《2023企业网络安全CSO发展调查报告》显示,CSO通常是企业网络安全的直接总负责人,也在企业内部安全价值中起到一个承上启下的作用。眼下又到年终时,又该做盘点,企业网络安全年度盘点如何做?如何确保全面完整又重点突出?如何表现成绩与不足?如何兼顾个人与团队?个中微妙怎样平衡?为此本期直播《网络安全价值大盘点》专门围绕这几类问题为诸位解惑答疑。
安在特邀中国网络安全审查技术与认证中心培训与人员认证部副主任尤其,烽台科技副总裁吴海民,深信服安全业务副总裁周智坚、中银证券信息安全负责人蒋琼等行业资深业者,齐聚线上直播分享。本次直播由安在创始人张耀疆主持。
张耀疆介绍,安在发布了国内第一份专门针对CSO群体的调查报告《2023企业网络安全CSO发展调查报告》,感兴趣的可以在微信号或诸子云知识星球下载。
另外,大家一致认为,中国CSO已经形成一个群体,而CSO群体不一定是真正的高管,可以宽泛理解为企业安全部门的负责人,目前CSO年薪百万基本是正常水平。
2022年度CSO评选是安在举行的第二届,去年第一届是评选出年度十佳,展现甲方一年中在安全方面的成果,以及CSO所代表企业在安全方面整体努力而评出七个单项奖,即数安奖、创新奖、运营奖、项目奖、管理奖、团队奖、文化奖,此外还有特别贡献奖,今年我们再接再厉,调性与去年基本一致。
中国网络安全审查技术与认证中心培训与人员认证部副主任尤其介绍道,他于2007年6月开始负责信息安全管理体系认证审核相关工作,那时90%的企业是没有设立专职的信息安全工作岗位的,更别提CSO。但这几年,特别是近三年,随着网安法、数安法、个保法的发布,越来越多的企业开始建立了自己的网络安全、信息安全、数据安全、个人信息保护的专职团队,从合规的角度去建设企业网络安全的整体技术架构。
另外,早些年,我们国家本科并没有设置网络安全专业的一级学科,随着《网络安全法》发布以后,才有了这个学科设置。随着学科的设置,网络安全这项工作也被大众所知晓,被企业越来越重视。随着行业的不断发展,网络安全和信息安全也就有了CSO圈,大家可以在圈内分享交流自己的经验得失。
尤其认为,随着国家法律法规和监管工作的不断完善,技术的不断发展,企业的逐渐重视,CSO圈子也会不断的丰富壮大。
张耀疆提到居委会和安全团队看似不着调的两者,但是在疫情期间对安全都承担着十分重要的责任。另外CSO和居委会主任角色对比,平时存在感都不强,但是出事了比如疫情或者病毒来袭,他们的作用就会凸显出来,此外言行过度了,别人也都会反感,比如居委会拦着人会招人嫌,安全做得太多制约业务也会招骂。
烽台科技副总裁吴海民认为:居委会这一组织存在很大的地域差异,如上海疫情期间居委会存在感不如“团长”,而北京的基层组织非常强大。换个角度就是上海市场经济发达,很多社区服务是承包出去利用市场来落实。放在企业里面,相当于没有CSO这个角色,他的工作被业务部门、采购部门等人做了,但是遇到特殊情况就容易出问题。而在北京的疫情时期,大多数人都亲身体会到居委会上门送菜,主任帮忙解决困难等服务,做了一些好事实事。如此种种,可以看出,其实每个地方的CSO服务内容与责任范围也不一样。虽然居委会主任跟CSO有类似的地方,但居委会在法律上只是一个自治组织而非行政执法权力机构。网络安全工作这几年法治建设非常快,如《网络安全法》及其条例,但不同类型的组织对CSO的定位也会有所差异。
中银证券信息安全负责人蒋琼认为,居委会从执政的角度来说,其本身没有权力,因为国家行政机构乃是下至街道为止。但是疫情期间最终执行却要到居委会,所以要有个“度”的问题,“度”就会涉及到合规性及对风险的接受程度。所以居委会与安全的合规也有一定相似,哪怕安全合规有法可依,但是条款也不可能面面俱到。
另外蒋琼觉得,CSO定位很重要,首先要有颗公心,其职责就是为企业把控风险,但是风险控制需要成本,并且需要把评估结果告诉大家,形成企业的安全文化。另外还要及时把风险评估结果汇报给管理层,不仅能起到辅助其决策的作用,还可避免成为背锅侠,这对自身也是一种保护。由此可见,信息透明及专业的分析能保持安全文化的良性发展。
蒋琼认为,安全年度盘点首先要把一年内的成果展现给公司。从这个角度来看,不管是CSO评选还是年度总结,都要体现整体的团队,也就是团队的安全文化及安全价值在企业中是什么形式什么地位,能够起到什么样的作用。
