这一年《数据安全法》、《个人信息保护法》接踵而至,形成了以《网络安全法》《数据安全法》和《个人信息保护法》为主的网络空间治理和数据保护体系。而在更广泛的层面,新发布的各类细则条例更是多达数十项。众所周知,安全行业一直以合规、需求为双重驱动力。在长达一年的强合规驱动下,不难想象,安全产业链上的各个角色均会受到影响。
在整个产业生态中,以CSO为代表的安全甲方是眼下最受关注的群体之一——当监管侧发生重大变化,作为承担企业安全建设的一号位,他们的行为走向成为了行业灯塔般的存在。
不过,一个戏剧化的现象是,至少在2021年之前,CSO这一职位几乎不被圈外认知。甚至在安全重要性呈指数级提升的当下,如何在企业内部提升CSO重要性,也是个正在被探讨的话题。
具体来说,36氪不久前曾做过小范围调研,发现不少人听闻CSO的第一反应是首席战略官(Chief Strategy Officer),而非首席安全官(Chief Security Officer)。在具体数量上,曾有业内人士对36氪表示,当前行业内真正称得上C title、能够进入管理层的人数可能"两只手数得出来",对比之下,总监级别的安全负责人大约有数百人。
对于这种现象,IDC中国研究副总裁钟振山认为,国内企业对安全部门的设置方式,体现出公司对安全的重视程度,同时也在一定范围内影响了不少安全负责人成长。而作为IDC新兴技术研究及行业研究的负责人之一,他早期曾在企业担任CIO,见证过一些安全负责人的工作方式。
在他的观察中,"如果CSO或者安全部门总监不汇报给CIO,那么他们可能会有更独立的网络安全思考,能在这个方向为公司带来更多价值。"原因不难理解,如果CSO或者安全总监能够独立带领团队,直接汇报给CEO,那么侧面体现这个公司较为重视安全。反之,如果安全负责人只能汇报给CTO或者CIO,则很可能由于立场不同而导致彼此之间的不理解,最终影响安全工作的效果。
显而易见,第一种情况是更适合安全负责人成长的土壤,然而当前在现实情况中,汇报给CTO、CIO的安全负责人占据多数。"我们看到大部分安全负责人其实在汇报给CIO。"钟振山也肯定此类现象的存在。
这导致的结果是,不少安全负责人在企业内部不受重视,工作价值难以被他人直接看到,真正能从总监级别成为CSO的更是少之又少。
然而在钟振山看来,这个问题虽然复杂,但并非无解。他认为,CSO并不是一个技术岗位。这个岗位需要建立全局的认知,具备对外沟通能力,最重要的是要深入业务,将业务能力和安全能力融合,并在不影响业务的前提下,成功将安全融入、落地。这才是这一职位的价值,也是让他人认可其业务能力的方法论。
另外,钟振山还向36氪介绍,作为第三方中立机构的IDC也正在谋划将自身对行业的观察、以及收集到的落地案例和成功经验等分享给安全甲方们,希望在业务和个人提升上给他们提供参考。为此,IDC中国也将在近期举办“IDC 2022 CSO全球网络安全峰会(中国站)”,希望以数据安全为切入点,介绍关于零信任、隐私计算、远程访问和数据备份方面的内容,并评选出相关优秀案例,让安全负责人对数据安全技术的落地有所参考。
在筹备已近尾声的当下,"说实话从安全案例评选来看,现在整体案例和优秀案例的数量都不算多。"钟振山坦言。他表示,对比国外每年300以上的案例体量,国内目前还存在较大差距。这也证明当前国内的企业安全建设还有较大空间,安全负责人的能力进阶之路,也将是个长期话题。
"大家需要思考,自己的安全工作到底为企业带来了什么,能不能把它量化出来,能不能真正的理解网络安全对于这家企业到底意味着什么,这才是这个群体应该持续思考的方向。"钟振山说。
中国企业对安全的重视程度仍需提高,CSO的职责需要被认知
36氪:1986年IDC中国成立,我们是什么时候开始关注到国内的安全行业?以及这些年你觉得国内的安全行业产生了怎样的变化?
