關(guān) 閉

新聞中心

EEPW首頁 > 安全與國防 > 市場分析 > 36氪專訪IDC中國研究副總裁鐘振山:國內(nèi)CSO的職責(zé)需要持續(xù)被認(rèn)知,深入理解業(yè)務(wù)是這一群體的最大挑戰(zhàn)

36氪專訪IDC中國研究副總裁鐘振山:國內(nèi)CSO的職責(zé)需要持續(xù)被認(rèn)知,深入理解業(yè)務(wù)是這一群體的最大挑戰(zhàn)

作者:IDC 時(shí)間:2022-05-06 來源:電子產(chǎn)品世界 收藏


本文引用地址:http://2s4d.com/article/202205/433802.htm

圖片

2021年對中國的安全行業(yè)而言是特殊的。

這一年《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》接踵而至,形成了以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》為主的網(wǎng)絡(luò)空間治理和數(shù)據(jù)保護(hù)體系。而在更廣泛的層面,新發(fā)布的各類細(xì)則條例更是多達(dá)數(shù)十項(xiàng)。眾所周知,安全行業(yè)一直以合規(guī)、需求為雙重驅(qū)動(dòng)力。在長達(dá)一年的強(qiáng)合規(guī)驅(qū)動(dòng)下,不難想象,安全產(chǎn)業(yè)鏈上的各個(gè)角色均會(huì)受到影響。

在整個(gè)產(chǎn)業(yè)生態(tài)中,以CSO為代表的安全甲方是眼下最受關(guān)注的群體之一——當(dāng)監(jiān)管側(cè)發(fā)生重大變化,作為承擔(dān)企業(yè)安全建設(shè)的一號(hào)位,他們的行為走向成為了行業(yè)燈塔般的存在。

不過,一個(gè)戲劇化的現(xiàn)象是,至少在2021年之前,CSO這一職位幾乎不被圈外認(rèn)知。甚至在安全重要性呈指數(shù)級提升的當(dāng)下,如何在企業(yè)內(nèi)部提升CSO重要性,也是個(gè)正在被探討的話題。

具體來說,36氪不久前曾做過小范圍調(diào)研,發(fā)現(xiàn)不少人聽聞CSO的第一反應(yīng)是首席戰(zhàn)略官(Chief Strategy Officer),而非首席安全官(Chief Security Officer)。在具體數(shù)量上,曾有業(yè)內(nèi)人士對36氪表示,當(dāng)前行業(yè)內(nèi)真正稱得上C title、能夠進(jìn)入管理層的人數(shù)可能"兩只手?jǐn)?shù)得出來",對比之下,總監(jiān)級別的安全負(fù)責(zé)人大約有數(shù)百人。

對于這種現(xiàn)象,IDC中國研究副總裁鐘振山認(rèn)為,國內(nèi)企業(yè)對安全部門的設(shè)置方式,體現(xiàn)出公司對安全的重視程度,同時(shí)也在一定范圍內(nèi)影響了不少安全負(fù)責(zé)人成長。而作為IDC新興技術(shù)研究及行業(yè)研究的負(fù)責(zé)人之一,他早期曾在企業(yè)擔(dān)任CIO,見證過一些安全負(fù)責(zé)人的工作方式。

在他的觀察中,"如果CSO或者安全部門總監(jiān)不匯報(bào)給CIO,那么他們可能會(huì)有更獨(dú)立的網(wǎng)絡(luò)安全思考,能在這個(gè)方向?yàn)楣編砀鄡r(jià)值。"原因不難理解,如果CSO或者安全總監(jiān)能夠獨(dú)立帶領(lǐng)團(tuán)隊(duì),直接匯報(bào)給CEO,那么側(cè)面體現(xiàn)這個(gè)公司較為重視安全。反之,如果安全負(fù)責(zé)人只能匯報(bào)給CTO或者CIO,則很可能由于立場不同而導(dǎo)致彼此之間的不理解,最終影響安全工作的效果。

顯而易見,第一種情況是更適合安全負(fù)責(zé)人成長的土壤,然而當(dāng)前在現(xiàn)實(shí)情況中,匯報(bào)給CTO、CIO的安全負(fù)責(zé)人占據(jù)多數(shù)。"我們看到大部分安全負(fù)責(zé)人其實(shí)在匯報(bào)給CIO。"鐘振山也肯定此類現(xiàn)象的存在。

這導(dǎo)致的結(jié)果是,不少安全負(fù)責(zé)人在企業(yè)內(nèi)部不受重視,工作價(jià)值難以被他人直接看到,真正能從總監(jiān)級別成為CSO的更是少之又少。

