将是一个需要长期面对的挑战."
行业专家共话实践, 谈数字风险应对之道
中国建设银行信息总监金磐石坦言, 数字化时代,"风控体系建设" 已经成为数字银行建设的重中之重, 风险防护能力已经成为衡量一家商业银行金融科技创新能力的首要标准.
他指出, 在风险防控能力建设上, 中国建设银行主要聚焦三大方面: 第一, 安全与体验平衡, 在防控风险的同时兼顾客户体验; 第二, 实施动态调整策略, 针对不同等级账户采取差异化的安全管控策略; 第三, 主动防御措施, 通过监测外部泄漏数据, 风险传播渠道, 暴力猜解行为以及主动识别钓鱼网站等手段, 主动出击应对交易风险. 最终, 通过利用大数据分析技术及人工智能手段, 中国建设银行已成功做到风险看得见, 风险理的清, 风险控得住.
随着政务大数据与安全 "同步" 进入新的发展阶段, 大数据技术在电子政务中得到广泛应用. 数据资产权益就是现实资产在网络社会中的投影, 数据资产权益保护也显得愈发重要. ISACA 中国专家委员会委员刘涤西指出, 人类只要还有未被云化的生产, 生活方式, 互联网应用就有创新的动力; 社会只要还有未被完整描述和转化的人与人, 人与物的关系, 信息安全就有发展的方向, 总而言之, 即 "数据暨世界, 应用暨生活, 安全暨社会".
中国医药健康产业信息化联盟理事长雷万云则认为:"基于云计算的系统思维可以将数字化时代的安全体系分成管理体系, 运维体系和技术体系, 从而进一步持续改进, 更新. 对于大型政企单位, 可以逐渐建设成围绕数据的安全保护系统, 将内外组件化, 达到快速响应, 使安全赋能企业, 保障业务安全且有效的进行."
阿里巴巴集团内控总监周佳敏指出, 数据驱动需要内控, 内审团队共同推动, 协调长期资源, 整合线上信息, 将数智化之后的数据作为决策依据并给出最后的判断. 产品建设要抓具体业务场景, 解决具体问题, 赋予 COSO 方法论完成数据化平台建设, 最终形成全经济多业态数据风控解决方案. 最终, 希望形成数据驱动, 产品助力, 专家服务三位一体的模式, 使风控融合在业务全链路中: 决策预判风险, 事前布控事中监控, 事后检查和复盘, 让风险无处可逃.
CMMI 研究院中国卓越中心负责人胡伟健表示, 今天, 数据正在从传统静态的, 被动的变迁成动态, 流动的, 已成为一种重要资产. 同时, 数据也正在从单纯的物理结构, 转变成和场景有关的内容. 因此, 在数字化时代, 我们对数据有了三个 (3A) 基本要求: 准确, 可用, 可获得, 并且数据必须同企业的业务成果相互联系.
"面对复杂的数字化环境下的风险管理, 我们正在基于数据分析, 快速识别, 衡量以及监控客户和产品风险, 构建一个数据管理成熟度模型 DMM, 该模型不仅可以作为一个测量工具, 更是一种能够衡量企业数据管理能力的实践框架." 胡伟健分享说.
会议当日, 除了以上嘉宾精彩演讲, 来自安全厂商, 奇安信集团副总裁邬怡在演讲中与大家分享了新安全体系如何助力企业数字化转型. 他表示:"企业面对有组织的攻击, 显得十分脆弱, 网络安全需要'内生安全', 以往传统的安全防护手段局限在外部的互联网, 现在必须把安全能力构建在内部的业务系统上, 从而保证信息化系统能生长出安全能力. 内生安全实现的四要素: 新机制, 技术集合, 数据聚合, 人的聚合, 强调了在信息化建设的方方面面, 充分考虑引入并融合安全能力, 以应对数据集中之后带来的内部威胁日益增长."
普华永道中国合伙人季瑞华认为, 企业要善用大数据以赋能业务发展. 审计技术应用的演变, 从数据分析到人工智能的过程中存在很多机遇和挑战. 在普华永道, 我们已经实现了多维度数据分析, 全面提升了企业对于特定领域的洞察能力. 通过大数据技术赋能风险管理, 对于如何合理使用数据应当重点关注以下四点: 善用内部数据; 寻找可实现增值的数据源; 搭建数据治理体系, 强化数据安全保护和合规; 不断测试, 学习, 调整.
写在后面
"风险" 的重要内涵就是要实现控制, 因为风险是不可避免的, 而资源是有限的, 所以要将风险控制在可接受的范围内. 随着数字化经济, 社会数字化程度的提高, 数字风险必将成为全社会的关注重点. 只有将数字风险合理的控制, 才能更好的发展数字经济, 迎接数字世界的到来, 这也正是数字风险大会召开的意义所在.
来源: http://netsecurity.51cto.com/art/201910/605027.htm