钟振山:我们关注国内安全行业超出10年,国外大概也有四、五十年。整体来讲,中国网络安全市场还处在一个高速发展阶段。IDC统计,2021年中国网络安全市场规模在85亿美金左右。如果按预期增速的话,我们预计到2025年中国的网络安全市场规模可能会达到215亿美元。这也说明国内安全行业增速非常快,五年的CAGR大概是20%左右。
但与此同时,我们必须意识到中国的网络安全市场规模还是相对较小。尤其是跟美国相比,2020年美国的网络安全市场大概在630亿美金,全球规模是1360亿美金。这里面的差距非常大,也就是说虽然现阶段由于政府政策的支持也好,企业对于网络安全方面的重视程度也好,国内安全市场处在一个快速发展阶段,但其实我们还有很长的路要走,才能真正达到全球领先的水平。
36氪:根据你的观察,国内外企业的安全投入具体存在着怎样的差别?
钟振山:如果我们去看中国的头部企业,无论是国企、央企,还是私企中的互联网公司,它们对网络安全方面的重视程度非常高。但如果看中小型企业,可能还停留在IT层面,这是一个长尾市场。但如果我们真正想让中国的网络安全市场达到,或者接近于美国规模的话,其实中小型企业对于网络安全方面的重视程度必须要提升起来。这个情况在美国是大不一样的,我们可以看到,美国整体IT技术的普及程度就比中国高很多,也就是说他们在网络安全方面的重视程度要比中国企业高很多。
36氪:所以这个事情的解决方式还是得通过政策要求?
钟振山:政策是一方面。其实我认为对于一个企业来讲,政策的驱动仅仅是最低的标准。但网络安全真正落地,其实需要企业员工提升自身意识形态。企业员工如果对外界的网络安全风险没有意识,那么他自己对公司内部的核心资产来说本身就是威胁。所以除去技术方面的发展,我觉得对于企业自身的意识形态的提升是更加重要的。
36氪:这可能回到今天的主题,就是CSO或者安全总监要做这方面的工作。
钟振山:对,没错。其实我们一开始在筹办这个会的时候,当时还在想国内是不是有那么多CSO。这个职业本身我觉得在国内还是相对比较新的,在一些大的外企可能相对普遍一些。当然,安全负责人在很多企业当中肯定是存在的,但是是否真的能把他提升到与CIO等同的地位,国内我不确定做得会像欧美企业那么的优秀。
36氪:从现实情况看,现在国内真正的CSO确实是少的。你觉得安全总监和CSO的差别在于?
钟振山:我给你举个例子,在我以前任职的公司里面,CSO和IT是独立的两条线。所以我们公司是非常重视安全的,在做任何IT相关项目的时候,最终的项目审核有一步就是必须要满足网络安全方面的政策。也就是说如果CSO或者是安全部门总监,不汇报给CIO,那么他们可能会有更独立的网络安全方面的思考,能在这个方向为公司带来更多价值。
而如果反过来讲,我们看现在国内其实大部分的安全负责人是汇报给CIO的,那么这里的中立性会相对弱一点,因为其实CIO们最终关心的是,我的项目可不可以落地,我可不可以在预期的项目周期内完成。CIO势必会在某一些时候,会想说我们可不可以先让项目上马,然后再去补安全的漏洞,这个其实我是看到过的。所以我觉得很多外企或者国际化的企业在这方面走得更加快一些。它们不光是安全部门,包括合规部门都独立了出来,导致我们在做安全项目的时候必须要提前考虑到合规和安全方面的需求,这样才能确保我们这个项目顺利上马。
36氪:其实国内真的能出现CSO这种C title的,多在互联网和金融行业。但观察下来,不少CSO或者类似职位的人,最后都会比较希望让安全成为一个可以对外服务的部门。