然而在鐘振山看來,這個(gè)問題雖然復(fù)雜,但并非無解。他認(rèn)為,CSO并不是一個(gè)技術(shù)崗位。這個(gè)崗位需要建立全局的認(rèn)知,具備對外溝通能力,最重要的是要深入業(yè)務(wù),將業(yè)務(wù)能力和安全能力融合,并在不影響業(yè)務(wù)的前提下,成功將安全融入、落地。這才是這一職位的價(jià)值,也是讓他人認(rèn)可其業(yè)務(wù)能力的方法論。

另外,鐘振山還向36氪介紹,作為第三方中立機(jī)構(gòu)的IDC也正在謀劃將自身對行業(yè)的觀察、以及收集到的落地案例和成功經(jīng)驗(yàn)等分享給安全甲方們,希望在業(yè)務(wù)和個(gè)人提升上給他們提供參考。為此,IDC中國也將在近期舉辦“IDC 2022 CSO全球網(wǎng)絡(luò)安全峰會(huì)(中國站)”,希望以數(shù)據(jù)安全為切入點(diǎn),介紹關(guān)于零信任、隱私計(jì)算、遠(yuǎn)程訪問和數(shù)據(jù)備份方面的內(nèi)容,并評選出相關(guān)優(yōu)秀案例,讓安全負(fù)責(zé)人對數(shù)據(jù)安全技術(shù)的落地有所參考。

在籌備已近尾聲的當(dāng)下,"說實(shí)話從安全案例評選來看,現(xiàn)在整體案例和優(yōu)秀案例的數(shù)量都不算多。"鐘振山坦言。他表示,對比國外每年300以上的案例體量,國內(nèi)目前還存在較大差距。這也證明當(dāng)前國內(nèi)的企業(yè)安全建設(shè)還有較大空間,安全負(fù)責(zé)人的能力進(jìn)階之路,也將是個(gè)長期話題。

"大家需要思考,自己的安全工作到底為企業(yè)帶來了什么,能不能把它量化出來,能不能真正的理解網(wǎng)絡(luò)安全對于這家企業(yè)到底意味著什么,這才是這個(gè)群體應(yīng)該持續(xù)思考的方向。"鐘振山說。

中國企業(yè)對安全的重視程度仍需提高,

CSO的職責(zé)需要被認(rèn)知

36氪:1986年IDC中國成立,我們是什么時(shí)候開始關(guān)注到國內(nèi)的安全行業(yè)?以及這些年你覺得國內(nèi)的安全行業(yè)產(chǎn)生了怎樣的變化?

鐘振山:我們關(guān)注國內(nèi)安全行業(yè)超出10年,國外大概也有四、五十年。整體來講,中國網(wǎng)絡(luò)安全還處在一個(gè)高速發(fā)展階段。IDC統(tǒng)計(jì),2021年中國網(wǎng)絡(luò)安全規(guī)模在85億美金左右。如果按預(yù)期增速的話,我們預(yù)計(jì)到2025年中國的網(wǎng)絡(luò)安全規(guī)??赡軙?huì)達(dá)到215億美元。這也說明國內(nèi)安全行業(yè)增速非??欤迥甑腃AGR大概是20%左右。

但與此同時(shí),我們必須意識(shí)到中國的網(wǎng)絡(luò)安全市場規(guī)模還是相對較小。尤其是跟美國相比,2020年美國的網(wǎng)絡(luò)安全市場大概在630億美金,全球規(guī)模是1360億美金。這里面的差距非常大,也就是說雖然現(xiàn)階段由于政府政策的支持也好,企業(yè)對于網(wǎng)絡(luò)安全方面的重視程度也好,國內(nèi)安全市場處在一個(gè)快速發(fā)展階段,但其實(shí)我們還有很長的路要走,才能真正達(dá)到全球領(lǐng)先的水平。

36氪:根據(jù)你的觀察,國內(nèi)外企業(yè)的安全投入具體存在著怎樣的差別?

鐘振山:如果我們?nèi)タ粗袊念^部企業(yè),無論是國企、央企,還是私企中的互聯(lián)網(wǎng)公司,它們對網(wǎng)絡(luò)安全方面的重視程度非常高。但如果看中小型企業(yè),可能還停留在IT層面,這是一個(gè)長尾市場。但如果我們真正想讓中國的網(wǎng)絡(luò)安全市場達(dá)到,或者接近于美國規(guī)模的話,其實(shí)中小型企業(yè)對于網(wǎng)絡(luò)安全方面的重視程度必須要提升起來。這個(gè)情況在美國是大不一樣的,我們可以看到,美國整體IT技術(shù)的普及程度就比中國高很多,也就是說他們在網(wǎng)絡(luò)安全方面的重視程度要比中國企業(yè)高很多。

36氪:所以這個(gè)事情的解決方式還是得通過政策要求?