在蒋琼看来,其中很重要的一个点是“可持续”,比如去年年底定的目标,那么达成没有,在总结中要延续下去;比如疫情过后,后疫情时代大家都在期待春天还会再来,或者整个安全行业的发展、企业的发展都是可持续的。
另外,团队每个人都有亮点,都有各自的专长,甚至能在某个领域发挥独当一面的作用。但是作为安全团队的领导者,还需要考虑的是更应该突出团队整体的作用。如果你的团队得到了CSO圈子里大部分人的认可,你作为领头人,也必然会得到认可。
此外,在安全工作的汇报和总结都要体现客观性。在可持续的原则下,客观真实地展现出来,不仅分析目标达成与否的原因,还要包含今年的不足与改进方法,为明年的目标做铺垫。
最后就是要全面性,要有大局观。需要把团队分成不同的领域,针对不同的领域更要全面性规划。比如做安全的时候,有一部分安全运维或开发比安全负责人更能更好地管控相关问题,那就需要安全负责人站在更高的角度去规划安全工作。
深信服安全业务副总裁周智坚谦虚地说,他是一个不太会做PPT的人。安全是为企业保驾护航的,是做风险管理的。站在企业老板的角度,找你来是为了不出问题,其他都不重要。但是CSO要表达的是,安全是个风险管理的工作,不是彻底消除。所以,可以从以下几个方面去介绍过去一年的安全工作:
第一、基于年度KPI/OKR介绍整体安全水平:是否有重大事故、攻防、违规、泄密等事件及处理情况、企业安全能力变化(攻击视角下的防护能力、应急响应能力、合规及员工安全水平、数据安全及应用安全水平、内部违规泄密管理水平),突出今年与去年的提升情况,坦诚表达今年做的不好需要支持的地方,自然演进到明年的重点工作,与公司达成目标一致。
第二、如果是集团企业,还要讲一下各分支公司的安全稽查结果
第三、形式上,PPT 或者安全数字化平台上的安全状态报表
第四、作为安全主管,需要突出团队的力量,大家的功劳,特别是HR、总办、法务、风控等部门的工作,因为安全是一个复杂和体系的工作,而不是CSO个人多有能耐。
张耀疆肯定地认为,网络安全是有价值的,否则这个部门早就被裁掉了。那么网络安全价值体系是不是应该是,从网络安全能不能创造价值,能创造多大的价值,到网络安全不断地输出价值,这样一个层层递进的关系,即有价值是生存必要,创造价值是增值需要,输出价值则更能体现终极需要,差不多是“有、大、强”的关系。
周智坚觉得安全部门如果在集团的科技部门或者信息部门内,老板对于安全的要求只是保驾护航,在合规或者攻防违规以及数据泄密方面能保护公司资产。安全部门需要做好以下两点,还是相当至关重要:
首先,要做到不出事。要建设好抵御风险的能力,这是基础;
其次,如果产品的质量有安全的要求,作为乙方还要有投入产出比的概念,在安全底线之上更追求安全质量,那就多投一点。
最后,在一些关键的领域,集团内部也会有评比,这也会产生价值。比如帮客户看系统有没有问题,让客户看到本公司安全能力,往往也能促成业务合作。
吴海民笑称,提到网络安全价值这个话题,厂商是经常被甲方问到的。我总结为网络安全价值体现三要素上:机密性(威胁对抗)、可用性(服务保障)、完整性(决策治理)。
网络安全部门的价值过去就称为“三保”,即保安、保镖、保险。这三个层次往往也是不一样的。
第一保安,核心工作得依据三样:规章制度、摸清家底及执行灵活。要有服务思维,也就是保安做事要“拎得清”。
第二阶段保镖,其关键词是重点突出、挺身而出、总结经验(就好像你保镖替你挡一回子弹可以,天天挡就受不了),所以要有业务思维,帮业务部门解决实际痛点问题,有作用;
第三是保险。保险的本质是风险管理,保险是审时度势、精算和治理,和大环境有关,保险是运营的模式,如果你能做到可持续,“可信赖”就体现出来。
“拎得清,有作用,可信赖”,安全部门价值体现就是:从保安想着的是涨薪发奖金,到保镖能有股权期权(就是背锅要有价值),最后为企业保险,同呼吸共命运。
吴海民认为,从产业角度来说,网络安全价值体现主要分为三个阶段,可能是未来的趋势。第一个阶段是安全数字化,第二个阶段是数字安全化,第三个阶段是拥抱或叫融入产业数字化。
未来的社会一定是走向数字经济,而网络安全一定会跟数字化紧密关联。而安全问题本质是不确定性带来的。
第一阶段的不确定性是因为无知或者不作为造成的。所以重点解决感知问题。从感知层面来说,最典型的是信息化思维,就是广采集、多连接、平台化。这部分就是网络安全厂商、互联网厂商喜欢推进的模式。
