行業(yè)動態(tài)

推動數(shù)字經(jīng)濟,展望數(shù)字世界:首屆數(shù)字風險峰會 (DRS) 成功舉辦

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-10-29    瀏覽次數(shù):
 

信息來源:安全牛

當前,我國經(jīng)濟發(fā)展正在呈現(xiàn)出非常明顯的數(shù)字化特征,并從最初的消費領(lǐng)域向幾乎所有產(chǎn)業(yè)領(lǐng)域快速推進。數(shù)字化技術(shù)的深入應(yīng)用已經(jīng)成為中國經(jīng)濟提質(zhì)增效、轉(zhuǎn)型升級的重要驅(qū)動力。對企業(yè)而言,在數(shù)字化時代充滿機遇和挑戰(zhàn)。加強數(shù)字風險管理已成為數(shù)字經(jīng)濟時代企業(yè)提升核心競爭力的重要內(nèi)容,應(yīng)當引起企業(yè)管理層的高度重視。

10 月 26 日,由中國內(nèi)部審計協(xié)會、北京國家會計學院、國際信息系統(tǒng)審計協(xié)會 (ISACA)、北京谷安天下聯(lián)合舉辦的首屆數(shù)字風險峰會 (DRS) 在北京友誼賓館成功舉辦,會議邀請了信息化建設(shè)、企業(yè)風險管理以及內(nèi)部審計領(lǐng)域的國際專家、權(quán)威學者及企業(yè)數(shù)值化轉(zhuǎn)型的先行者,共同探討了在企業(yè)數(shù)字化轉(zhuǎn)型趨勢下,如何構(gòu)建有中國特色的數(shù)字風險管理應(yīng)對之道。

當前,人類社會正由信息化向數(shù)字化演進,數(shù)字技術(shù)已成為社會快速發(fā)展的核心基礎(chǔ)及創(chuàng)新原動力。而安全屬于伴生技術(shù),新技術(shù)的出現(xiàn),必然會不斷帶來新的安全挑戰(zhàn)與風險。數(shù)字化的過程,一定伴隨著新的安全過程,而 “安全過程” 不單是數(shù)據(jù)安全,數(shù)據(jù)安全僅是安全的細分領(lǐng)域。數(shù)字化依賴于平臺,平臺可靠性和穩(wěn)定性的不足使企業(yè)的數(shù)字化進程不得不面臨著各種各樣的脆弱和不確定性,進而演變?yōu)閿?shù)字風險。如何有效控制、管理風險是現(xiàn)在企業(yè)面臨的主要問題,需要安全、業(yè)務(wù)、管理、審計等多個部門,加強協(xié)作、共同探索。

在數(shù)字化時代,企業(yè)需要采取各種方法消除風險,但這并不意味著企業(yè)要避免所有的風險,因為風險也會為企業(yè)帶來機會。因此,風險應(yīng)該管理,而不是消除。風險管理就是要幫助企業(yè)在接受一定風險的前提下,幫助企業(yè)擴大業(yè)務(wù)目標,在此過程中為客戶和利益相關(guān)者帶來更大的價值。專注目標,讓通往有效風險管理的道路更加清晰。

50 年來,ISACA 致力于成為世界級的學習型組織,為個人和企業(yè)提供所需的培訓、知識以及資源,使他們成為各自領(lǐng)域的佼佼者。ISACA 即將正式發(fā)布《2020年企業(yè)風險管理狀況》報告,通過分析來自 140 個國家的逾 4,600 名應(yīng)答者的數(shù)據(jù),來決定最高風險、風險成熟等級、風險關(guān)注等。

數(shù)字風險已成為一項影響組織目標實現(xiàn)的關(guān)鍵風險,數(shù)字風險與傳統(tǒng)風險相比主要具備三方面特點:第一,數(shù)字風險廣泛存在于組織的方方面面;第二,數(shù)字風險的復(fù)雜性決定了應(yīng)對風險的難度更高,對風險的管理也會涉及到多個領(lǐng)域的知識和技能;第三,數(shù)字風險可能會在極短時間內(nèi)給組織在戰(zhàn)略和聲譽上造成沉重的打擊。

因此,這對企業(yè)內(nèi)部審計人員提出了更高的要求,需要不斷提升在相關(guān)領(lǐng)域的業(yè)務(wù)能力,首先需要熟知組織的數(shù)字化發(fā)展規(guī)劃,深入理解其中包含的關(guān)鍵舉措和涉及的相關(guān)技術(shù)。同時,內(nèi)部審計還要與組織內(nèi)部的其他職能密切協(xié)作,整合資源,形成對風險的統(tǒng)一認識以及二三道防線聯(lián)動的工作機制。此外,還需要通過不斷提升在相關(guān)領(lǐng)域的業(yè)務(wù)能力,為數(shù)字化轉(zhuǎn)型和發(fā)展的決策者提供富有價值的信息和建議,成為幫助組織應(yīng)對數(shù)字風險的關(guān)鍵助力。