鐘振山:政策是一方面。其實(shí)我認(rèn)為對于一個(gè)企業(yè)來講,政策的驅(qū)動(dòng)僅僅是最低的標(biāo)準(zhǔn)。但網(wǎng)絡(luò)安全真正落地,其實(shí)需要企業(yè)員工提升自身意識(shí)形態(tài)。企業(yè)員工如果對外界的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)沒有意識(shí),那么他自己對公司內(nèi)部的核心資產(chǎn)來說本身就是威脅。所以除去技術(shù)方面的發(fā)展,我覺得對于企業(yè)自身的意識(shí)形態(tài)的提升是更加重要的。

36氪:這可能回到今天的主題,就是CSO或者安全總監(jiān)要做這方面的工作。

鐘振山:對,沒錯(cuò)。其實(shí)我們一開始在籌辦這個(gè)會(huì)的時(shí)候,當(dāng)時(shí)還在想國內(nèi)是不是有那么多CSO。這個(gè)職業(yè)本身我覺得在國內(nèi)還是相對比較新的,在一些大的外企可能相對普遍一些。當(dāng)然,安全負(fù)責(zé)人在很多企業(yè)當(dāng)中肯定是存在的,但是是否真的能把他提升到與CIO等同的地位,國內(nèi)我不確定做得會(huì)像歐美企業(yè)那么的優(yōu)秀。

36氪:從現(xiàn)實(shí)情況看,現(xiàn)在國內(nèi)真正的CSO確實(shí)是少的。你覺得安全總監(jiān)和CSO的差別在于?

鐘振山:我給你舉個(gè)例子,在我以前任職的公司里面,CSO和IT是獨(dú)立的兩條線。所以我們公司是非常重視安全的,在做任何IT相關(guān)項(xiàng)目的時(shí)候,最終的項(xiàng)目審核有一步就是必須要滿足網(wǎng)絡(luò)安全方面的政策。也就是說如果CSO或者是安全部門總監(jiān),不匯報(bào)給CIO,那么他們可能會(huì)有更獨(dú)立的網(wǎng)絡(luò)安全方面的思考,能在這個(gè)方向?yàn)楣編砀鄡r(jià)值。

而如果反過來講,我們看現(xiàn)在國內(nèi)其實(shí)大部分的安全負(fù)責(zé)人是匯報(bào)給CIO的,那么這里的中立性會(huì)相對弱一點(diǎn),因?yàn)槠鋵?shí)CIO們最終關(guān)心的是,我的項(xiàng)目可不可以落地,我可不可以在預(yù)期的項(xiàng)目周期內(nèi)完成。CIO勢必會(huì)在某一些時(shí)候,會(huì)想說我們可不可以先讓項(xiàng)目上馬,然后再去補(bǔ)安全的漏洞,這個(gè)其實(shí)我是看到過的。所以我覺得很多外企或者國際化的企業(yè)在這方面走得更加快一些。它們不光是安全部門,包括合規(guī)部門都獨(dú)立了出來,導(dǎo)致我們在做安全項(xiàng)目的時(shí)候必須要提前考慮到合規(guī)和安全方面的需求,這樣才能確保我們這個(gè)項(xiàng)目順利上馬。

36氪:其實(shí)國內(nèi)真的能出現(xiàn)CSO這種C title的,多在互聯(lián)網(wǎng)和金融行業(yè)。但觀察下來,不少CSO或者類似職位的人,最后都會(huì)比較希望讓安全成為一個(gè)可以對外服務(wù)的部門。

