推動(dòng)數(shù)字經(jīng)濟(jì),展望數(shù)字世界:首屆數(shù)字風(fēng)險(xiǎn)峰會(huì) (DRS) 成功舉辦 |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2019-10-29 瀏覽次數(shù): |
信息來(lái)源:安全牛 當(dāng)前,我國(guó)經(jīng)濟(jì)發(fā)展正在呈現(xiàn)出非常明顯的數(shù)字化特征,并從最初的消費(fèi)領(lǐng)域向幾乎所有產(chǎn)業(yè)領(lǐng)域快速推進(jìn)。數(shù)字化技術(shù)的深入應(yīng)用已經(jīng)成為中國(guó)經(jīng)濟(jì)提質(zhì)增效、轉(zhuǎn)型升級(jí)的重要驅(qū)動(dòng)力。對(duì)企業(yè)而言,在數(shù)字化時(shí)代充滿(mǎn)機(jī)遇和挑戰(zhàn)。加強(qiáng)數(shù)字風(fēng)險(xiǎn)管理已成為數(shù)字經(jīng)濟(jì)時(shí)代企業(yè)提升核心競(jìng)爭(zhēng)力的重要內(nèi)容,應(yīng)當(dāng)引起企業(yè)管理層的高度重視。 10 月 26 日,由中國(guó)內(nèi)部審計(jì)協(xié)會(huì)、北京國(guó)家會(huì)計(jì)學(xué)院、國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì) (ISACA)、北京谷安天下聯(lián)合舉辦的首屆數(shù)字風(fēng)險(xiǎn)峰會(huì) (DRS) 在北京友誼賓館成功舉辦,會(huì)議邀請(qǐng)了信息化建設(shè)、企業(yè)風(fēng)險(xiǎn)管理以及內(nèi)部審計(jì)領(lǐng)域的國(guó)際專(zhuān)家、權(quán)威學(xué)者及企業(yè)數(shù)值化轉(zhuǎn)型的先行者,共同探討了在企業(yè)數(shù)字化轉(zhuǎn)型趨勢(shì)下,如何構(gòu)建有中國(guó)特色的數(shù)字風(fēng)險(xiǎn)管理應(yīng)對(duì)之道。
當(dāng)前,人類(lèi)社會(huì)正由信息化向數(shù)字化演進(jìn),數(shù)字技術(shù)已成為社會(huì)快速發(fā)展的核心基礎(chǔ)及創(chuàng)新原動(dòng)力。而安全屬于伴生技術(shù),新技術(shù)的出現(xiàn),必然會(huì)不斷帶來(lái)新的安全挑戰(zhàn)與風(fēng)險(xiǎn)。數(shù)字化的過(guò)程,一定伴隨著新的安全過(guò)程,而 “安全過(guò)程” 不單是數(shù)據(jù)安全,數(shù)據(jù)安全僅是安全的細(xì)分領(lǐng)域。數(shù)字化依賴(lài)于平臺(tái),平臺(tái)可靠性和穩(wěn)定性的不足使企業(yè)的數(shù)字化進(jìn)程不得不面臨著各種各樣的脆弱和不確定性,進(jìn)而演變?yōu)閿?shù)字風(fēng)險(xiǎn)。如何有效控制、管理風(fēng)險(xiǎn)是現(xiàn)在企業(yè)面臨的主要問(wèn)題,需要安全、業(yè)務(wù)、管理、審計(jì)等多個(gè)部門(mén),加強(qiáng)協(xié)作、共同探索。
在數(shù)字化時(shí)代,企業(yè)需要采取各種方法消除風(fēng)險(xiǎn),但這并不意味著企業(yè)要避免所有的風(fēng)險(xiǎn),因?yàn)轱L(fēng)險(xiǎn)也會(huì)為企業(yè)帶來(lái)機(jī)會(huì)。因此,風(fēng)險(xiǎn)應(yīng)該管理,而不是消除。風(fēng)險(xiǎn)管理就是要幫助企業(yè)在接受一定風(fēng)險(xiǎn)的前提下,幫助企業(yè)擴(kuò)大業(yè)務(wù)目標(biāo),在此過(guò)程中為客戶(hù)和利益相關(guān)者帶來(lái)更大的價(jià)值。專(zhuān)注目標(biāo),讓通往有效風(fēng)險(xiǎn)管理的道路更加清晰。 50 年來(lái),ISACA 致力于成為世界級(jí)的學(xué)習(xí)型組織,為個(gè)人和企業(yè)提供所需的培訓(xùn)、知識(shí)以及資源,使他們成為各自領(lǐng)域的佼佼者。ISACA 即將正式發(fā)布《2020年企業(yè)風(fēng)險(xiǎn)管理狀況》報(bào)告,通過(guò)分析來(lái)自 140 個(gè)國(guó)家的逾 4,600 名應(yīng)答者的數(shù)據(jù),來(lái)決定最高風(fēng)險(xiǎn)、風(fēng)險(xiǎn)成熟等級(jí)、風(fēng)險(xiǎn)關(guān)注等。
