首页 > 其他分享 >腾讯安全田立:企业ESG与数字安全免疫力

腾讯安全田立:企业ESG与数字安全免疫力

时间:2023-09-05 18:04:30浏览次数:34  
标签:业务 ESG 安全 腾讯 田立 企业 免疫力

腾讯安全田立:企业ESG与数字安全免疫力_数据安全

8月19日,由CIO时代主办、新基建创新研究院作为智库支持的“第九届中国行业互联网大会暨CIO班18周年年会”在北京隆重召开。大会以“大模型时代的数字化转型”为主题,讲述了新时代下各行各业的全新变革。

腾讯安全田立:企业ESG与数字安全免疫力_用户隐私_02

腾讯安全策略发展中心资深专家田立出席了“第九届中国行业互联网大会暨CIO班18周年年会——2023CIO百人会高峰论坛”,并发表了题为《从“外驱”到“内驱”,企业安全能力建设的新理念与新路径——企业ESG与数字安全免疫力》的主题演讲。在演讲中,他着重讲述了企业如何建设全新的安全范式,提升数字安全免疫力。

以下为演讲内容摘录:

安全建设应与业务发展同步前进

随着数字化进程加快,企业的安全风险和挑战不断增加,据腾讯安全最新调研数据显示,企业的安全投入、安全理念和安全能力建设均面临着极大的困境。

安全投入失调。据调研数据显示,有70%企业的安全投入低于5%基准线,11%企业投入不到1%。

安全建设理念滞后。随着企业业务数字化逐步深入,安全建设仍停留在“头疼医头、脚疼医脚”的传统搭烟囱阶段。

安全成为企业发展的制约因素。有54%的企业CSO认为当前的安全投入不能满足企业发展需要,更无法支撑企业技术发展与业务转型。

腾讯安全田立:企业ESG与数字安全免疫力_数据_03

究其本质,安全是一个很难体现价值的领域。企业应跳出“防黑防鬼”的窠臼,不能只从成本视角来考虑安全的ROI,而是要充分认识到安全不仅仅是“砌围墙”“扎篱笆”的被动防御,而是与要业务同步发展,并围绕公司的核心业务价值来梳理安全的价值。

ESG——企业长期盈利

与核心竞争力的基石

与此同时,我们也看到了企业发展和价值导向的多元化趋势。对企业的评价,已经不再以短期的单纯盈利为导向,而是强调企业的可持续发展能力、衡量其社会价值与责任担当,以评估期中长期的价值体现。

腾讯安全田立:企业ESG与数字安全免疫力_数据_04

“ESG”是企业长期盈利与核心竞争力的基石。腾讯在ESG治理中,将“用户隐私与网络安全”“内容责任”作为核心议题。在腾讯看来,网络安全不仅仅是简单的数据防护,而是履行和承诺腾讯对社会的贡献和价值的关键要素。

至此,我们可以有信心地说:安全已不再是单纯的成本性投入,而是企业承担社会责任和面向未来发展的生命线,完全从被动地对抗攻击,演变为主动地构建自身核心能力。而且,安全工作的工作成绩是可量化的、也会被作为公司财报和ESG报告的核心内容来体现。

从实践的角度出发,腾讯将ESG实践分为五个治理委员会。其中,用户隐私和数据安全是最核心的委员会之一,其主要任务是帮助企业保护所有腾讯服务的C端用户的业务安全,确保腾讯云以及腾讯所有服务的央国企和关基行业的数据安全和网络安全。

在用户隐私领域,腾讯建立了对用户数据和隐私的敬畏文化,积极实践“将隐私保护融入设计”理念,并建立了 “Person——Button——Data” 隐私和数据保护实践。

在网络安全领域,腾讯建立了集团级的安全意识、共识和文化,并基于情报、攻防、管理和规划能力,建立了持续迭代和有效运营的“动态”和“主动式”安全能力。

腾讯安全田立:企业ESG与数字安全免疫力_数据安全_05

如何实现高效的安全建设?高级管理层往往既要我们满足大量的安全合规、实战攻防要求,又要少出事、不出事,还要创造价值,提升长期财务竞争力和可持续发展水平。

在腾讯看来,最重要的是转变安全建设的思路。企业要认识到,安全的本质是识别和防范公司业务活动中可能面临的风险,所以需要将安全放在核心业务和数据视角思考,并进行深入的治理和实践。对抗病毒的最优选择,永远不是打抗生素,而是建立强壮的体魄和免疫力。

从“思路”到“实践”

构建企业数字安全免疫力

腾讯安全田立:企业ESG与数字安全免疫力_数据安全_06

网络安全建设不是建城墙,而是需要将静态安全转变为弹性、自适应、可拓展的模式。在风险上要从“治已病”转变为“治未病”,尽早地识别可能会对业务产生威胁的隐患,提前规避隐患,变被动防御为主动防御,提前思考问题,构建防御体系。

腾讯安全田立:企业ESG与数字安全免疫力_数据_07

企业可通过2个免疫堡垒(数据安全治理与业务风险控制)、1个免疫中枢系统(企业安全运营管理)、3道免疫屏障(边界、端点、应用开发安全)构建内生免疫力,提升外在防御水平。自外而内的能力,强调通过精细化运营能力,把已有的免疫力屏障(人员、工具、流程)有效地整合起来;但更重要的是自内而外的能力,真正站在企业自身业务和数据视角,思考如何构建具备业务韧性和攻击免疫力的安全体系。

