数字化远航的“侧风”与CSO的角色归位

  帆船的主要动力来源是风，当顺风的时候，风直接吹到船帆上产生推力，帆船就能够快速的前进。但当风向变成逆风时，帆船如果仍然正面鼓动风帆，不仅极难前进，甚至有可能因此搁浅。

  所以产生了利用侧风的操船方式，碰到逆风，要将船帆调整方向，让风与船帆形成一个约 30度的角，这时侧风会变成帆船前进的动力，确保船的行进可以一路向前。

  这与如今企业的生存环境何其相似，最近两年的宏观环境并不算好，新冠疫情挥之不散，以及全球局势的扑朔迷离，为公司能够带来了诸多的不确定性，并为企业的生存和发展提出了新的挑战。

  很多企业都期待，通过数字化转型来应对不确定性因素，并能够逆风前行。但实际上，数字化的前景固然美好，但若无法在保证安全性的前提下贸然迈向数字化，那么企业有可能遭遇的还是逆风，而不是侧风。

  在 8月 26日的 IDC 2022 CSO全球网络安全峰会（中国站）上， IDC中国区总裁霍锦洁说，“过去一年，中国产生了全球 1/4的数据，但对数据安全的投资仅有全球的 1/5。”

  这样的数字落差背后，是业界对安全认知的缺失，只有具备了安全性的数字化转型，才可以称为侧风，是企业逆境飞扬的关键，而这同样是 IDC呼吁 CSO应成为企业数字化战略重要角色的动因。

  云计算的出现，让安全的边界上升到云端； 5G和物联网的发展，让安全的边界从云端扩展到边缘，而AI和区块链等新兴技术的发展，它们的漏洞又常被网络黑客频繁利用，为公司能够带来更多不可预料的损失。

  越是创新的企业，依赖网络联接就越多，就一定会面对更多的安全风险隐患。比如很多企业在走向物联网，而大多数的IOT设备基于Linux的操作系统，攻击者利用Linux的已知漏洞，就能够轻易实施攻击。还有以高安全性著称的区块链，如果被控制了节点中绝大多数计算资源，就能重改公有账本，这被称51%攻击，每年全球年区块链攻击遭受的损失总额都超过10亿美元。

  很多时候，安全风险就像是多米诺骨牌一样，一个环节的偏移，就容易造成全局化的崩塌。这使得网络与 IT基础设施，乃至安全，都再不能割裂存在，它们逐渐发展成为一个整体。

  企业面对的安全问题，非常的碎片化，它有极大几率会出现在任何一个企业 IT架构的小角落。所以，安全对处于数字化转型过程中的企业来说，已不再是一个单纯的问题，而是一个需要从企业 IT架构的全局来思考的问题，这不单单是技术的改变，更是思维方法，甚至是安全价值观的颠覆。

  这几年的网络攻击态势明显表现为： “老 ”式的攻击依然奏效， “新 ”式的攻击也在逐渐增加。来自互联网的威胁，无孔不入，会让企业应接不暇。而安全常在企业 IT架构中处于较低的位置，安全的地位应该提升到最高的层级，从全局安全的思路出发，设计全局的安全架构，会让企业在不断通过新技术拓展新业务的时候，不至于遭受不可估量的伤害。

  因此， IDC发布了 TechScape发展路线个新兴及重要的数据安全技术做多元化的分析，并对数据安全技术的市场采纳度进行了可视化展示。“我们大家都希望可以引领企业在未来复杂的环境下，做好安全设备和安全的策略的布局。并通过 CSO 名人堂的评选，分享他们的成功经验，让 CSO的角色成为中国企业数字化转型的重要力量。 ” 霍锦洁说。

  相比于我们熟知的 CIO或者 CTO的角色，在中国真正的 CSO并不多见，同时安全部门也通常在 IT部门的内部，话语权不够强。

  IDC中国研究副总裁钟振山坦言，很多企业的 IT部门确实有 CSO或者是安全技术经理的角色，通常是汇报给 CIO的，但是这个逻辑本身存在矛盾。安全应该与整个数字化的进程同步，需要全局化的视角，而不是仅限于在事后查缺补漏， CSO应该独立于 CIO的部门，才真正能够发挥在企业内部构建整体安全的作用。

