<form id="xxt53"></form>
<form id="xxt53"><span id="xxt53"><th id="xxt53"></th></span></form>

<noframes id="xxt53"><address id="xxt53"></address>

    <em id="xxt53"><form id="xxt53"></form></em>

      <address id="xxt53"></address>

      關 閉

      新聞中心

      EEPW首頁 > 安全與國防 > 市場分析 > 36氪專訪IDC中國研究副總裁鐘振山:國內CSO的職責需要持續被認知,深入理解業務是這一群體的最大挑戰

      36氪專訪IDC中國研究副總裁鐘振山:國內CSO的職責需要持續被認知,深入理解業務是這一群體的最大挑戰

      作者:IDC時間:2022-05-06來源:電子產品世界收藏


      本文引用地址:http://www.51kbu.com/article/202205/433802.htm

      圖片

      2021年對中國的安全行業而言是特殊的。

      這一年《數據安全法》、《個人信息保護法》接踵而至,形成了以《網絡安全法》《數據安全法》和《個人信息保護法》為主的網絡空間治理和數據保護體系。而在更廣泛的層面,新發布的各類細則條例更是多達數十項。眾所周知,安全行業一直以合規、需求為雙重驅動力。在長達一年的強合規驅動下,不難想象,安全產業鏈上的各個角色均會受到影響。

      在整個產業生態中,以CSO為代表的安全甲方是眼下最受關注的群體之一——當監管側發生重大變化,作為承擔企業安全建設的一號位,他們的行為走向成為了行業燈塔般的存在。

      不過,一個戲劇化的現象是,至少在2021年之前,CSO這一職位幾乎不被圈外認知。甚至在安全重要性呈指數級提升的當下,如何在企業內部提升CSO重要性,也是個正在被探討的話題。

      具體來說,36氪不久前曾做過小范圍調研,發現不少人聽聞CSO的第一反應是首席戰略官(Chief Strategy Officer),而非首席安全官(Chief Security Officer)。在具體數量上,曾有業內人士對36氪表示,當前行業內真正稱得上C title、能夠進入管理層的人數可能"兩只手數得出來",對比之下,總監級別的安全負責人大約有數百人。

      對于這種現象,IDC中國研究副總裁鐘振山認為,國內企業對安全部門的設置方式,體現出公司對安全的重視程度,同時也在一定范圍內影響了不少安全負責人成長。而作為IDC新興技術研究及行業研究的負責人之一,他早期曾在企業擔任CIO,見證過一些安全負責人的工作方式。

      在他的觀察中,"如果CSO或者安全部門總監不匯報給CIO,那么他們可能會有更獨立的網絡安全思考,能在這個方向為公司帶來更多價值。"原因不難理解,如果CSO或者安全總監能夠獨立帶領團隊,直接匯報給CEO,那么側面體現這個公司較為重視安全。反之,如果安全負責人只能匯報給CTO或者CIO,則很可能由于立場不同而導致彼此之間的不理解,最終影響安全工作的效果。

      顯而易見,第一種情況是更適合安全負責人成長的土壤,然而當前在現實情況中,匯報給CTO、CIO的安全負責人占據多數。"我們看到大部分安全負責人其實在匯報給CIO。"鐘振山也肯定此類現象的存在。

      這導致的結果是,不少安全負責人在企業內部不受重視,工作價值難以被他人直接看到,真正能從總監級別成為CSO的更是少之又少。

      然而在鐘振山看來,這個問題雖然復雜,但并非無解。他認為,CSO并不是一個技術崗位。這個崗位需要建立全局的認知,具備對外溝通能力,最重要的是要深入業務,將業務能力和安全能力融合,并在不影響業務的前提下,成功將安全融入、落地。這才是這一職位的價值,也是讓他人認可其業務能力的方法論。

