继全球顶级安全专家围绕战略、产业、技术等维度进行对话碰撞后,以“RSAC主题分享万人云峰会”为主题的全球首个安全行业万人云峰会,昨天(3月26日)迎来了首场分论坛——安全意识论坛。
来自美国创业公司Elevate Security联合创始人Masha Sedova、谷安天下副总裁贺晓辉、谷安天下首席安全教育官董文娟、中国移动集团安全专家徐一、红山瑞达创始人朱代祥、奇安信行业安全研究中心主任裴智勇等安全行业专家,就如何建立科学安全意识培训与管理体系展开研讨,并向社会发出提醒,预防网络风险和威胁,尤其是要重视来自内部人的威胁。
要对企业领导者进行安全意识宣教
一个月前在美国旧金山召开的RSAC2020大会上,以“人是安全的要素”为主题,全球安全行业探讨了安全技术发展的理念和创新趋势,提出在网络安全中要注重并发挥人的作用。而更早的2017年,作为中国规模最大的网络安全公司奇安信就提出“人是安全的尺度”,去年在另一场顶级安全盛会北京网络安全大会(BCS),以“内生安全”为主题,进一步强调了人在网络安全中的作用。
尽管安全意识在网络安全中的重要性毋庸置疑,但直到最近几年,政企机构才开始使用一些系统性的科学方法来进行安全意识培训和安全意识管理。
“相比于欧美国家,国内安全意识相关市场仍比较初级和原始。”在安全意识论坛上,奇安信行业安全研究中心主任裴智勇认为造成这种情况的主要原因有三,一是甲方对体系化安全意识建设的认知不足,往往只是每年做两场培训了事;二是重产品,轻服务的情况仍然普遍存在,安全意识培训及服务常常沦为免费赠品;三是国内安全企业在安全意识服务能力上也有待提升。
谷安天下首席安全官董文娟表示,无论是甲方用户,专业机构,还是监管机构,大家并没有形成一种合力,就这个市场领域做一个整体的推广。大家更多的都是从自己的角度出发,自说自话,这是很大的缺失。
谷安天下首席安全教育官董文娟
作为国内中立性网络安全与风险服务机构,谷安天下近些年致力于全面提升中国企业的安全能力与风险管控能力,并通过安全垂直媒体安全牛,不断向行业和社会普及安全意识。在论坛上,董文娟提出建议,应针对政企组织的领导进行安全意识的宣教,尽管这是提升企业组织安全意识最难实现的,但不得不说,这是最为重要的一部分。
安全意识支撑着200亿的产业
安全意识普遍不高,也导致安全意识在国内的产业形成难度较大。据Gartner的数据显示,2019年,全球网络安全意识培训产业规模将达6.60亿美元;而未来四年,该产业的年度复合增长率将高达42%,到2023年达到26.8亿美元,约合人民币190.1亿元。
红山瑞达创始人朱代祥
这在红山瑞达创始人朱代祥看来,有多重原因。一是当前各种与安全意识相关的政策性活动活动太过集中,如安全日、安全周等,每年就几次,活动太过集中会透支企业服务能力:在活动来了时时候,安全企业服务不过来;而活动过去之后,又没有活可干,所以形成不了产业,缺乏产业引导。二是安全意识教育本就不应是一次性活动的工作,这不仅会严重制约相关产业的发展,同时,对于甲方企业来说也是十分不利的。
中国移动集团高级安全专家徐一
“安全意识顾名思义是一种意识,它更多是一种潜移默化的影响。”中国移动集团高级安全专家徐一表示,意识不是短期培养出来的,不是通过一节课,一个宣传文档一纸公文来解决的,安全意识的培养是长期的行为,它需要一个过程逐步灌输到每个人的头脑中。
让安全意识看得见、摸得着
在安全意识论坛上,美国创业公司Elevate Security联合创始人Masha Sedova则分享了如何科学系统提升安全意识的经验。Elevate Security是RSAC创新沙盒十强企业,被业界评价为安全意识培训市场领导者的创业企业,在今年的RSAC大会上,Masha Sedova作为安全创新企业代表做了演讲。
美国创业公司Elevate Security联合创始人Masha Sedova
Masha Sedova分享了RSAC2020上关于安全意识提升的关键热词,即安全民主化,具体包含三层含义:一是促进合作(Collaboration),通过去边界化、零信任等技术基础建设,将传统安全管理中的控制模式,转变为协作模式;二是优化设计(Design),通过消费级的良好体验,简化操作过程,去除复杂性,使员工更容易积极参与到安全实践中;三是营造文化(Culture),让安全知识能够被轻松的获取并掌握,实现安全工作人人参与,保护人人。
“科学管理方法有几个关键词:人的要素、可视化和行为科学,就是对人的安全行为进行可视化的管理,让安全意识变成看得见、摸得着的东西。”Masha Sedova就指出,应该建设安全意识的管理体系,通过安全意识和安全行为的可视化管理平台,对员工的安全意识相关行为进行跨领域跟踪,从而最大限度的减少由于安全意识不足而引发安全事故的风险。
据悉,安全意识论坛作为RSAC主题分享万人云峰会的首场专业分论坛,由北京网络安全大会联合谷安天下举行。之后,万人云峰会还将有安全创客汇云论坛、DevSecOps论坛,分别于3月31日、4月7日在蓝信平台线上举办。
此外,作为RSAC主题分享万人云峰会的主办方,北京网络安全大会也于日前正式宣布,BCS2020将于今年8月25日在北京召开,目前正面向全球征集议题。