钟振山:互联网公司玩法不太一样,因为互联网公司本身是以业务为导向的,任何一个部门都是要对公司整体业务有贡献才能提升存在的价值。但我个人其实不太认可这个现象,说实话,像网络安全或者合规部门,一旦和业务直接挂钩,势必会丢失一部分中立性,而网络安全本身其实是对中立性要求非常高的一个职能,就是我不可以对任何事情有任何的让步,这是网络安全的一个最高的境界。但是如果说安全和业务直接挂钩,势必就会在某些情况下存在一定的矛盾。因为业务可能需要更快的运转,在某些方面去走一些捷径,但是网络安全其实是没有捷径可走的。所以对于大型的企业,我不认为网络安全可以成为业务部门。它必须是一个对内的职能,这样才能确保它有足够的中立性,把整体网络安全的能力建设好。
36氪:这样看下来可能就只有一条路,不停告诉老板我的价值。
钟振山:这个可能是真的。回到我一开始讲的,中国的网络安全发展下一步,最大的任务是提升公司内部或整体的网络安全意识。我相信现在没有一家公司可以回到纸质办公的时代,但一旦我们受到了网络攻击,可能真的要回到那个时代,没有任何电子设备可以去使用。另外,大家同时还要意识到不只是电脑,包括智能手机、平板,很多物联网的设备都可能成为网络攻击的对象,所以每个人的网络安全的意识形态必须要提升起来,才能真正把我们自身企业的核心资产保护起来。
深入理解业务,是安全负责人最大的挑战
36氪:关于提升价值这件事,现在会有一些比较合适的方式吗?
钟振山:比如计算投资回报率。举个例子,我来IDC之前是做CIO的,当时我们这家公司有一个周末网站受到了攻击,导致整个周末没办法使用。当时我们计算了一下这对于业务直接的损失是300万人民币,是一个非常直观的投资回报数字。这个再加上我们一开始的投入以及后面的业务投入,有一套相对比较专业的财务计算公式可以计算ROI整体的结果。
这是IT项目管理里面的相对比较常见的一个方法,随着我们在IT项目管理上的不断成熟,这种ROI的计算会越来越多。我们的业务老大们,当我们去找他们要预算的时候,他不仅满足于说现在网络安全市场里有非常多潜在的风险,他们可能更感兴趣的是说,我投了这么多钱之后,能给我的业务带来多大效益。网络安全部门本身是一个纯投入的部门,其实没有办法给企业带来直接业务上的提升,但其实我们可以看到,很多企业在遭受到网络安全攻击的时候,业务的损失是非常大的,这些必须要计算到整个投资回报率里。
36氪:有的CSO或者安全总监不仅会算投入产出比,还会告诉老板,他个人可能需要承担的法律风险。
钟振山:这个确实是,无论是国内还是国外,其实都有相关的法律法规。包括美国,不久之前我刚看到美国的股票监管机构正在考虑把网络安全负责人作为公司董事会的一员。那么在国内,比如金融行业会要求公司的一把手是网络安全的直接负责人,所以是有这方面的风险,当然具体怎么执行下去不太一定。不过,这确实是我们公司的老大们需要承担的责任之一。但如果说真正要纯量化的话,可能还是需要从一个业务可避免的损失方面入手。
36氪:还有一些实操的问题,比如说数据安全法出来之后,有些安全负责人觉得没有更具体的规范,所以不知道配套措施应该怎样搭建。
钟振山:CIO先不说,CSO如果真的这么想,我觉得他不是一个合格的CSO。刚才讲到,其实法律法规的出现仅是为企业提供最低标准,也就是说你必须要做到这些,但其实我们知道的是,在网络安全这个行业,我们需要防范未知的东西,你永远不知道网络攻击会在什么时候出现,会以哪种方式出现。而且,黑客的技术总是比我们强很多。
其实也就意味着,我们的企业必须要搭建一整套的网络安全的能力,才能防患于未然。这个其实是对每个CSO的最基本要求,而不是说法律让我干什么我就干什么,这不是一个称职的CSO应该说的话。
36氪:这里面稍微要分一下类,因为不同企业对安全的重视程度真的不一样。但如果这个企业本身对安全的重视程度还不错,你觉得这种环境中,安全负责人应该具备怎样的能力?
