12月21日，在企業網D1Net和信眾智CIO智力共享平臺共同主辦的2019上海CIO沙龍上，華住集團副總裁王彬為與會人員帶來了“數字化轉型中的安全與風控”之分享。

以下內容根據現場速記整理完成：

王彬：我在集團分管信息安全工作，目前本集團在國內擁有5000多家酒店。

今天將分享四個部分，首先是數字化轉型。現在已經到了一個數字化轉型的高峰階段。什么叫數字化轉型?數字化轉型就是以數字驅動業務模式的轉變，以客戶為中心，用數字化來提升客戶價值，因此數字化，都是基于數據和基于數字的。

企業當中，怎么用好技術?怎么用好IT?既然談到轉型，談到數字化提升客戶價值，那么，風險合規是否合理?是否有人專管信息安全與信息化?網絡安全與信息化相輔相成，沒有信息化就沒有現代化，國家法律法規也在對信息安全做出更多的規定。

因此，數字化轉型帶來業務增長是好事，但它是個雙刃劍，沒有管好的情況下，容易產生負面影響。企業那么多數據，要注意要管理好。

做信息安全，總的重要的是取得管理層的支持，因為安全真的是很費錢的一個技術領域。

首先需要良好的專業團隊，目前人才市場一般性IT員工，大概一年薪酬在30-50萬之間，而信息安全專業技術人才平均是50-100萬之間。

其次，安全需要對業務賦能。要保證業務穩定的增長，并且保證增長時不走彎路，少踩剎車，不掉鏈子，這是安全業務的賦能。同時要理解什么是真正的業務賦能，有些業務動作從安全領域來講存在較大的風險，這些并不一定是真實的商業賦能，給企業帶來的風險遠高于收益。。

安全怎么做?總的原則是：一般先感知，再做防御和對抗。這其中，開展等級保護測試是基礎中的基礎，非常重要，工作必須要做。

另外，很多人認為，做安全的，應該幫公司兜底，幫業務兜底，幫內部內審兜底，幫整個營銷團隊兜底。實際上只是安全團隊是兜不住的，可能兜著兜著，安全部門就把自己兜底進去了，因此需要把這些整理歸納，與業務部門一起，讓業務去了解相關的風險在什么地方?從賦能IT團隊，到賦能業務部門，讓企業整體去理解安全，全方位擁有安全管理意識，這是非常重要的。

安全做什么?安全合規，信息安全，架構，治理，生態。

風控做什么?在互聯網產業中，拉新和獲客是有幫助的。比如一家做美妝的互聯網企業，發起了一個憑借驗證手機號就可以領取口紅的促銷，這個活動出來就被“秒光”，實際上都是被黑產刷掉的。這種業務打法可能存在問題，思路也需要更改。線上要往線下走，也就是要和具體業務場景結合來看。線上拉新，拉過來的客，需看留存和復購，這就是風控的價值。風控是從業務出發的實際場景中，去梳理業務設計的邏輯是否合理?減少被惡意利用的可能性。

基本上，安全是風控的底，沒有技術防范的人，根本做不了線上的引流和風控。因為，沒有工具和手段，很難做好。當然，基礎安全、辦公安全、風險控制也需要進行全面考慮。

如何保證數據安全?建議整體用一套技術引擎去解決注冊、刷單、內部風險管理、內部風險控制等問題。

最后，要保證合規與感知。

總體而言，CIO在規劃自身企業的安全與風控時：

首先，要對企業的安全體系做整體評估，建立基本的防御能力。

第二，通過建立安全體系，行程持續化的運營能力。

第三，持續投入，但要針對高風險高優先級的點來打。