網絡安全二十年關鍵詞統計,CISO的第二次角色轉變
責編:gltian |2020-03-13 13:57:07
當我們談論安全,我們在談論什么?下一個十年,CISO的新角色和定位是什么?
安全轉型研究基金會(Security Transformation Research Foundation)近日發布的網絡安全內容關鍵詞分析突顯了網絡安全語境在過去20年中的發展軌跡和重大趨勢。
該基金會對安全咨詢公司EY于2002-2018年期間進行的17個年度“ 全球信息安全調查報告” 進行了語義分析,得出了以下一些數據觀點:
2010年是網絡安全兩個時代的分水嶺
關鍵詞變化和詞頻變化統計結果顯示,2010年是一個分水嶺,網絡安全相關內容呈現“技術化和負面化”趨勢:
從合規到威脅防御,云安全關注度進入第二個增長周期
截至2009年的“第一個十年”,網絡安全關鍵詞主要圍繞風險和合規性,但是在接下來的十年中,這些考慮顯然已經消退,被對威脅和事件的關注所取代:
在過去的20年中,業界對云安全的擔憂急劇爆發,并在2010年、2011年和2012年達到高潮,然后對云安全的擔憂逐漸消退成為“新常態”,但2019年開始,對云安全問題的關注開始進入第二輪增長周期:
在過去20年間,企業界和安全產業正在達成一種主流共識:網絡安全不再僅僅是合規性和風險問題,技術在變化,威脅是真實的,事件確實會影響業務。對合規、云安全和安全事件的關注度總體變化趨勢如下:
正如基金會所言,“安全行業熱衷于談論安全漏洞和攻擊威脅,但是真正解決的問題卻不多”,諸如“風險、威脅、合規性或事件”之類的關鍵詞,出現頻率是“治理、預算、交付、優先級、文化或技能”的3.5倍。
網絡安全的新定位:數字化轉型的賦能者
過去二十年間,業界談論網絡安全時,開始越來越多地提及數字化、創新、客戶、業務增長和商業價值,這表明安全與數字化轉型正在變得更為緊密相關,業界對網絡安全與企業競爭力、商業價值的關系更加關注,網絡安全的定位正在從合規和風險管理向數字化轉型賦能轉型。
總體而言,正如基金會所言,“安全行業傾向于談論很多可能出問題的地方……但是要解決問題卻做得不多”,帶有諸如風險、威脅、合規性或事件之類的關鍵詞標記的3.5倍。在所有調查中,比治理、預算、交付、優先級、文化或技能更為頻繁。
過去十年安全業界的十大熱詞詞頻統計(風險、威脅、合規、事件排名前四):
過去二十年CISO角色的兩次變遷:
展望網絡安全已經開啟的第三個十年,全行業必須朝著更加清晰的重點——“執行”轉移:不再僅僅因為風險偏好或合規檢查而將安全視為安全。同樣CISO僅僅從事消防工作已不再足夠,CISO必須直達“天庭”,讓董事會和高級管理人員明白,安全不是縫縫補補又一年,而是需要大量投資才能奪取勝利果實和核心競爭力(編者按:例如在微盟與有贊的競爭中,安全能力發生了決定性的作用)。
越來越多的CISO意識到,如果不能建立正確的安全架構和安全運營模型,一味向安全廠商砸錢并不能建立可靠的安全能力。
總之,交付是安全的當務之急,尤其是在安全成熟度較低的企業,CISO必須成為真正的轉型領導者。