钟振山:我不认为安全负责人或者CSO是一个技术的工作,我也不认为CIO是一个技术的工作,因为企业招一个CSO不是让他去搭防火墙的。真正CSO要做的事情,第一点是真正有一个整体的、体系化的规划,知道企业内部需要具备一个什么样的安全的能力。但是,这个能力必须要和企业自身的业务挂钩,因为各个企业自身的业务特点不同,可能需要的安全能力并不一样,所以说CSO最大的挑战,包括其实对于CIO也一样,最大的挑战是必须要懂业务,他是需要面对业务的,而不是把自己关在一个小黑屋里面做自己的事情,那样的话其实没有太大帮助。
当时我在做CIO的时候,做得最多的事情是和业务部门聊。到门店里面,到各个业务部门里面看他们每天在做什么,只有这样做,你才能真正理解他们的一些上网的行为或者操作的行为,才能够真正打造一套有效的安全防护体系,在不影响员工正常工作的情况下,对企业进行保护。这才是我认为一个CSO应该具备的最大的能力。
36氪:现在这样做的安全负责人多吗?
钟振山:我觉得并不多。因为其实我看到的包括CSO在内的安全负责人大多数人都是技术出身,可能从一个厂商的安全开发者慢慢做到经理,然后进到企业担任安全负责人的职位。这条路的优势在于,他们对整体安全的技术非常了解,包括对安全的生态也非常了解,里面的玩家都是谁,每一个玩家的优劣势是什么,都耳熟能详。但是这类群体的弱点是,因为是做技术出身,通常沟通能力没有那么强,如果是这样,他们如何把安全在企业内部的地位,提升到CEO应该重视的程度或者是每一位员工都有足够安全意识的程度,会遇到一些挑战。
36氪:会表达和懂业务,有没有孰轻孰重的关系?
钟振山:会表达不是说他能够看脸色,而是需要表达自己的想法。在企业内部担任任何IT的职位,这都是一个非常重要的技能。首先能够把想法说出来,第二把业务的需求转化成技术的需求,二者缺一不可。因为我们其实和业务部门去谈系统也好,网络也好,还是任何一个IT相关的事情也好,业务都是不懂的。他们只会告诉你,我需要每天能打20个电话,或者说我的下载速度需要多快。但其实在背后,我们需要考虑说他打20个电话对于我的带宽影响是什么,添加一个座机等于是添加了一个入口,这对于整个网络安全整体架构的影响是什么,这些其实需要有一个思维的转化。在理解业务需求之后,怎样把它变成一个技术解决方案,这个无论是对于CIO还是CSO来讲都是必备的能力。不能纯从技术的角度去考虑事情,给业务说因为这会影响IT架构,所以这个事情就是做不到。这样的CSO,在企业内部是生存不下去的。
量化工作价值,理解安全对于企业的意义,是CSO应该持续思考的方向
36氪:在案例奖项的评选里,我们的标准是什么?
钟振山:其实里面有几个标准,比如说你的项目投入有多大,投资回报率是什么,里面涉及到的用户是什么,最终产生的业务的价值是什么。我们之所以这么去设定标准,主要是觉得如果一个CSO想不清楚这些问题,其实这个项目本身就做不好。因为这个人可能根本就不明白网络安全对于一个企业自身的价值是什么。这次评选是希望能够通过这些打分机制,真正把优秀项目筛选出来,让大家去参考。所以我们真正推送出来的这20个项目,肯定是在这方面做的非常优秀的。
36氪:现在有没有看到相对好一些的安全案例?