      另外,鐘振山還向36氪介紹,作為第三方中立機構的IDC也正在謀劃將自身對行業的觀察、以及收集到的落地案例和成功經驗等分享給安全甲方們,希望在業務和個人提升上給他們提供參考。為此,IDC中國也將在近期舉辦“IDC 2022 CSO全球網絡安全峰會(中國站)”,希望以數據安全為切入點,介紹關于零信任、隱私計算、遠程訪問和數據備份方面的內容,并評選出相關優秀案例,讓安全負責人對數據安全技術的落地有所參考。

      在籌備已近尾聲的當下,"說實話從安全案例評選來看,現在整體案例和優秀案例的數量都不算多。"鐘振山坦言。他表示,對比國外每年300以上的案例體量,國內目前還存在較大差距。這也證明當前國內的企業安全建設還有較大空間,安全負責人的能力進階之路,也將是個長期話題。

      "大家需要思考,自己的安全工作到底為企業帶來了什么,能不能把它量化出來,能不能真正的理解網絡安全對于這家企業到底意味著什么,這才是這個群體應該持續思考的方向。"鐘振山說。

      中國企業對安全的重視程度仍需提高,

      CSO的職責需要被認知

      36氪:1986年IDC中國成立,我們是什么時候開始關注到國內的安全行業?以及這些年你覺得國內的安全行業產生了怎樣的變化?

      鐘振山:我們關注國內安全行業超出10年,國外大概也有四、五十年。整體來講,中國網絡安全還處在一個高速發展階段。IDC統計,2021年中國網絡安全規模在85億美金左右。如果按預期增速的話,我們預計到2025年中國的網絡安全規??赡軙_到215億美元。這也說明國內安全行業增速非???,五年的CAGR大概是20%左右。

      但與此同時,我們必須意識到中國的網絡安全市場規模還是相對較小。尤其是跟美國相比,2020年美國的網絡安全市場大概在630億美金,全球規模是1360億美金。這里面的差距非常大,也就是說雖然現階段由于政府政策的支持也好,企業對于網絡安全方面的重視程度也好,國內安全市場處在一個快速發展階段,但其實我們還有很長的路要走,才能真正達到全球領先的水平。

      36氪:根據你的觀察,國內外企業的安全投入具體存在著怎樣的差別?

      鐘振山:如果我們去看中國的頭部企業,無論是國企、央企,還是私企中的互聯網公司,它們對網絡安全方面的重視程度非常高。但如果看中小型企業,可能還停留在IT層面,這是一個長尾市場。但如果我們真正想讓中國的網絡安全市場達到,或者接近于美國規模的話,其實中小型企業對于網絡安全方面的重視程度必須要提升起來。這個情況在美國是大不一樣的,我們可以看到,美國整體IT技術的普及程度就比中國高很多,也就是說他們在網絡安全方面的重視程度要比中國企業高很多。

      36氪:所以這個事情的解決方式還是得通過政策要求?

      鐘振山:政策是一方面。其實我認為對于一個企業來講,政策的驅動僅僅是最低的標準。但網絡安全真正落地,其實需要企業員工提升自身意識形態。企業員工如果對外界的網絡安全風險沒有意識,那么他自己對公司內部的核心資產來說本身就是威脅。所以除去技術方面的發展,我覺得對于企業自身的意識形態的提升是更加重要的。

      36氪:這可能回到今天的主題,就是CSO或者安全總監要做這方面的工作。

      鐘振山:對,沒錯。其實我們一開始在籌辦這個會的時候,當時還在想國內是不是有那么多CSO。這個職業本身我覺得在國內還是相對比較新的,在一些大的外企可能相對普遍一些。當然,安全負責人在很多企業當中肯定是存在的,但是是否真的能把他提升到與CIO等同的地位,國內我不確定做得會像歐美企業那么的優秀。

      36氪:從現實情況看,現在國內真正的CSO確實是少的。你覺得安全總監和CSO的差別在于?