鐘振山:互聯(lián)網(wǎng)公司玩法不太一樣,因?yàn)榛ヂ?lián)網(wǎng)公司本身是以業(yè)務(wù)為導(dǎo)向的,任何一個(gè)部門都是要對公司整體業(yè)務(wù)有貢獻(xiàn)才能提升存在的價(jià)值。但我個(gè)人其實(shí)不太認(rèn)可這個(gè)現(xiàn)象,說實(shí)話,像網(wǎng)絡(luò)安全或者合規(guī)部門,一旦和業(yè)務(wù)直接掛鉤,勢必會(huì)丟失一部分中立性,而網(wǎng)絡(luò)安全本身其實(shí)是對中立性要求非常高的一個(gè)職能,就是我不可以對任何事情有任何的讓步,這是網(wǎng)絡(luò)安全的一個(gè)最高的境界。但是如果說安全和業(yè)務(wù)直接掛鉤,勢必就會(huì)在某些情況下存在一定的矛盾。因?yàn)闃I(yè)務(wù)可能需要更快的運(yùn)轉(zhuǎn),在某些方面去走一些捷徑,但是網(wǎng)絡(luò)安全其實(shí)是沒有捷徑可走的。所以對于大型的企業(yè),我不認(rèn)為網(wǎng)絡(luò)安全可以成為業(yè)務(wù)部門。它必須是一個(gè)對內(nèi)的職能,這樣才能確保它有足夠的中立性,把整體網(wǎng)絡(luò)安全的能力建設(shè)好。

36氪:這樣看下來可能就只有一條路,不停告訴老板我的價(jià)值。

鐘振山:這個(gè)可能是真的?;氐轿乙婚_始講的,中國的網(wǎng)絡(luò)安全發(fā)展下一步,最大的任務(wù)是提升公司內(nèi)部或整體的網(wǎng)絡(luò)安全意識(shí)。我相信現(xiàn)在沒有一家公司可以回到紙質(zhì)辦公的時(shí)代,但一旦我們受到了網(wǎng)絡(luò)攻擊,可能真的要回到那個(gè)時(shí)代,沒有任何電子設(shè)備可以去使用。另外,大家同時(shí)還要意識(shí)到不只是電腦,包括智能手機(jī)、平板,很多物聯(lián)網(wǎng)的設(shè)備都可能成為網(wǎng)絡(luò)攻擊的對象,所以每個(gè)人的網(wǎng)絡(luò)安全的意識(shí)形態(tài)必須要提升起來,才能真正把我們自身企業(yè)的核心資產(chǎn)保護(hù)起來。

深入理解業(yè)務(wù),是安全負(fù)責(zé)人最大的挑戰(zhàn)

36氪:關(guān)于提升價(jià)值這件事,現(xiàn)在會(huì)有一些比較合適的方式嗎?

鐘振山:比如計(jì)算投資回報(bào)率。舉個(gè)例子,我來IDC之前是做CIO的,當(dāng)時(shí)我們這家公司有一個(gè)周末網(wǎng)站受到了攻擊,導(dǎo)致整個(gè)周末沒辦法使用。當(dāng)時(shí)我們計(jì)算了一下這對于業(yè)務(wù)直接的損失是300萬人民幣,是一個(gè)非常直觀的投資回報(bào)數(shù)字。這個(gè)再加上我們一開始的投入以及后面的業(yè)務(wù)投入,有一套相對比較專業(yè)的財(cái)務(wù)計(jì)算公式可以計(jì)算ROI整體的結(jié)果。

這是IT項(xiàng)目管理里面的相對比較常見的一個(gè)方法,隨著我們在IT項(xiàng)目管理上的不斷成熟,這種ROI的計(jì)算會(huì)越來越多。我們的業(yè)務(wù)老大們,當(dāng)我們?nèi)フ宜麄円A(yù)算的時(shí)候,他不僅滿足于說現(xiàn)在網(wǎng)絡(luò)安全市場里有非常多潛在的風(fēng)險(xiǎn),他們可能更感興趣的是說,我投了這么多錢之后,能給我的業(yè)務(wù)帶來多大效益。網(wǎng)絡(luò)安全部門本身是一個(gè)純投入的部門,其實(shí)沒有辦法給企業(yè)帶來直接業(yè)務(wù)上的提升,但其實(shí)我們可以看到,很多企業(yè)在遭受到網(wǎng)絡(luò)安全攻擊的時(shí)候,業(yè)務(wù)的損失是非常大的,這些必須要計(jì)算到整個(gè)投資回報(bào)率里。

36氪:有的CSO或者安全總監(jiān)不僅會(huì)算投入產(chǎn)出比,還會(huì)告訴老板,他個(gè)人可能需要承擔(dān)的法律風(fēng)險(xiǎn)。