數(shù)字化是一種趨勢,是數(shù)字技術(shù)被廣泛使用并由此帶來了社會環(huán)境、經(jīng)濟活動和生活的根本變化。在數(shù)字化時代,數(shù)字安全已經(jīng)不只是一種基礎(chǔ)能力,還是產(chǎn)業(yè)發(fā)展、社會正常運轉(zhuǎn)的驅(qū)動力。數(shù)字安全已成為所有 0 前面的 1,沒有了 1,所有 0 都失去了意義。我們應(yīng)以全新視角去理解數(shù)字安全問題,因為數(shù)字安全問題未必出現(xiàn)在組織原有的體系內(nèi),也可能是發(fā)生在體系外。數(shù)字安全以前都是個人、組織的問題,現(xiàn)在,數(shù)字安全已經(jīng)成為國家、社會乃至全人類的問題。傳統(tǒng)安全觀以攻防為主體,面對新的數(shù)字生態(tài),應(yīng)該跳出攻防概念,以協(xié)作為基礎(chǔ),推動政府、組織、個人聯(lián)動,共同提高防護措施,構(gòu)建數(shù)字安全的整體體系。只有從根本上轉(zhuǎn)變安全觀念,提升安全認知維度,才能真正地以安全為驅(qū)動力,構(gòu)建真正意義上的數(shù)字安全新生態(tài)。

數(shù)字化不再是企業(yè)錦上添花的一個工具,而是已經(jīng)成為了企業(yè)核心戰(zhàn)略,數(shù)字化轉(zhuǎn)型已經(jīng)不是選擇,而是必然。埃森哲統(tǒng)計數(shù)據(jù)顯示,早期接納數(shù)字化轉(zhuǎn)型的企業(yè)生產(chǎn)率提高了 70%,相比之下,后續(xù)仿效的企業(yè)生產(chǎn)率僅提高了 30%。不過任何事情都具有兩面性,數(shù)字化在給我們帶來機會的同時,也必然帶來許多前所未有的新的風險。在企業(yè)數(shù)字化應(yīng)用環(huán)境下,風險管理相關(guān)部門(風險、內(nèi)控及審計)將很難沿用傳統(tǒng) “先找監(jiān)管規(guī)范,再建內(nèi)控體系,后進行審計” 的方法,技術(shù)的快速發(fā)展、市場的快速變化將使傳統(tǒng)風險管理逐步進入無 “規(guī)” 可依的境地,“鼓勵創(chuàng)新” 與 “風險控制” 未來將是一對矛盾體,對風險管理相關(guān)部門將是一個需要長期面對的挑戰(zhàn)。

數(shù)字化時代,“風控體系建設(shè)” 已經(jīng)成為數(shù)字銀行建設(shè)的重中之重,風險防護能力已經(jīng)成為衡量一家商業(yè)銀行金融科技創(chuàng)新能力的首要標準。中國建設(shè)銀行在風險防控能力建設(shè)上主要突出三部分。第一,安全與體驗平衡,在防控風險的同時兼顧客戶體驗;第二,實施動態(tài)調(diào)整策略,針對不同等級賬戶采取差異化的安全管控策略;第三,主動防御措施,通過監(jiān)測外部泄漏數(shù)據(jù)、風險傳播渠道、暴力猜解行為以及主動識別釣魚網(wǎng)站等手段,主動出擊應(yīng)對交易風險。通過利用大數(shù)據(jù)分析技術(shù)及人工智能手段,中國建設(shè)銀行已成功做到風險看得見、風險理的清、風險控得住。

隨著政務(wù)大數(shù)據(jù)與安全 “同步” 進入新的發(fā)展階段,大數(shù)據(jù)技術(shù)在電子政務(wù)中得到廣泛應(yīng)用。數(shù)據(jù)資產(chǎn)權(quán)益就是現(xiàn)實資產(chǎn)在網(wǎng)絡(luò)社會中的投影,數(shù)據(jù)資產(chǎn)權(quán)益保護也顯得愈發(fā)重要。數(shù)據(jù)化的物質(zhì)和意識,大數(shù)據(jù)就有可開拓的市場;人類只要還有未被云化的生產(chǎn)、生活方式,互聯(lián)網(wǎng)應(yīng)用就有創(chuàng)新的動力;社會只要還有未被完整描述和轉(zhuǎn)化的人與人、人與物的關(guān)系,信息安全就有發(fā)展的方向,總而言之,即 “數(shù)據(jù)暨世界、應(yīng)用暨生活、安全暨社會”。