      鐘振山:我給你舉個例子,在我以前任職的公司里面,CSO和IT是獨立的兩條線。所以我們公司是非常重視安全的,在做任何IT相關項目的時候,最終的項目審核有一步就是必須要滿足網絡安全方面的政策。也就是說如果CSO或者是安全部門總監,不匯報給CIO,那么他們可能會有更獨立的網絡安全方面的思考,能在這個方向為公司帶來更多價值。

      而如果反過來講,我們看現在國內其實大部分的安全負責人是匯報給CIO的,那么這里的中立性會相對弱一點,因為其實CIO們最終關心的是,我的項目可不可以落地,我可不可以在預期的項目周期內完成。CIO勢必會在某一些時候,會想說我們可不可以先讓項目上馬,然后再去補安全的漏洞,這個其實我是看到過的。所以我覺得很多外企或者國際化的企業在這方面走得更加快一些。它們不光是安全部門,包括合規部門都獨立了出來,導致我們在做安全項目的時候必須要提前考慮到合規和安全方面的需求,這樣才能確保我們這個項目順利上馬。

      36氪:其實國內真的能出現CSO這種C title的,多在互聯網和金融行業。但觀察下來,不少CSO或者類似職位的人,最后都會比較希望讓安全成為一個可以對外服務的部門。

      鐘振山:互聯網公司玩法不太一樣,因為互聯網公司本身是以業務為導向的,任何一個部門都是要對公司整體業務有貢獻才能提升存在的價值。但我個人其實不太認可這個現象,說實話,像網絡安全或者合規部門,一旦和業務直接掛鉤,勢必會丟失一部分中立性,而網絡安全本身其實是對中立性要求非常高的一個職能,就是我不可以對任何事情有任何的讓步,這是網絡安全的一個最高的境界。但是如果說安全和業務直接掛鉤,勢必就會在某些情況下存在一定的矛盾。因為業務可能需要更快的運轉,在某些方面去走一些捷徑,但是網絡安全其實是沒有捷徑可走的。所以對于大型的企業,我不認為網絡安全可以成為業務部門。它必須是一個對內的職能,這樣才能確保它有足夠的中立性,把整體網絡安全的能力建設好。

      36氪:這樣看下來可能就只有一條路,不停告訴老板我的價值。

      鐘振山:這個可能是真的?;氐轿乙婚_始講的,中國的網絡安全發展下一步,最大的任務是提升公司內部或整體的網絡安全意識。我相信現在沒有一家公司可以回到紙質辦公的時代,但一旦我們受到了網絡攻擊,可能真的要回到那個時代,沒有任何電子設備可以去使用。另外,大家同時還要意識到不只是電腦,包括智能手機、平板,很多物聯網的設備都可能成為網絡攻擊的對象,所以每個人的網絡安全的意識形態必須要提升起來,才能真正把我們自身企業的核心資產保護起來。

      深入理解業務,是安全負責人最大的挑戰

      36氪:關于提升價值這件事,現在會有一些比較合適的方式嗎?

      鐘振山:比如計算投資回報率。舉個例子,我來IDC之前是做CIO的,當時我們這家公司有一個周末網站受到了攻擊,導致整個周末沒辦法使用。當時我們計算了一下這對于業務直接的損失是300萬人民幣,是一個非常直觀的投資回報數字。這個再加上我們一開始的投入以及后面的業務投入,有一套相對比較專業的財務計算公式可以計算ROI整體的結果。

      這是IT項目管理里面的相對比較常見的一個方法,隨著我們在IT項目管理上的不斷成熟,這種ROI的計算會越來越多。我們的業務老大們,當我們去找他們要預算的時候,他不僅滿足于說現在網絡安全市場里有非常多潛在的風險,他們可能更感興趣的是說,我投了這么多錢之后,能給我的業務帶來多大效益。網絡安全部門本身是一個純投入的部門,其實沒有辦法給企業帶來直接業務上的提升,但其實我們可以看到,很多企業在遭受到網絡安全攻擊的時候,業務的損失是非常大的,這些必須要計算到整個投資回報率里。

