企业安全股什么?
“安全股”这个概念是相对较新,最早出现在2015年Gartner发布的报告《The 2015 IT Security Market Landscape》中,当时Gartner就提出了安全服务的行业分类: 图中显示的五大安全技术领域分别为:信息安全规划与指导(Information security strategy and direction)、业务连续性管理(Business continuity management)、风险管理与合规性(Risk management and compliance)、安全运营(Security operations)和安全能力成熟度模型(Security talent maturity)。
时至今日,这五大技术领域没有发生本质上的变化,但每个领域下面分别加了子领域,形成现在如下图的样子: Gartner在定义这些技术领域和子领域的边界时,主要考虑的因素是市场占有率、收入情况和客户满意度等(见图3)。需要指出的是,虽然五个技术领域都是业界公认的,但是各个技术领域的收入情况并不均衡,风险管理和合规性的收入最高,达到87亿美元,其次是业务连续性和安全运营,而信息安全规划和指导、安全能力成熟度和安全自动化三个领域的收入都在10亿美元以下。
除了Gartner外,Forrester也认为安全运营是一个独立的技术领域,并在最近发布的报告中将其列为最重要的一个安全领域。 Forrester把安全能力分为三类,每类各自有一组具体的能力指标,构成安全能力的“三角形”,三角形的每一个顶点代表一组重要的安全能力指标,而三条边代表安全管理体系在风险管理、安全建设和安全运营三个不同阶段应实现的目标。
按照Forrester的定义,要实现安全建设必须满足5条关键指标,包括建立安全组织、定义安全策略、制定安全目标、实施风险评估和数据收集、进行漏洞扫描和风险评估;而要达成安全运营的要求则须具备14项指标,包括监视系统运行状况、识别安全风险和威胁、执行修复程序、调查安全事件及跟踪纠正措施、管理配置、记录和安全审计等等。 可以看到,无论是Gartner还是Forrester都强调安全运营的重要性,而且将安全运营的许多具体能力和要求都列了出来,这正是我在这本书中阐述的内容,因此从我的角度来讲非常赞同安全运营作为一个独立技术领域的观点。
至于为什么把安全运营单独拿出来作为一个新的技术领域而不像之前Gartner那样将其归入到风险管理与合规性或安全能力成熟度模型中,我想也许是因为安全运营更强调的是一种动态的控制能力而不是被动的风险规避。