鐘振山:這個(gè)確實(shí)是,無論是國內(nèi)還是國外,其實(shí)都有相關(guān)的法律法規(guī)。包括美國,不久之前我剛看到美國的股票監(jiān)管機(jī)構(gòu)正在考慮把網(wǎng)絡(luò)安全負(fù)責(zé)人作為公司董事會(huì)的一員。那么在國內(nèi),比如金融行業(yè)會(huì)要求公司的一把手是網(wǎng)絡(luò)安全的直接負(fù)責(zé)人,所以是有這方面的風(fēng)險(xiǎn),當(dāng)然具體怎么執(zhí)行下去不太一定。不過,這確實(shí)是我們公司的老大們需要承擔(dān)的責(zé)任之一。但如果說真正要純量化的話,可能還是需要從一個(gè)業(yè)務(wù)可避免的損失方面入手。

36氪:還有一些實(shí)操的問題,比如說數(shù)據(jù)安全法出來之后,有些安全負(fù)責(zé)人覺得沒有更具體的規(guī)范,所以不知道配套措施應(yīng)該怎樣搭建。

鐘振山:CIO先不說,CSO如果真的這么想,我覺得他不是一個(gè)合格的CSO。剛才講到,其實(shí)法律法規(guī)的出現(xiàn)僅是為企業(yè)提供最低標(biāo)準(zhǔn),也就是說你必須要做到這些,但其實(shí)我們知道的是,在網(wǎng)絡(luò)安全這個(gè)行業(yè),我們需要防范未知的東西,你永遠(yuǎn)不知道網(wǎng)絡(luò)攻擊會(huì)在什么時(shí)候出現(xiàn),會(huì)以哪種方式出現(xiàn)。而且,黑客的技術(shù)總是比我們強(qiáng)很多。

其實(shí)也就意味著,我們的企業(yè)必須要搭建一整套的網(wǎng)絡(luò)安全的能力,才能防患于未然。這個(gè)其實(shí)是對每個(gè)CSO的最基本要求,而不是說法律讓我干什么我就干什么,這不是一個(gè)稱職的CSO應(yīng)該說的話。

36氪:這里面稍微要分一下類,因?yàn)椴煌髽I(yè)對安全的重視程度真的不一樣。但如果這個(gè)企業(yè)本身對安全的重視程度還不錯(cuò),你覺得這種環(huán)境中,安全負(fù)責(zé)人應(yīng)該具備怎樣的能力?

鐘振山:我不認(rèn)為安全負(fù)責(zé)人或者CSO是一個(gè)技術(shù)的工作,我也不認(rèn)為CIO是一個(gè)技術(shù)的工作,因?yàn)槠髽I(yè)招一個(gè)CSO不是讓他去搭防火墻的。真正CSO要做的事情,第一點(diǎn)是真正有一個(gè)整體的、體系化的規(guī)劃,知道企業(yè)內(nèi)部需要具備一個(gè)什么樣的安全的能力。但是,這個(gè)能力必須要和企業(yè)自身的業(yè)務(wù)掛鉤,因?yàn)楦鱾€(gè)企業(yè)自身的業(yè)務(wù)特點(diǎn)不同,可能需要的安全能力并不一樣,所以說CSO最大的挑戰(zhàn),包括其實(shí)對于CIO也一樣,最大的挑戰(zhàn)是必須要懂業(yè)務(wù),他是需要面對業(yè)務(wù)的,而不是把自己關(guān)在一個(gè)小黑屋里面做自己的事情,那樣的話其實(shí)沒有太大幫助。

當(dāng)時(shí)我在做CIO的時(shí)候,做得最多的事情是和業(yè)務(wù)部門聊。到門店里面,到各個(gè)業(yè)務(wù)部門里面看他們每天在做什么,只有這樣做,你才能真正理解他們的一些上網(wǎng)的行為或者操作的行為,才能夠真正打造一套有效的安全防護(hù)體系,在不影響員工正常工作的情況下,對企業(yè)進(jìn)行保護(hù)。這才是我認(rèn)為一個(gè)CSO應(yīng)該具備的最大的能力。

36氪:現(xiàn)在這樣做的安全負(fù)責(zé)人多嗎?

鐘振山:我覺得并不多。因?yàn)槠鋵?shí)我看到的包括CSO在內(nèi)的安全負(fù)責(zé)人大多數(shù)人都是技術(shù)出身,可能從一個(gè)廠商的安全開發(fā)者慢慢做到經(jīng)理,然后進(jìn)到企業(yè)擔(dān)任安全負(fù)責(zé)人的職位。這條路的優(yōu)勢在于,他們對整體安全的技術(shù)非常了解,包括對安全的生態(tài)也非常了解,里面的玩家都是誰,每一個(gè)玩家的優(yōu)劣勢是什么,都耳熟能詳。但是這類群體的弱點(diǎn)是,因?yàn)槭亲黾夹g(shù)出身,通常溝通能力沒有那么強(qiáng),如果是這樣,他們?nèi)绾伟寻踩谄髽I(yè)內(nèi)部的地位,提升到CEO應(yīng)該重視的程度或者是每一位員工都有足夠安全意識(shí)的程度,會(huì)遇到一些挑戰(zhàn)。

36氪:會(huì)表達(dá)和懂業(yè)務(wù),有沒有孰輕孰重的關(guān)系?