第二阶段的不确定性是系统复杂性和人的能力经验造成,比喻工业领域。解决其重点就是人才跨界、业务融合。工业领域要的是信息化与工业化两化融合,烽台提炼形成了工业互联网数字化和安全结合方法论:先做咨询和规划来了解业务和场景,第二步数字仿真或者叫工业靶场,融入场景做验证;第三步也是实战运维,解决实际问题;第四就是日常应急处置和演练,闭环提升能力。
第三个阶段的不确定乃是大形势所致。这个层面就是解决认知思维模型的提升,并适应这个转型。在这个过程中,主要是变革、再造、治理。它的特点是数字化和运营的思维,也是我们未来的一个解决出路。
蒋琼作为金融行业的甲方,认为网络安全的价值体现在四个方面:
第一,网络安全的价值来源于沉淀。安全不仅需要个人知识、技术等方面的沉淀,也需要团队的沉淀。当处于机会或变革时期,可能会改变你在安全行业或团队中的定位。“时势造英雄”,也需要英雄具有真本事。
第二,协同很重要。一个人的安全经验和技术能力的积累一定是非常受限的,协同是技术内部包括科技部门、合规部门、风控部门等方面的协同,协同的力量给予你支持,这本身也体现了安全的价值。
第三,离不开治理。安全的价值经常体现在事件的驱动、合规的驱动,这些都让安全形成体系化上升到治理层,当然风险管理本身就是治理体系中的一部分,既连接决策层,又能衔接执行层解决公司遇到的各类安全问题,一定是价值的体现。
另外蒋琼认为,做好沉淀、协同和治理,会形成良好的安全文化,这也是上升的一条台阶。
提到价值,尤其给大家分享了一个他们的课题,2021年他们调研了一百多家企业,发现初创企业,特别是存活还成问题的企业,他们不会把网络安全作为企业的要素或者核心要素。网络安全的价值是随着企业逐步发展、逐步成长而逐渐体现出来的,也随着企业发展壮大而被逐步重视。
从他们认证的客户来说,他认为,网络安全价值主要体现在三方面:
第一,增强了企业的竞争力,保证企业的持续盈利能力。竞争力首先体现在完善自己的网络安全内部治理,保证了企业内部的网络信息系统以及收集到的客户或者相关方的信息的安全,同时保障组织能够在重大的网络安全事件中快速的恢复,及保证组织的业务连续性。从而得到更多客户的信任。
第二,随着网安法、数安法、个保法及网络安全审查办法、关键信息基础设施保护条例等相关法律法规的发布,网络安全的概念正在逐步地扩展。而其合规要求也越发重要,并且合规是企业发展必须要经历的过程。比如要想去境外上市的企业,当收集处理的个人信息超过100万条时,必须要先通过网络安全审查。所以网络安全在保证企业正常经营发展,甚至是上市融资过程中,起到的价值越发凸显。
第三,随着网络安全相关法律法规的要求,企业去落实这些工作,最终是保护了我们大众的个人信息安全和在使用网络服务过程中的网络安全。从这方面来看,还体现在了企业的社会价值。
张耀疆表示,网络安全有内部评判和外部评判,而每个单位不同角色也有不同的KPI,从而评判体系也是多种多样,所以在此不谈内部评判,主要针对我们此次的年度评选活动有何看法及建议。
安在作为媒体,一个中立的机构策划此次活动,主要是为了让大家的价值体现出来,让更优秀更有代表性的企业、部门或团队作为一个标杆起到引领的作用,为行业发展添砖加瓦。
尤其希望大家参与公众投票,只要能得到广泛人民群众的支持和认可,这次活动才能做得更好,让越来越多的人在评选过程中发表自己的意见。
蒋琼作为第一届获奖者代表认为,这样的评选活动与其他评选不同的是其独特性,并且甲方都参与进来,可以说是百花齐放,并且希望在评判过程中能避免同质化,尽量地体现出差异性,这在行业内会起到示范价值,这是一件善莫大焉的事情。
作为此次评选活动的评委代表,周智坚表示,安在在安全领域做到现在程度很不容易,并且为甲方、厂商及从业者提供了一个多方交流的平台,这是一个很大的贡献。中国的经济发展从制造业走向数字化和产业互联,安全的作用会越来越大。
周智坚自己也是安全业务化、数字化的践行者。他会在评判思维里面,首先会看有没有把安全的业务流程抽象化;再者有没有能力把抽象出来的业务通过信息化的方式,去构建成信息化的平台;第三则是做安全的数字化和自动化。
吴海民认为联合更广泛的大众共同关注和参与此次活动。他建议表现形式上可以参考脱口秀大会的模式,要有人人能讲五分钟安全故事的倡导,让苦逼的安全人怀着轻松的心态来参与,嬉笑怒骂中让大众来了解安全圈的那些事。
张耀疆表示这是一个行业的境界,更是一个很高的要求!我们也希望评选活动,尽可能体现出草根性、多样性及参与的轻松感。
齐心抗疫 与你同在
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...