安全转型研究基金会(SecurityTransformationResearchFoundation)近日发布了一份网络安全内容关键词分析,突出了过去20年网络安全背景的变化轨迹和主要趋势。基金会对安全咨询公司安永在2002-2018年期间进行的17份年度《全球信息安全调查报告》进行语义分析,得出以下数据点:2010年是两者分水岭的关键网络安全时代词变和词频变化统计结果显示,2010年是一个分水岭,网络安全相关内容呈现“技转负”趋势:从合规到威胁防御,云安全关注度进入二次增长循环。截至2009年“第一个十年”,网络安全关键词围绕着风险和合规性展开,但在随后的十年中,这些考虑因素显然已经消退,取而代之的是对威胁和事件的关注:过去20年到2019年,业界的担忧对云安全的担忧急剧爆发,并在2010年、2011年和2012年达到顶峰,随后对云安全的担忧逐渐平息,成为“新常态”。进入第二轮增长周期:过去20年,企业界和安全行业达成主流共识:网络安全不再只是合规和风险的问题,技术在变化,威胁是真实的,事件确实会影响商业。对合规性、云安全、安全事件的关注总体趋势如下:正如基金会所说,“安全行业热衷于谈论安全漏洞和攻击威胁,但真正解决的问题并不多”,例如“风险、威胁、合规性或事件”出现的频率是“治理、预算、交付、优先级排序、文化或技能”的3.5倍。网络安全的新定位:数字化转型的使能者过去二十年,业界谈及网络安全时,开始越来越多地提到数字化、创新、客户、业务增长和商业价值,这表明安全和数字化转型是产业关联度越来越高,业界更加关注网络安全与企业竞争力、商业价值的关系,网络安全的定位正从合规、风险管理转向数字化转型与赋能。总的来说,正如该基金会所说,“安全行业倾向于谈论很多可能出错的地方……而没有采取太多措施来解决它”,使用风险、威胁、合规性或事件等术语。关键词标签的3.5倍。在所有调查中,比治理、预算、交付、优先事项、文化或技能更频繁。近十年安全行业十大热词出现频率统计(风险、威胁、合规、事件位列前四):近二十年CISO角色的两个变化:期待网络安全的第三个十年,全球行业必须转向更明确的重点——“执行”:不再仅仅因为风险偏好或合规检查就认为安全就是安全。同样,CISO仅仅从事救火工作已经不够了。CISO们必须直奔“天庭”,让董事会和高层明白,安全不是修修补补再修一年,而是需要大量的投入才能赢得胜利的果实和核心竞争力(编者按:对于例如,在微盟和有赞的竞争中,安全能力起到了决定性的作用)。越来越多的CISO意识到,如果不能建立正确的安全架构和安全运营模型,一味砸钱给安全厂商是无法构建可靠的安全能力的。总之,交付是安全的当务之急,尤其是在安全成熟度较低的企业中,CISO必须成为真正的转型领导者。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