鐘振山:會(huì)表達(dá)不是說他能夠看臉色,而是需要表達(dá)自己的想法。在企業(yè)內(nèi)部擔(dān)任任何IT的職位,這都是一個(gè)非常重要的技能。首先能夠把想法說出來,第二把業(yè)務(wù)的需求轉(zhuǎn)化成技術(shù)的需求,二者缺一不可。因?yàn)槲覀兤鋵?shí)和業(yè)務(wù)部門去談系統(tǒng)也好,網(wǎng)絡(luò)也好,還是任何一個(gè)IT相關(guān)的事情也好,業(yè)務(wù)都是不懂的。他們只會(huì)告訴你,我需要每天能打20個(gè)電話,或者說我的下載速度需要多快。但其實(shí)在背后,我們需要考慮說他打20個(gè)電話對于我的帶寬影響是什么,添加一個(gè)座機(jī)等于是添加了一個(gè)入口,這對于整個(gè)網(wǎng)絡(luò)安全整體架構(gòu)的影響是什么,這些其實(shí)需要有一個(gè)思維的轉(zhuǎn)化。在理解業(yè)務(wù)需求之后,怎樣把它變成一個(gè)技術(shù)解決方案,這個(gè)無論是對于CIO還是CSO來講都是必備的能力。不能純從技術(shù)的角度去考慮事情,給業(yè)務(wù)說因?yàn)檫@會(huì)影響IT架構(gòu),所以這個(gè)事情就是做不到。這樣的CSO,在企業(yè)內(nèi)部是生存不下去的。

量化工作價(jià)值,理解安全對于企業(yè)的意義,

是CSO應(yīng)該持續(xù)思考的方向

36氪:在案例獎(jiǎng)項(xiàng)的評選里,我們的標(biāo)準(zhǔn)是什么?

鐘振山:其實(shí)里面有幾個(gè)標(biāo)準(zhǔn),比如說你的項(xiàng)目投入有多大,投資回報(bào)率是什么,里面涉及到的用戶是什么,最終產(chǎn)生的業(yè)務(wù)的價(jià)值是什么。我們之所以這么去設(shè)定標(biāo)準(zhǔn),主要是覺得如果一個(gè)CSO想不清楚這些問題,其實(shí)這個(gè)項(xiàng)目本身就做不好。因?yàn)檫@個(gè)人可能根本就不明白網(wǎng)絡(luò)安全對于一個(gè)企業(yè)自身的價(jià)值是什么。這次評選是希望能夠通過這些打分機(jī)制,真正把優(yōu)秀項(xiàng)目篩選出來,讓大家去參考。所以我們真正推送出來的這20個(gè)項(xiàng)目,肯定是在這方面做的非常優(yōu)秀的。

36氪:現(xiàn)在有沒有看到相對好一些的安全案例?

鐘振山:有,我們計(jì)劃評出二十個(gè)優(yōu)秀案例。但我們是有一個(gè)原則的,如果找不出20個(gè)符合標(biāo)準(zhǔn)的,那就不評20個(gè)了,就做15個(gè),甚至10個(gè),這個(gè)標(biāo)準(zhǔn)肯定不會(huì)因?yàn)榘咐臄?shù)量而去逐漸改變。但是現(xiàn)在看下來的話,其實(shí)優(yōu)秀的案例是有,但是從普及率看,可能真的沒有像一些發(fā)達(dá)國家那么高。真正好的安全的項(xiàng)目,真的不多。我問過一些CIO有沒有好的項(xiàng)目推薦,大家想了一圈,真的沒有。其實(shí)這個(gè)從側(cè)面也體現(xiàn)出國內(nèi)現(xiàn)在整體網(wǎng)絡(luò)安全方面的一個(gè)大體的水平。