萬物互聯(lián)時代,技術(shù)改變著生產(chǎn)和工作方式,也改變著安全業(yè)態(tài)。與此同時,國家層面的高度重視和相關(guān)法律法規(guī)的出臺,影響著網(wǎng)絡(luò)安全的變革。由此,基于云計算的系統(tǒng)思維可以將數(shù)字化時代的安全體系分成管理體系、運維體系和技術(shù)體系,從而進一步持續(xù)改進、更新。對于大型政企單位,可以逐漸建設(shè)成圍繞數(shù)據(jù)的安全保護系統(tǒng),將內(nèi)外組件化,達到快速響應(yīng),使安全賦能企業(yè)、保障業(yè)務(wù)安全且有效的進行。

數(shù)據(jù)驅(qū)動需要內(nèi)控、內(nèi)審團隊共同推動,協(xié)調(diào)長期資源,整合線上信息,將數(shù)智化之后的數(shù)據(jù)作為決策依據(jù)并給出最后的判斷。產(chǎn)品建設(shè)要抓具體業(yè)務(wù)場景,解決具體問題,賦予 COSO 方法論完成數(shù)據(jù)化平臺建設(shè),最終形成全經(jīng)濟多業(yè)態(tài)數(shù)據(jù)風控解決方案。最終,希望形成數(shù)據(jù)驅(qū)動、產(chǎn)品助力、專家服務(wù)三位一體的模式,使風控融合在業(yè)務(wù)全鏈路中:決策預(yù)判風險,事前布控事中監(jiān)控,事后檢查和復(fù)盤,讓風險無處可逃。

今天,數(shù)據(jù)正在從傳統(tǒng)靜態(tài)的、被動的變遷成動態(tài)、流動的,已成為一種重要資產(chǎn)。同時,數(shù)據(jù)也正在從單純的物理結(jié)構(gòu),轉(zhuǎn)變成和場景有關(guān)的內(nèi)容。因此,在數(shù)字化時代,我們對數(shù)據(jù)有三個 (3A) 基本要求:準確、可用、可獲得,并且數(shù)據(jù)必須同企業(yè)的業(yè)務(wù)成果相互聯(lián)系。為了應(yīng)對復(fù)雜數(shù)字化環(huán)境下的風險管理需求,我們正基于數(shù)據(jù)分析、快速識別、衡量以及監(jiān)控客戶和產(chǎn)品風險,構(gòu)建一個數(shù)據(jù)管理成熟度模型 DMM。該模型不僅可以作為一個測量工具,更是一種能夠衡量企業(yè)數(shù)據(jù)管理能力的最佳實踐框架。

現(xiàn)在網(wǎng)絡(luò)安全態(tài)勢和日常生活越來越緊密結(jié)合,網(wǎng)絡(luò)攻擊、數(shù)據(jù)欺詐和盜竊成為世界前五大威脅。企業(yè)面對有組織的攻擊,顯得十分脆弱,網(wǎng)絡(luò)安全需要 “內(nèi)生安全”。以往傳統(tǒng)的安全防護手段局限在外部的互聯(lián)網(wǎng),現(xiàn)在必須把安全能力構(gòu)建在內(nèi)部的業(yè)務(wù)系統(tǒng)上,從而保證信息化系統(tǒng)能生長出安全能力。內(nèi)生安全實現(xiàn)的四要素:新機制、技術(shù)集合、數(shù)據(jù)聚合、人的聚合,強調(diào)了在信息化建設(shè)的方方面面,充分考慮引入并融合安全能力,以應(yīng)對數(shù)據(jù)集中之后內(nèi)部威脅日益增長的挑戰(zhàn)。

隨著當前數(shù)字化發(fā)展的快速推進,數(shù)據(jù)質(zhì)量的提升將會變得更加重要。只有能夠提煉數(shù)據(jù)之間的關(guān)聯(lián)和趨勢,數(shù)據(jù)的效用才能大大增加。企業(yè)要善用大數(shù)據(jù),賦能業(yè)務(wù)發(fā)展。審計技術(shù)應(yīng)用的演變,從數(shù)據(jù)分析到人工智能的過程中存在很多機遇和挑戰(zhàn)。在普華永道,我們已經(jīng)實現(xiàn)了多維度數(shù)據(jù)分析,全面提升了企業(yè)對于特定領(lǐng)域的洞察能力。對于如何合理使用大數(shù)據(jù)技術(shù),建議重點關(guān)注以下四點:1、善用內(nèi)部數(shù)據(jù);2、尋找可實現(xiàn)增值的數(shù)據(jù)源;3、搭建數(shù)據(jù)治理體系,強化數(shù)據(jù)安全保護和合規(guī);4、不斷測試、學習、調(diào)整。

 
 

上一篇:2019年10月28日 聚銘安全速遞

下一篇:網(wǎng)絡(luò)攻擊導(dǎo)致德國自動化公司受到重創(chuàng)