      36氪:有的CSO或者安全總監不僅會算投入產出比,還會告訴老板,他個人可能需要承擔的法律風險。

      鐘振山:這個確實是,無論是國內還是國外,其實都有相關的法律法規。包括美國,不久之前我剛看到美國的股票監管機構正在考慮把網絡安全負責人作為公司董事會的一員。那么在國內,比如金融行業會要求公司的一把手是網絡安全的直接負責人,所以是有這方面的風險,當然具體怎么執行下去不太一定。不過,這確實是我們公司的老大們需要承擔的責任之一。但如果說真正要純量化的話,可能還是需要從一個業務可避免的損失方面入手。

      36氪:還有一些實操的問題,比如說數據安全法出來之后,有些安全負責人覺得沒有更具體的規范,所以不知道配套措施應該怎樣搭建。

      鐘振山:CIO先不說,CSO如果真的這么想,我覺得他不是一個合格的CSO。剛才講到,其實法律法規的出現僅是為企業提供最低標準,也就是說你必須要做到這些,但其實我們知道的是,在網絡安全這個行業,我們需要防范未知的東西,你永遠不知道網絡攻擊會在什么時候出現,會以哪種方式出現。而且,黑客的技術總是比我們強很多。

      其實也就意味著,我們的企業必須要搭建一整套的網絡安全的能力,才能防患于未然。這個其實是對每個CSO的最基本要求,而不是說法律讓我干什么我就干什么,這不是一個稱職的CSO應該說的話。

      36氪:這里面稍微要分一下類,因為不同企業對安全的重視程度真的不一樣。但如果這個企業本身對安全的重視程度還不錯,你覺得這種環境中,安全負責人應該具備怎樣的能力?

      鐘振山:我不認為安全負責人或者CSO是一個技術的工作,我也不認為CIO是一個技術的工作,因為企業招一個CSO不是讓他去搭防火墻的。真正CSO要做的事情,第一點是真正有一個整體的、體系化的規劃,知道企業內部需要具備一個什么樣的安全的能力。但是,這個能力必須要和企業自身的業務掛鉤,因為各個企業自身的業務特點不同,可能需要的安全能力并不一樣,所以說CSO最大的挑戰,包括其實對于CIO也一樣,最大的挑戰是必須要懂業務,他是需要面對業務的,而不是把自己關在一個小黑屋里面做自己的事情,那樣的話其實沒有太大幫助。

      當時我在做CIO的時候,做得最多的事情是和業務部門聊。到門店里面,到各個業務部門里面看他們每天在做什么,只有這樣做,你才能真正理解他們的一些上網的行為或者操作的行為,才能夠真正打造一套有效的安全防護體系,在不影響員工正常工作的情況下,對企業進行保護。這才是我認為一個CSO應該具備的最大的能力。

      36氪:現在這樣做的安全負責人多嗎?

      鐘振山:我覺得并不多。因為其實我看到的包括CSO在內的安全負責人大多數人都是技術出身,可能從一個廠商的安全開發者慢慢做到經理,然后進到企業擔任安全負責人的職位。這條路的優勢在于,他們對整體安全的技術非常了解,包括對安全的生態也非常了解,里面的玩家都是誰,每一個玩家的優劣勢是什么,都耳熟能詳。但是這類群體的弱點是,因為是做技術出身,通常溝通能力沒有那么強,如果是這樣,他們如何把安全在企業內部的地位,提升到CEO應該重視的程度或者是每一位員工都有足夠安全意識的程度,會遇到一些挑戰。

      36氪:會表達和懂業務,有沒有孰輕孰重的關系?

      鐘振山:會表達不是說他能夠看臉色,而是需要表達自己的想法。在企業內部擔任任何IT的職位,這都是一個非常重要的技能。首先能夠把想法說出來,第二把業務的需求轉化成技術的需求,二者缺一不可。因為我們其實和業務部門去談系統也好,網絡也好,還是任何一個IT相關的事情也好,業務都是不懂的。他們只會告訴你,我需要每天能打20個電話,或者說我的下載速度需要多快。但其實在背后,我們需要考慮說他打20個電話對于我的帶寬影響是什么,添加一個座機等于是添加了一個入口,這對于整個網絡安全整體架構的影響是什么,這些其實需要有一個思維的轉化。在理解業務需求之后,怎樣把它變成一個技術解決方案,這個無論是對于CIO還是CSO來講都是必備的能力。不能純從技術的角度去考慮事情,給業務說因為這會影響IT架構,所以這個事情就是做不到。這樣的CSO,在企業內部是生存不下去的。

      量化工作價值,理解安全對于企業的意義,

      是CSO應該持續思考的方向

      36氪:在案例獎項的評選里,我們的標準是什么?