數(shù)字風(fēng)險(xiǎn)已成為一項(xiàng)影響組織目標(biāo)實(shí)現(xiàn)的關(guān)鍵風(fēng)險(xiǎn),數(shù)字風(fēng)險(xiǎn)與傳統(tǒng)風(fēng)險(xiǎn)相比主要具備三方面特點(diǎn):第一,數(shù)字風(fēng)險(xiǎn)廣泛存在于組織的方方面面;第二,數(shù)字風(fēng)險(xiǎn)的復(fù)雜性決定了應(yīng)對(duì)風(fēng)險(xiǎn)的難度更高,對(duì)風(fēng)險(xiǎn)的管理也會(huì)涉及到多個(gè)領(lǐng)域的知識(shí)和技能;第三,數(shù)字風(fēng)險(xiǎn)可能會(huì)在極短時(shí)間內(nèi)給組織在戰(zhàn)略和聲譽(yù)上造成沉重的打擊。 因此,這對(duì)企業(yè)內(nèi)部審計(jì)人員提出了更高的要求,需要不斷提升在相關(guān)領(lǐng)域的業(yè)務(wù)能力,首先需要熟知組織的數(shù)字化發(fā)展規(guī)劃,深入理解其中包含的關(guān)鍵舉措和涉及的相關(guān)技術(shù)。同時(shí),內(nèi)部審計(jì)還要與組織內(nèi)部的其他職能密切協(xié)作,整合資源,形成對(duì)風(fēng)險(xiǎn)的統(tǒng)一認(rèn)識(shí)以及二三道防線(xiàn)聯(lián)動(dòng)的工作機(jī)制。此外,還需要通過(guò)不斷提升在相關(guān)領(lǐng)域的業(yè)務(wù)能力,為數(shù)字化轉(zhuǎn)型和發(fā)展的決策者提供富有價(jià)值的信息和建議,成為幫助組織應(yīng)對(duì)數(shù)字風(fēng)險(xiǎn)的關(guān)鍵助力。
數(shù)字化是一種趨勢(shì),是數(shù)字技術(shù)被廣泛使用并由此帶來(lái)了社會(huì)環(huán)境、經(jīng)濟(jì)活動(dòng)和生活的根本變化。在數(shù)字化時(shí)代,數(shù)字安全已經(jīng)不只是一種基礎(chǔ)能力,還是產(chǎn)業(yè)發(fā)展、社會(huì)正常運(yùn)轉(zhuǎn)的驅(qū)動(dòng)力。數(shù)字安全已成為所有 0 前面的 1,沒(méi)有了 1,所有 0 都失去了意義。我們應(yīng)以全新視角去理解數(shù)字安全問(wèn)題,因?yàn)閿?shù)字安全問(wèn)題未必出現(xiàn)在組織原有的體系內(nèi),也可能是發(fā)生在體系外。數(shù)字安全以前都是個(gè)人、組織的問(wèn)題,現(xiàn)在,數(shù)字安全已經(jīng)成為國(guó)家、社會(huì)乃至全人類(lèi)的問(wèn)題。傳統(tǒng)安全觀(guān)以攻防為主體,面對(duì)新的數(shù)字生態(tài),應(yīng)該跳出攻防概念,以協(xié)作為基礎(chǔ),推動(dòng)政府、組織、個(gè)人聯(lián)動(dòng),共同提高防護(hù)措施,構(gòu)建數(shù)字安全的整體體系。只有從根本上轉(zhuǎn)變安全觀(guān)念,提升安全認(rèn)知維度,才能真正地以安全為驅(qū)動(dòng)力,構(gòu)建真正意義上的數(shù)字安全新生態(tài)。
