当我们谈论安全,我们在谈论什么?下一个十年,CISO的新角色和定位是什么?
安全转型研究基金会(Security Transformation Research Foundation)近日发布的网络安全内容关键词分析突显了网络安全语境在过去20年中的发展轨迹和重大趋势。
该基金会对安全咨询公司EY于2002-2018年期间进行的17个年度“ 全球信息安全调查报告” 进行了语义分析,得出了以下一些数据观点:
2010年是网络安全两个时代的分水岭
关键词变化和词频变化统计结果显示,2010年是一个分水岭,网络安全相关内容呈现“技术化和负面化”趋势:
从合规到威胁防御,云安全关注度进入第二个增长周期
截至2009年的“第一个十年”,网络安全关键词主要围绕风险和合规性,但是在接下来的十年中,这些考虑显然已经消退,被对威胁和事件的关注所取代:
在过去的20年中,业界对云安全的担忧急剧爆发,并在2010年、2011年和2012年达到高潮,然后对云安全的担忧逐渐消退成为“新常态”,但2019年开始,对云安全问题的关注开始进入第二轮增长周期:
在过去20年间,企业界和安全产业正在达成一种主流共识:网络安全不再仅仅是合规性和风险问题,技术在变化,威胁是真实的,事件确实会影响业务。对合规、云安全和安全事件的关注度总体变化趋势如下:
正如基金会所言,“安全行业热衷于谈论安全漏洞和攻击威胁,但是真正解决的问题却不多”,诸如“风险、威胁、合规性或事件”之类的关键词,出现频率是“治理、预算、交付、优先级、文化或技能”的3.5倍。
网络安全的新定位:数字化转型的赋能者
过去二十年间,业界谈论网络安全时,开始越来越多地提及数字化、创新、客户、业务增长和商业价值,这表明安全与数字化转型正在变得更为紧密相关,业界对网络安全与企业竞争力、商业价值的关系更加关注,网络安全的定位正在从合规和风险管理向数字化转型赋能转型。
总体而言,正如基金会所言,“安全行业倾向于谈论很多可能出问题的地方……但是要解决问题却做得不多”,带有诸如风险、威胁、合规性或事件之类的关键词标记的3.5倍。在所有调查中,比治理、预算、交付、优先级、文化或技能更为频繁。
过去十年安全业界的十大热词词频统计(风险、威胁、合规、事件排名前四):
过去二十年CISO角色的两次变迁:
展望网络安全已经开启的第三个十年,全行业必须朝着更加清晰的重点——“执行”转移:不再仅仅因为风险偏好或合规检查而将安全视为安全。同样CISO仅仅从事消防工作已不再足够,CISO必须直达“天庭”,让董事会和高级管理人员明白,安全不是缝缝补补又一年,而是需要大量投资才能夺取胜利果实和核心竞争力(编者按:例如在微盟与有赞的竞争中,安全能力发生了决定性的作用)。
越来越多的CISO意识到,如果不能建立正确的安全架构和安全运营模型,一味向安全厂商砸钱并不能建立可靠的安全能力。
总之,交付是安全的当务之急,尤其是在安全成熟度较低的企业,CISO必须成为真正的转型领导者。