  实际上， CSO应该是一个技术与业务相结合的角色， CSO在考虑企业安全机制的同时，也需要理解业务的发展趋向，并能够驱动企业在安全能力建设方面的投入，并提升企业内部整体安全的价值。

  第一，企业数字化转型，都存在法律和法规的合规化需求。例如金融行业等强监管行业，都有相关的数据保护条例，这是一个企业安全建设的最低标准，也是每个企业一定遵从和投入的基本内容。

  第二，从网络攻击的角度，黑客的技术永远要比厂商的技术先进，黑客也更加容易去使用更新的技术去进行网络攻击。所以，企业内部的安全能力也要一直地迭代，才能够应对日益更新的网络安全风险。

  而 CSO作为企业安全框架的设计者，技术与业务的管理者，理应具备整体网络安全知识，和敏锐的网络风险意识。

  事实上， IDC推出 CSO名人堂的评选，本质上也是希望可以把中国整体的安全的建设推向下一个阶段，并加速推动对于 CSO职位的认知和重视程度，真正让企业能够把安全作为一个独立的这种核心的能力不断地建设起来。

  IDC新兴技术研究部研究总监王军民分享了几个关键数据：中国 2021年，网络安全和 IT安全在企业 IT投入中的占比仅为 3.4%，而数字化程度相对成熟的美国则高达 7.3%。

  这说明我国的企业过去更为重视 IT的建设，而忽略了安全的建设。当 IT投入资金紧张时，通常会先把安全投资砍掉一些，保证业务先能够正常运行，也验证了前文所说的安全部门在企业中地位尴尬的现实。

  但好在这个差距在快速拉近，预计到 2026年我国的安全 IT支出占比会达到 6.2%。“希望 IT投资与 IT安全投资的平衡，并达到一个均衡，以保证数字化乃至数字化的经济的稳定运行。”王军民说。

  另外从市场机会上看， IDC预测到 2026年，中国的网络安全市场规模将达到 1000亿，而数据安全市场会占到将近 20%的比例，成为安全市场发展的主要驱动。

  如王军民所说，“中国数据安全技术及市场发展的新趋势将主要呈现出数据安全合规变成刚需、数据安全领域技术的融合、数据安全产品与服务的融合、数据安全与网络安全的融合、密码能力集成趋势逐步增强、云上数据安全合作能力逐步加强、新兴科技赋能数据安全、关注业务数据安全进行网格化管理、聚焦场景应用等特点。数据安全市场的未来将在产业协作与技术融合双重推动下加速前行。”

  因此， IDC首发的 TechScape研究，从不同的数据安全技术入手，给出不同数据安全技术的定义和发展理解，并详细阐述每个单项数据安全技术的发展程度、技术优劣势，以及不同技术领域下的产品推荐厂商名录，以鼓励各组织运用 IDC TechScape 数据发展路线图来规划其组织内部的数据安全建设路线，并为最终用户的数据安全体系建设提供产品技术指导。

  实际上，安全是一个很有意思的领域，似乎永远不在风口上，却又总是不可或缺。在过去的几年里，我们正真看到无数个热点不停的轮转，从云计算、大数据、物联网、人工智能，乃至区块链和元宇宙。新技术不断出现，安全策略也总是在不断进化。那么企业对安全的认知也需要同步进化，安全意识的唤醒与 CSO的逻辑归位，将会是未来企业数字化转型的一条主线。

  特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

  俄罗斯达吉斯坦遭恐袭，15名警务人员身亡！同一天，克里米亚遇空袭，俄称美制武器参与袭击

  外媒：内塔尼亚胡警告“下一场可能是黎巴嫩战争”，称以军已做好“多线作战”准备

  如果以色列全面开战，黎巴嫩将“无规则、无上限”战斗 美以担忧“铁穹”系统被压垮

  欧洲杯-哈弗茨中框菲尔克鲁格绝平 德国1-1瑞士第1出线绝平自讨苦吃！坑惨西班牙，葡萄牙受影响，英格兰笑翻了