钟振山:有,我们计划评出二十个优秀案例。但我们是有一个原则的,如果找不出20个符合标准的,那就不评20个了,就做15个,甚至10个,这个标准肯定不会因为案例的数量而去逐渐改变。但是现在看下来的话,其实优秀的案例是有,但是从普及率看,可能真的没有像一些发达国家那么高。真正好的安全的项目,真的不多。我问过一些CIO有没有好的项目推荐,大家想了一圈,真的没有。其实这个从侧面也体现出国内现在整体网络安全方面的一个大体的水平。
对比之下,当时看我们全球评选的时候,里面有非常多优秀的案例,每年我们会收到超过300多个案例。那么今年在国内,因为第一年办,大概是收到了50多个,数量上面其实还可以。但是真正去看里边的细节的话,我们发现很多人真的说不出来这个项目对企业而言到底带来什么样的价值。
比如说我上了一套态势感知的系统,为什么上?大家不太知道。真正去问大家,这个项目能够为企业规避多少潜在的风险?不少人真的没有想过。那么在这些方面,我们也是希望通过这次大会给大家一些建议和思路。大家在做网络安全的项目的时候,可能真的需要去为企业,从企业的角度去想,或者从业务的角度去想我为什么要做这个项目。比如上一个SSO的系统,那可能会影响到上万人,十几万的员工。大家都认为这个东西很麻烦,但是为什么要做这些项目,大家到底明白不明白?我们的CSO们有没有真的把这件事情跟所有员工讲明白?它所带来的效益和效果到底是什么?大家有没有真的去想过。这个才是我们这次这个评选想要做的一件事情,就是真正把案例在业务方面的正面影响体现出来。
36氪:可能有两个原因导致了这个情况。首先是企业对安全重视度不高,另外是安全负责人对工作没有体现出结果。那么从现在的趋势来看,你觉得既懂业务,又会输出的安全负责人数有增多的趋势吗?
钟振山:我希望会。其实我们看到过一些例子,如果是一个技术属性非常强的安全负责人,他最终可能不再去想自己应该如何搭建一套优秀的网络安全的防护体系,就仅满足最低的网络安全法的要求就行。这不是个例,很多的安全负责人可能都会这么想。导致这种现象的一个原因是他们在企业内部不被理解,因为安全从业务角度来看是一个麻烦的事情。比如说大家会质疑,我的密码为什么不能12345678,我凭什么上一个系统就要去输一遍用户名密码。所以,安全负责人会觉得他们在企业内部不被理解,会觉得委屈。
面对这种情况,人会有两种反应,一是尝试去改变,这可能是一个优秀的安全负责人会做的事情。另外一方面,大家就觉得,OK,你既然不想要这个那我就不做了,我把最低的标准做好就可以。这样大家也不会来烦我,或者说不会在背后说我的坏话。
但很多人不能意识到的是,如果所有的安全负责人都在做这件事,那么企业的潜在安全风险是非常大的,企业其实最终是受损失的。安全负责人需要让大家去明白,为什么我们要做这些事情,对业务本身和企业本身带来的价值是什么,这个就需要很强的沟通的能力。
总体而言,安全负责人在企业的环境里想更多体现自身的价值无可厚非。毕竟大家都在企业内部任职,肯定希望有更多的话语权和地位。但话语权需要通过正确的方式,真正把自身的价值体现出来,这才是对的道路。也就是回到一开始说的,CSO或者安全负责人到底为企业带来了什么,你能不能把它量化出来,能不能真正的去理解网络安全对于这家企业到底意味着什么,这才是这个群体应该持续思考的方向。
不过总体来看,CSO的重要性确实是在持续提升的。IDC近日发布的《2022年V1全球网络安全支出指南》预测,在2021-2025的五年内,中国网络安全市场将以20.5%的年复合增长率高速发展,增速位列全球第一。所以,CSO作为企业网络安全的总负责人,肩负着企业全局网络安全的重任。因此,提升网络安全部门的级别、提高CSO自身的战略洞察力,对企业网络安全战略的实施至关重要。我们也希望看到更多的CSO在时代大势之下,取得更好的成就。