數(shù)字化不再是企業(yè)錦上添花的一個(gè)工具,而是已經(jīng)成為了企業(yè)核心戰(zhàn)略,數(shù)字化轉(zhuǎn)型已經(jīng)不是選擇,而是必然。埃森哲統(tǒng)計(jì)數(shù)據(jù)顯示,早期接納數(shù)字化轉(zhuǎn)型的企業(yè)生產(chǎn)率提高了 70%,相比之下,后續(xù)仿效的企業(yè)生產(chǎn)率僅提高了 30%。不過(guò)任何事情都具有兩面性,數(shù)字化在給我們帶來(lái)機(jī)會(huì)的同時(shí),也必然帶來(lái)許多前所未有的新的風(fēng)險(xiǎn)。在企業(yè)數(shù)字化應(yīng)用環(huán)境下,風(fēng)險(xiǎn)管理相關(guān)部門(mén)(風(fēng)險(xiǎn)、內(nèi)控及審計(jì))將很難沿用傳統(tǒng) “先找監(jiān)管規(guī)范,再建內(nèi)控體系,后進(jìn)行審計(jì)” 的方法,技術(shù)的快速發(fā)展、市場(chǎng)的快速變化將使傳統(tǒng)風(fēng)險(xiǎn)管理逐步進(jìn)入無(wú) “規(guī)” 可依的境地,“鼓勵(lì)創(chuàng)新” 與 “風(fēng)險(xiǎn)控制” 未來(lái)將是一對(duì)矛盾體,對(duì)風(fēng)險(xiǎn)管理相關(guān)部門(mén)將是一個(gè)需要長(zhǎng)期面對(duì)的挑戰(zhàn)。
數(shù)字化時(shí)代,“風(fēng)控體系建設(shè)” 已經(jīng)成為數(shù)字銀行建設(shè)的重中之重,風(fēng)險(xiǎn)防護(hù)能力已經(jīng)成為衡量一家商業(yè)銀行金融科技創(chuàng)新能力的首要標(biāo)準(zhǔn)。中國(guó)建設(shè)銀行在風(fēng)險(xiǎn)防控能力建設(shè)上主要突出三部分。第一,安全與體驗(yàn)平衡,在防控風(fēng)險(xiǎn)的同時(shí)兼顧客戶(hù)體驗(yàn);第二,實(shí)施動(dòng)態(tài)調(diào)整策略,針對(duì)不同等級(jí)賬戶(hù)采取差異化的安全管控策略;第三,主動(dòng)防御措施,通過(guò)監(jiān)測(cè)外部泄漏數(shù)據(jù)、風(fēng)險(xiǎn)傳播渠道、暴力猜解行為以及主動(dòng)識(shí)別釣魚(yú)網(wǎng)站等手段,主動(dòng)出擊應(yīng)對(duì)交易風(fēng)險(xiǎn)。通過(guò)利用大數(shù)據(jù)分析技術(shù)及人工智能手段,中國(guó)建設(shè)銀行已成功做到風(fēng)險(xiǎn)看得見(jiàn)、風(fēng)險(xiǎn)理的清、風(fēng)險(xiǎn)控得住。
隨著政務(wù)大數(shù)據(jù)與安全 “同步” 進(jìn)入新的發(fā)展階段,大數(shù)據(jù)技術(shù)在電子政務(wù)中得到廣泛應(yīng)用。數(shù)據(jù)資產(chǎn)權(quán)益就是現(xiàn)實(shí)資產(chǎn)在網(wǎng)絡(luò)社會(huì)中的投影,數(shù)據(jù)資產(chǎn)權(quán)益保護(hù)也顯得愈發(fā)重要。數(shù)據(jù)化的物質(zhì)和意識(shí),大數(shù)據(jù)就有可開(kāi)拓的市場(chǎng);人類(lèi)只要還有未被云化的生產(chǎn)、生活方式,互聯(lián)網(wǎng)應(yīng)用就有創(chuàng)新的動(dòng)力;社會(huì)只要還有未被完整描述和轉(zhuǎn)化的人與人、人與物的關(guān)系,信息安全就有發(fā)展的方向,總而言之,即 “數(shù)據(jù)暨世界、應(yīng)用暨生活、安全暨社會(huì)”。
萬(wàn)物互聯(lián)時(shí)代,技術(shù)改變著生產(chǎn)和工作方式,也改變著安全業(yè)態(tài)。與此同時(shí),國(guó)家層面的高度重視和相關(guān)法律法規(guī)的出臺(tái),影響著網(wǎng)絡(luò)安全的變革。由此,基于云計(jì)算的系統(tǒng)思維可以將數(shù)字化時(shí)代的安全體系分成管理體系、運(yùn)維體系和技術(shù)體系,從而進(jìn)一步持續(xù)改進(jìn)、更新。對(duì)于大型政企單位,可以逐漸建設(shè)成圍繞數(shù)據(jù)的安全保護(hù)系統(tǒng),將內(nèi)外組件化,達(dá)到快速響應(yīng),使安全賦能企業(yè)、保障業(yè)務(wù)安全且有效的進(jìn)行。