      鐘振山:其實里面有幾個標準,比如說你的項目投入有多大,投資回報率是什么,里面涉及到的用戶是什么,最終產生的業務的價值是什么。我們之所以這么去設定標準,主要是覺得如果一個CSO想不清楚這些問題,其實這個項目本身就做不好。因為這個人可能根本就不明白網絡安全對于一個企業自身的價值是什么。這次評選是希望能夠通過這些打分機制,真正把優秀項目篩選出來,讓大家去參考。所以我們真正推送出來的這20個項目,肯定是在這方面做的非常優秀的。

      36氪:現在有沒有看到相對好一些的安全案例?

      鐘振山:有,我們計劃評出二十個優秀案例。但我們是有一個原則的,如果找不出20個符合標準的,那就不評20個了,就做15個,甚至10個,這個標準肯定不會因為案例的數量而去逐漸改變。但是現在看下來的話,其實優秀的案例是有,但是從普及率看,可能真的沒有像一些發達國家那么高。真正好的安全的項目,真的不多。我問過一些CIO有沒有好的項目推薦,大家想了一圈,真的沒有。其實這個從側面也體現出國內現在整體網絡安全方面的一個大體的水平。

      對比之下,當時看我們全球評選的時候,里面有非常多優秀的案例,每年我們會收到超過300多個案例。那么今年在國內,因為第一年辦,大概是收到了50多個,數量上面其實還可以。但是真正去看里邊的細節的話,我們發現很多人真的說不出來這個項目對企業而言到底帶來什么樣的價值。

      比如說我上了一套態勢感知的系統,為什么上?大家不太知道。真正去問大家,這個項目能夠為企業規避多少潛在的風險?不少人真的沒有想過。那么在這些方面,我們也是希望通過這次大會給大家一些建議和思路。大家在做網絡安全的項目的時候,可能真的需要去為企業,從企業的角度去想,或者從業務的角度去想我為什么要做這個項目。比如上一個SSO的系統,那可能會影響到上萬人,十幾萬的員工。大家都認為這個東西很麻煩,但是為什么要做這些項目,大家到底明白不明白?我們的CSO們有沒有真的把這件事情跟所有員工講明白?它所帶來的效益和效果到底是什么?大家有沒有真的去想過。這個才是我們這次這個評選想要做的一件事情,就是真正把案例在業務方面的正面影響體現出來。

      36氪:可能有兩個原因導致了這個情況。首先是企業對安全重視度不高,另外是安全負責人對工作沒有體現出結果。那么從現在的趨勢來看,你覺得既懂業務,又會輸出的安全負責人數有增多的趨勢嗎?

      鐘振山:我希望會。其實我們看到過一些例子,如果是一個技術屬性非常強的安全負責人,他最終可能不再去想自己應該如何搭建一套優秀的網絡安全的防護體系,就僅滿足最低的網絡安全法的要求就行。這不是個例,很多的安全負責人可能都會這么想。導致這種現象的一個原因是他們在企業內部不被理解,因為安全從業務角度來看是一個麻煩的事情。比如說大家會質疑,我的密碼為什么不能12345678,我憑什么上一個系統就要去輸一遍用戶名密碼。所以,安全負責人會覺得他們在企業內部不被理解,會覺得委屈。

      面對這種情況,人會有兩種反應,一是嘗試去改變,這可能是一個優秀的安全負責人會做的事情。另外一方面,大家就覺得,OK,你既然不想要這個那我就不做了,我把最低的標準做好就可以。這樣大家也不會來煩我,或者說不會在背后說我的壞話。