当然,安全建设需可量化、可评价、可对标,才能可落地与可执行。基于此,腾讯安全也尝试在免疫力模型的基础上,构建更加可操作和可落地的评价体系,目前我们初步建立了一个版本的问卷式自评估工具。问卷工具将能够支持识别企业基于同一个标尺,与同行业、同特征企业进行对标和差距分析。

此外,我们也在尝试更进一步细化评估的指标体系,以便未来能够通过轻量级咨询的方式,帮助企业基于业务识别关键风险,参考同业建立标尺,在清晰理解风险和差距的基础上,建立可落地安全建设路径。

总结来说,网络安全永远不应该脱离于企业自身的治理体系而单独存在。所以安全建设要围绕企业的核心业务,与业务共同成长,为业务保驾护航。

标签:业务,ESG,安全,腾讯,田立,企业,免疫力
From: https://blog.51cto.com/u_15877519/7377893

相关文章

  • 安全攻防丨反序列化漏洞的实操演练
    通过实操演练,深入浅出、快速吃透反序列化漏洞的根本原理。搞懂了攻击本质原理,才知道代码怎么写才安全。1.基本概念序列化:将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml等格式。反序列化:将虚化列存储的二进制字节、xml、json、yaml等格式的信息重新还原转化为对......
  • 金融软件信创化需关注自主安全及生态建设
    软件信创化,就是信息技术软件应用创新发展的意思(简称为“信创”)。 相信在中国,企业对于“信创化”这个概念并不陌生。「国强则民强」,今年来中国经济的快速发展,受到了各大欧美强国的“卡脖子”操作的影响,尤其是在芯片的供应和技术的限制上,目的就是为了拖延国家的经济及技术增速......
  • 智安网络|加强软件供应链安全保障:共同抵御威胁的关键路径
    在当今数字化时代,软件供应链安全成为了一个备受关注的话题。各行各业都依赖于软件产品和服务来支持其业务运营。然而,随着供应链的不断扩大和复杂化,软件供应链安全问题也日益突出。那么应该如何解决?首先,软件供应链安全问题的重要性不容忽视。软件供应链是指整个软件开发、交付和维护......
  • Wasm软件生态系统安全分析
     演讲嘉宾 | 王浩宇回顾整理 | 廖   涛排版校对 | 李萍萍嘉宾简介王浩宇,华中科技大学教授,博士生导师,华中科技大学OpenHarmony技术俱乐部主任。研究关注于新兴软件系统中的安全、隐私和可靠性问题,近五年发表CCF A类和CSRankings顶会论文近70篇,在软件安全和系统......
  • 现代化档案库房自动化恒湿、恒湿、消毒、净化、防火、防盗、漏水、视频、门禁等环境安
    档案馆库房是保存档案资料的重要场所,为了确保档案资料的安全和完好,需要采取一系列环境安全管控措施。自动化恒温恒湿、消毒、净化、防火、防盗、漏水、视频、门禁等环境安全管控一体化平台系统是一种综合性的技术解决方案,可以有效地确保档案馆库房的安全和稳定。以下是该方案的技......
  • 8、企业信息安全中级篇(敏捷开发)
    1、2、3、......
  • 圣天诺Sentinel加密狗复制:保障数据安全的重要工具
    在当今这个数字化时代,数据已经成为企业最重要的资产之一。然而,随着网络gj的不断升级和数据泄露事件的频发,保障数据安全已经成为所有企业必须面对的挑战。为了应对这一挑战,越来越多的企业开始采用圣天诺Sentinel加密狗,它是保障数据安全的重要工具。圣天诺Sentinel加密狗是一种基于......
  • iOS代码加固与保护方法详解 - 提升iOS应用安全性的关键步骤
    摘要:作为一名从事iOS开发多年的技术博主,长期以来我都没有重视代码加密和加固。然而,最近了解到使用IPAGuard工具可以对iOS应用进行混淆保护,我开始重新审视iOS应用的安全性问题。本文将详细介绍如何使用IPAGuard工具进行代码加固和保护,以提高iOS应用的安全性和抵御逆向分析的风险。......
  • 学网络安全对学历有要求吗?需要什么基础?
    目前,网络安全处于高速发展阶段,其薪资、发展前景都非常不错,因此吸引了一大波人前来学习。然而在学习网络安全之前,很多人总会产生一些顾虑,因此犹豫不决,那么学网络安全需要什么基础?对学历有要求吗?以下是具体的内容介绍。学网络安全需要什么基础?如果你想要参加培训学习......
  • iOS代码加固与保护方法详解 - 提升iOS应用安全性的关键步骤
    摘要:作为一名从事iOS开发多年的技术博主,长期以来我都没有重视代码加密和加固。然而,最近了解到使用IPAGuard工具可以对iOS应用进行混淆保护,我开始重新审视iOS应用的安全性问题。本文将详细介绍如何使用IPAGuard工具进行代码加固和保护,以提高iOS应用的安全性和抵御逆向分析的风险......