數(shù)據(jù)驅(qū)動(dòng)需要內(nèi)控、內(nèi)審團(tuán)隊(duì)共同推動(dòng),協(xié)調(diào)長(zhǎng)期資源,整合線(xiàn)上信息,將數(shù)智化之后的數(shù)據(jù)作為決策依據(jù)并給出最后的判斷。產(chǎn)品建設(shè)要抓具體業(yè)務(wù)場(chǎng)景,解決具體問(wèn)題,賦予 COSO 方法論完成數(shù)據(jù)化平臺(tái)建設(shè),最終形成全經(jīng)濟(jì)多業(yè)態(tài)數(shù)據(jù)風(fēng)控解決方案。最終,希望形成數(shù)據(jù)驅(qū)動(dòng)、產(chǎn)品助力、專(zhuān)家服務(wù)三位一體的模式,使風(fēng)控融合在業(yè)務(wù)全鏈路中:決策預(yù)判風(fēng)險(xiǎn),事前布控事中監(jiān)控,事后檢查和復(fù)盤(pán),讓風(fēng)險(xiǎn)無(wú)處可逃。
今天,數(shù)據(jù)正在從傳統(tǒng)靜態(tài)的、被動(dòng)的變遷成動(dòng)態(tài)、流動(dòng)的,已成為一種重要資產(chǎn)。同時(shí),數(shù)據(jù)也正在從單純的物理結(jié)構(gòu),轉(zhuǎn)變成和場(chǎng)景有關(guān)的內(nèi)容。因此,在數(shù)字化時(shí)代,我們對(duì)數(shù)據(jù)有三個(gè) (3A) 基本要求:準(zhǔn)確、可用、可獲得,并且數(shù)據(jù)必須同企業(yè)的業(yè)務(wù)成果相互聯(lián)系。為了應(yīng)對(duì)復(fù)雜數(shù)字化環(huán)境下的風(fēng)險(xiǎn)管理需求,我們正基于數(shù)據(jù)分析、快速識(shí)別、衡量以及監(jiān)控客戶(hù)和產(chǎn)品風(fēng)險(xiǎn),構(gòu)建一個(gè)數(shù)據(jù)管理成熟度模型 DMM。該模型不僅可以作為一個(gè)測(cè)量工具,更是一種能夠衡量企業(yè)數(shù)據(jù)管理能力的最佳實(shí)踐框架。
現(xiàn)在網(wǎng)絡(luò)安全態(tài)勢(shì)和日常生活越來(lái)越緊密結(jié)合,網(wǎng)絡(luò)攻擊、數(shù)據(jù)欺詐和盜竊成為世界前五大威脅。企業(yè)面對(duì)有組織的攻擊,顯得十分脆弱,網(wǎng)絡(luò)安全需要 “內(nèi)生安全”。以往傳統(tǒng)的安全防護(hù)手段局限在外部的互聯(lián)網(wǎng),現(xiàn)在必須把安全能力構(gòu)建在內(nèi)部的業(yè)務(wù)系統(tǒng)上,從而保證信息化系統(tǒng)能生長(zhǎng)出安全能力。內(nèi)生安全實(shí)現(xiàn)的四要素:新機(jī)制、技術(shù)集合、數(shù)據(jù)聚合、人的聚合,強(qiáng)調(diào)了在信息化建設(shè)的方方面面,充分考慮引入并融合安全能力,以應(yīng)對(duì)數(shù)據(jù)集中之后內(nèi)部威脅日益增長(zhǎng)的挑戰(zhàn)。
隨著當(dāng)前數(shù)字化發(fā)展的快速推進(jìn),數(shù)據(jù)質(zhì)量的提升將會(huì)變得更加重要。只有能夠提煉數(shù)據(jù)之間的關(guān)聯(lián)和趨勢(shì),數(shù)據(jù)的效用才能大大增加。企業(yè)要善用大數(shù)據(jù),賦能業(yè)務(wù)發(fā)展。審計(jì)技術(shù)應(yīng)用的演變,從數(shù)據(jù)分析到人工智能的過(guò)程中存在很多機(jī)遇和挑戰(zhàn)。在普華永道,我們已經(jīng)實(shí)現(xiàn)了多維度數(shù)據(jù)分析,全面提升了企業(yè)對(duì)于特定領(lǐng)域的洞察能力。對(duì)于如何合理使用大數(shù)據(jù)技術(shù),建議重點(diǎn)關(guān)注以下四點(diǎn):1、善用內(nèi)部數(shù)據(jù);2、尋找可實(shí)現(xiàn)增值的數(shù)據(jù)源;3、搭建數(shù)據(jù)治理體系,強(qiáng)化數(shù)據(jù)安全保護(hù)和合規(guī);4、不斷測(cè)試、學(xué)習(xí)、調(diào)整。 |