      但很多人不能意識到的是,如果所有的安全負責人都在做這件事,那么企業的潛在安全風險是非常大的,企業其實最終是受損失的。安全負責人需要讓大家去明白,為什么我們要做這些事情,對業務本身和企業本身帶來的價值是什么,這個就需要很強的溝通的能力。

      總體而言,安全負責人在企業的環境里想更多體現自身的價值無可厚非。畢竟大家都在企業內部任職,肯定希望有更多的話語權和地位。但話語權需要通過正確的方式,真正把自身的價值體現出來,這才是對的道路。也就是回到一開始說的,CSO或者安全負責人到底為企業帶來了什么,你能不能把它量化出來,能不能真正的去理解網絡安全對于這家企業到底意味著什么,這才是這個群體應該持續思考的方向。

      不過總體來看,CSO的重要性確實是在持續提升的。IDC近日發布的《2022年V1全球網絡安全支出指南》預測,在2021-2025的五年內,中國網絡安全市場將以20.5%的年復合增長率高速發展,增速位列全球第一。所以,CSO作為企業網絡安全的總負責人,肩負著企業全局網絡安全的重任。因此,提升網絡安全部門的級別、提高CSO自身的戰略洞察力,對企業網絡安全戰略的實施至關重要。我們也希望看到更多的CSO在時代大勢之下,取得更好的成就。

      活動預告

      今年將在上海舉辦的 “IDC 2022 CSO全球網絡安全峰會(中國站)——聚力數據安全,賦能企業現代化”上,數據保護與容災備份作為四大分論壇之一,屆時將面向技術專家、行業用戶以及技術供應商進一步解讀國家數據安全要求以及行業用戶的數據合規重要性、分析數據備份與保護痛點,同時與大家針對數據備份與恢復技術發展進行討論。論壇關鍵詞:數據全生命周期保護、業務永續、數據安全、等保2.0、數據復制與保護、雙活數據中心。

      全球網絡安全盛會“2022全球CSO網絡安全峰會(中國站)——聚力數據安全,賦能企業現代化”首次落地中國,將于近期在上海拉開帷幕。屆時,IDC將正式發布最新安全產業洞察《IDC TechScape: 中國數據安全技術發展路線圖,2022》,同時為“中國20大杰出安全項目” 和“中國CSO名人堂(十大人物)”的獲獎者頒獎。除主論壇之外,大會還設置了數據安全、數據隱私與數據合規、軟件定義安全訪問、數據保護與容災備份四大分論壇, 解惑網絡安全各細分領域的行業熱點與洞見。

      圖片

      掃碼搶占現場席位

      與我們共同見證卓越獎項的誕生

      歡迎廣大網絡安全行業同仁共同參與,如對獎項或峰會有需要咨詢的內容,請您聯系:

      【獎項事宜聯系人】

      Helen Hao

      電話:13681581916(微信同號)

      郵箱:yhao@idc.com

      【安全大會活動項目經理】

      Jacky Wan

      郵箱:jwan@idc.com

      【銷售客戶經理】

      Nadine Dong

      郵箱:ndong@idc.com

      更多咨詢,請聯系:

      王勇,IDC中國 助理副總裁

      電話:(+86-10) 5889 1588

      電郵:fwang@idc.com

      劉曉婷,IDC中國 客戶支持代表

      電話:(+86-10) 5889 1536

      電郵:yvliu@idc.com

      謝靜,IDC中國 市場部

      電話:(+86-10) 5889 1558

      電郵:mxie@idc.com

      掃描微信二維碼,關注IDC 研究成果,掌握ICT市場脈搏

      圖片



      關鍵詞: 視頻 安防 市場

      評論


      相關推薦

      技術專區

      關閉
      久热香蕉在线视频网站,日本A级特黄少妇大片,18videosex性欧美69中国
      <form id="xxt53"></form>
      <form id="xxt53"><span id="xxt53"><th id="xxt53"></th></span></form>

      <noframes id="xxt53"><address id="xxt53"></address>

        <em id="xxt53"><form id="xxt53"></form></em>

          <address id="xxt53"></address>