對比之下,當(dāng)時(shí)看我們?nèi)蛟u選的時(shí)候,里面有非常多優(yōu)秀的案例,每年我們會(huì)收到超過300多個(gè)案例。那么今年在國內(nèi),因?yàn)榈谝荒贽k,大概是收到了50多個(gè),數(shù)量上面其實(shí)還可以。但是真正去看里邊的細(xì)節(jié)的話,我們發(fā)現(xiàn)很多人真的說不出來這個(gè)項(xiàng)目對企業(yè)而言到底帶來什么樣的價(jià)值。

比如說我上了一套態(tài)勢感知的系統(tǒng),為什么上?大家不太知道。真正去問大家,這個(gè)項(xiàng)目能夠?yàn)槠髽I(yè)規(guī)避多少潛在的風(fēng)險(xiǎn)?不少人真的沒有想過。那么在這些方面,我們也是希望通過這次大會(huì)給大家一些建議和思路。大家在做網(wǎng)絡(luò)安全的項(xiàng)目的時(shí)候,可能真的需要去為企業(yè),從企業(yè)的角度去想,或者從業(yè)務(wù)的角度去想我為什么要做這個(gè)項(xiàng)目。比如上一個(gè)SSO的系統(tǒng),那可能會(huì)影響到上萬人,十幾萬的員工。大家都認(rèn)為這個(gè)東西很麻煩,但是為什么要做這些項(xiàng)目,大家到底明白不明白?我們的CSO們有沒有真的把這件事情跟所有員工講明白?它所帶來的效益和效果到底是什么?大家有沒有真的去想過。這個(gè)才是我們這次這個(gè)評選想要做的一件事情,就是真正把案例在業(yè)務(wù)方面的正面影響體現(xiàn)出來。

36氪:可能有兩個(gè)原因?qū)е铝诉@個(gè)情況。首先是企業(yè)對安全重視度不高,另外是安全負(fù)責(zé)人對工作沒有體現(xiàn)出結(jié)果。那么從現(xiàn)在的趨勢來看,你覺得既懂業(yè)務(wù),又會(huì)輸出的安全負(fù)責(zé)人數(shù)有增多的趨勢嗎?

鐘振山:我希望會(huì)。其實(shí)我們看到過一些例子,如果是一個(gè)技術(shù)屬性非常強(qiáng)的安全負(fù)責(zé)人,他最終可能不再去想自己應(yīng)該如何搭建一套優(yōu)秀的網(wǎng)絡(luò)安全的防護(hù)體系,就僅滿足最低的網(wǎng)絡(luò)安全法的要求就行。這不是個(gè)例,很多的安全負(fù)責(zé)人可能都會(huì)這么想。導(dǎo)致這種現(xiàn)象的一個(gè)原因是他們在企業(yè)內(nèi)部不被理解,因?yàn)榘踩珡臉I(yè)務(wù)角度來看是一個(gè)麻煩的事情。比如說大家會(huì)質(zhì)疑,我的密碼為什么不能12345678,我憑什么上一個(gè)系統(tǒng)就要去輸一遍用戶名密碼。所以,安全負(fù)責(zé)人會(huì)覺得他們在企業(yè)內(nèi)部不被理解,會(huì)覺得委屈。

面對這種情況,人會(huì)有兩種反應(yīng),一是嘗試去改變,這可能是一個(gè)優(yōu)秀的安全負(fù)責(zé)人會(huì)做的事情。另外一方面,大家就覺得,OK,你既然不想要這個(gè)那我就不做了,我把最低的標(biāo)準(zhǔn)做好就可以。這樣大家也不會(huì)來煩我,或者說不會(huì)在背后說我的壞話。

但很多人不能意識(shí)到的是,如果所有的安全負(fù)責(zé)人都在做這件事,那么企業(yè)的潛在安全風(fēng)險(xiǎn)是非常大的,企業(yè)其實(shí)最終是受損失的。安全負(fù)責(zé)人需要讓大家去明白,為什么我們要做這些事情,對業(yè)務(wù)本身和企業(yè)本身帶來的價(jià)值是什么,這個(gè)就需要很強(qiáng)的溝通的能力。

總體而言,安全負(fù)責(zé)人在企業(yè)的環(huán)境里想更多體現(xiàn)自身的價(jià)值無可厚非。畢竟大家都在企業(yè)內(nèi)部任職,肯定希望有更多的話語權(quán)和地位。但話語權(quán)需要通過正確的方式,真正把自身的價(jià)值體現(xiàn)出來,這才是對的道路。也就是回到一開始說的,CSO或者安全負(fù)責(zé)人到底為企業(yè)帶來了什么,你能不能把它量化出來,能不能真正的去理解網(wǎng)絡(luò)安全對于這家企業(yè)到底意味著什么,這才是這個(gè)群體應(yīng)該持續(xù)思考的方向。

