12月21日,在企业网D1Net和信众智CIO智力共享平台共同主办的2019上海CIO沙龙上,华住集团副总裁王彬为与会人员带来了“数字化转型中的安全与风控”之分享。
以下内容根据现场速记整理完成:
王彬:我在集团分管信息安全工作,目前本集团在国内拥有5000多家酒店。
今天将分享四个部分,首先是数字化转型。现在已经到了一个数字化转型的高峰阶段。什么叫数字化转型?数字化转型就是以数字驱动业务模式的转变,以客户为中心,用数字化来提升客户价值,因此数字化,都是基于数据和基于数字的。
企业当中,怎么用好技术?怎么用好IT?既然谈到转型,谈到数字化提升客户价值,那么,风险合规是否合理?是否有人专管信息安全与信息化?网络安全与信息化相辅相成,没有信息化就没有现代化,国家法律法规也在对信息安全做出更多的规定。
因此,数字化转型带来业务增长是好事,但它是个双刃剑,没有管好的情况下,容易产生负面影响。企业那么多数据,要注意要管理好。
做信息安全,总的重要的是取得管理层的支持,因为安全真的是很费钱的一个技术领域。
首先需要良好的专业团队,目前人才市场一般性IT员工,大概一年薪酬在30-50万之间,而信息安全专业技术人才平均是50-100万之间。
其次,安全需要对业务赋能。要保证业务稳定的增长,并且保证增长时不走弯路,少踩刹车,不掉链子,这是安全业务的赋能。同时要理解什么是真正的业务赋能,有些业务动作从安全领域来讲存在较大的风险,这些并不一定是真实的商业赋能,给企业带来的风险远高于收益。。
安全怎么做?总的原则是:一般先感知,再做防御和对抗。这其中,开展等级保护测试是基础中的基础,非常重要,工作必须要做。
另外,很多人认为,做安全的,应该帮公司兜底,帮业务兜底,帮内部内审兜底,帮整个营销团队兜底。实际上只是安全团队是兜不住的,可能兜着兜着,安全部门就把自己兜底进去了,因此需要把这些整理归纳,与业务部门一起,让业务去了解相关的风险在什么地方?从赋能IT团队,到赋能业务部门,让企业整体去理解安全,全方位拥有安全管理意识,这是非常重要的。
安全做什么?安全合规,信息安全,架构,治理,生态。
风控做什么?在互联网产业中,拉新和获客是有帮助的。比如一家做美妆的互联网企业,发起了一个凭借验证手机号就可以领取口红的促销,这个活动出来就被“秒光”,实际上都是被黑产刷掉的。这种业务打法可能存在问题,思路也需要更改。线上要往线下走,也就是要和具体业务场景结合来看。线上拉新,拉过来的客,需看留存和复购,这就是风控的价值。风控是从业务出发的实际场景中,去梳理业务设计的逻辑是否合理?减少被恶意利用的可能性。
基本上,安全是风控的底,没有技术防范的人,根本做不了线上的引流和风控。因为,没有工具和手段,很难做好。当然,基础安全、办公安全、风险控制也需要进行全面考虑。
如何保证数据安全?建议整体用一套技术引擎去解决注册、刷单、内部风险管理、内部风险控制等问题。
最后,要保证合规与感知。
总体而言,CIO在规划自身企业的安全与风控时:
首先,要对企业的安全体系做整体评估,建立基本的防御能力。
第二,通过建立安全体系,行程持续化的运营能力。
第三,持续投入,但要针对高风险高优先级的点来打。