当前,社会正由信息化向数字化演进,数字技术已成为社会快速发展的核心基础及创新原动力;而安全属于伴生技术,新技术的出现必然会不断带来新的安全挑战与风险。
2019首届数字风险峰会(DRS)在京成功举办之际,我们更加深深体会到科技革新和消费者的需求倾向转变,正在改变着每个行业并影响着人们对的工作方式和商业模式。在此过程中,企业对数字化的依赖会越来越强,同时面对的安全挑战也在不断增长。
对此北京谷安天下公司董事长、谷安研究院院长陈伟认为,数字化不再是企业锦上添花的一个工具,而是已经成为了企业核心战略,数字化转型早就已经不是选择而是必然。
引用埃森哲统计数据显示,早期接纳数字化转型的企业生产率提高了70%;相比之下,后续仿效的企业生产率仅提高了30%。不过任何事情都具有两面性,数字化在给人们带来机会的同时,也必然带来许多前所未有的新的风险。
概括来说数字化的过程一定伴随着新的安全过程,而“安全过程”不单是数据安全。数字化依赖于平台,平台的可靠性和稳定性使企业数字面临着各种各样的脆弱和不确定性,从而产生了数字风险,如何有效控制风险是现在企业面临的主要问题。
受此影响,在企业数字化应用环境下,风险管理相关部门(风险、内控及审计)将很难沿用传统的“先找监管规范,再建内控体系,后进行审计”的传统方法,技术的快速发展、市场的快速变化将使传统风险管理逐步进入无“规”可依的境地,“鼓励创新”与“风险控制”未来将是一对矛盾体,对风险管理相关部门将是一个需要长期面对的挑战。
北京国家会计学院院长秦荣生提到:“数字化是一种趋势,是数字技术被广泛使用并由此带来了社会环境、经济活动和生活的根本变化。现在数字安全已经成为国家、社会乃至全人类的问题。”
过去传统安全观以攻防为主体,面对新的数字生态,应该跳出攻防概念,以协作为基础,推动政府、组织、个人联动,共同提高防护措施,构建数字安全的整体体系。只有从根本上转变安全观念,提升安全认知维度,才能真正地以安全为驱动力,构建真正意义上的数字安全新生态。
“数字风险已成为一项影响组织目标实现的关键风险,数字风险与传统风险相比主要具备三方面特点:第一数字风险广泛存在于组织的方方面面;第二数字风险的复杂性决定了应对风险的难度更高,对风险的管理也会涉及到多个领域的知识和技能;第三数字风险可能会在极短时间内给组织在战略和声誉上造成沉重的打击。”中国内部审计协会副会长兼秘书长沈立强。
例如,数字化时代,“风控体系建设”已经成为数字银行建设的重中之重,风险防护能力已经成为衡量一家商业银行金融科技创新能力的首要标准。
中国建设银行在风险防控能力建设上主要突出三部分,首先安全与体验平衡,在防控风险的同时兼顾客户体验;其次实施动态调整策略,针对不同等级账户采取差异化的安全管控策略;第三,主动防御措施,通过监测外部泄漏数据、风险传播渠道、暴力猜解行为以及主动识别钓鱼网站等手段,主动出击应对交易风险。
通过利用大数据分析技术及人工智能手段,中国建设银行已成功做到风险看得见、风险理的清、风险控得住。
此外随着政务大数据与安全“同步”进入新的发展阶段,大数据技术在电子政务中得到广泛应用,数据资产权益保护也显得愈发重要。社会只要还有未被完整描述和转化的人与人、人与物的关系,信息安全就有发展的方向,总而言之,即“数据暨世界、应用暨生活、安全暨社会”。
相比之下,国际信息系统审计协会ISACA全球CEO David Samuelson则持这样一种观点:在数字化时代,企业需要采取各种方法消除风险,但这并不意味着企业要避免所有的风险,因为风险也会为企业带来机会。因此风险应该管理,而不是消除。
风险管理就是要帮助企业接受风险,帮助企业扩大目标,在此过程中为客户和利益相关者带来更大的价值。相信专注于目标,通往有效风险管理的道路将更加清晰。确实,“风险”的重要内涵就是要实现控制,因为风险是不可避免的,而资源是有限的,所以要将风险控制在可接受的范围内。
随着数字化经济、社会数字化程度的提高,数字风险必将成为全社会的关注重点,只有将数字风险合理的控制,才能更好的发展数字经济,迎接数字世界的到来。