不過總體來看,CSO的重要性確實(shí)是在持續(xù)提升的。IDC近日發(fā)布的《2022年V1全球網(wǎng)絡(luò)安全支出指南》預(yù)測,在2021-2025的五年內(nèi),中國網(wǎng)絡(luò)安全市場將以20.5%的年復(fù)合增長率高速發(fā)展,增速位列全球第一。所以,CSO作為企業(yè)網(wǎng)絡(luò)安全的總負(fù)責(zé)人,肩負(fù)著企業(yè)全局網(wǎng)絡(luò)安全的重任。因此,提升網(wǎng)絡(luò)安全部門的級別、提高CSO自身的戰(zhàn)略洞察力,對企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略的實(shí)施至關(guān)重要。我們也希望看到更多的CSO在時(shí)代大勢之下,取得更好的成就。

活動(dòng)預(yù)告

今年將在上海舉辦的 “IDC 2022 CSO全球網(wǎng)絡(luò)安全峰會(huì)(中國站)——聚力數(shù)據(jù)安全,賦能企業(yè)現(xiàn)代化”上,數(shù)據(jù)保護(hù)與容災(zāi)備份作為四大分論壇之一,屆時(shí)將面向技術(shù)專家、行業(yè)用戶以及技術(shù)供應(yīng)商進(jìn)一步解讀國家數(shù)據(jù)安全要求以及行業(yè)用戶的數(shù)據(jù)合規(guī)重要性、分析數(shù)據(jù)備份與保護(hù)痛點(diǎn),同時(shí)與大家針對數(shù)據(jù)備份與恢復(fù)技術(shù)發(fā)展進(jìn)行討論。論壇關(guān)鍵詞:數(shù)據(jù)全生命周期保護(hù)、業(yè)務(wù)永續(xù)、數(shù)據(jù)安全、等保2.0、數(shù)據(jù)復(fù)制與保護(hù)、雙活數(shù)據(jù)中心。

全球網(wǎng)絡(luò)安全盛會(huì)“2022全球CSO網(wǎng)絡(luò)安全峰會(huì)(中國站)——聚力數(shù)據(jù)安全,賦能企業(yè)現(xiàn)代化”首次落地中國,將于近期在上海拉開帷幕。屆時(shí),IDC將正式發(fā)布最新安全產(chǎn)業(yè)洞察《IDC TechScape: 中國數(shù)據(jù)安全技術(shù)發(fā)展路線圖,2022》,同時(shí)為“中國20大杰出安全項(xiàng)目” 和“中國CSO名人堂(十大人物)”的獲獎(jiǎng)?wù)哳C獎(jiǎng)。除主論壇之外,大會(huì)還設(shè)置了數(shù)據(jù)安全、數(shù)據(jù)隱私與數(shù)據(jù)合規(guī)、軟件定義安全訪問、數(shù)據(jù)保護(hù)與容災(zāi)備份四大分論壇, 解惑網(wǎng)絡(luò)安全各細(xì)分領(lǐng)域的行業(yè)熱點(diǎn)與洞見。

圖片

掃碼搶占現(xiàn)場席位

與我們共同見證卓越獎(jiǎng)項(xiàng)的誕生

歡迎廣大網(wǎng)絡(luò)安全行業(yè)同仁共同參與,如對獎(jiǎng)項(xiàng)或峰會(huì)有需要咨詢的內(nèi)容,請您聯(lián)系:

【獎(jiǎng)項(xiàng)事宜聯(lián)系人】

Helen Hao

電話:13681581916(微信同號(hào))

郵箱:yhao@idc.com

【安全大會(huì)活動(dòng)項(xiàng)目經(jīng)理】

Jacky Wan

郵箱:jwan@idc.com

【銷售客戶經(jīng)理】

Nadine Dong

郵箱:ndong@idc.com

更多咨詢,請聯(lián)系:

王勇,IDC中國 助理副總裁

電話:(+86-10) 5889 1588

電郵:fwang@idc.com

劉曉婷,IDC中國 客戶支持代表

電話:(+86-10) 5889 1536

電郵:yvliu@idc.com

謝靜,IDC中國 市場部

電話:(+86-10) 5889 1558

電郵:mxie@idc.com

掃描微信二維碼,關(guān)注IDC 研究成果,掌握ICT市場脈搏

圖片



關(guān)鍵詞: 視頻 安防 市場

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