埃森哲安全公司最近一份報告顯示,
首席信息安全官(CISO)並未擁有足夠的權威和可見性來有效影響公司決策。CISO負責建立和發展公司安全策略。然而,埃森哲安全公司最新一項研究表明,很多公司企業並未賦予CISO所需資源,極少有CISO能有效影響公司做出改變。
埃森哲7月10日發佈的報告建立在對1460位首席級高管的訪問調查基礎上,題為《2018著眼當下保護企業未來安全》。這份36頁的報告指出,73%的受訪者認為應在整個企業範圍內分散佈置網絡安全人員並採取相應行動,然而74%的受訪者也提到,當下的網絡安全很大程度上是集中式的。
該報告最令人驚訝的發現是,只有不到1/3的CISO和業務主管在網絡安全計劃和預算上有合作。
僅40%的CISO經常與業務部門主管商談,以便在提出安全策略之前先了解業務需求。
從數據上看,高管和CISO之間尚需更好地儘早對接才能有效降低未來的網絡風險。這CISO本身也很有益處,因為隨著CISO逐漸能以更業務相關的術語闡述和傳達網絡風險,他們在公司領導層眼中的地位也會上升,也就能更有效地影響公司網絡安全決策。
影響力
需特別指出的是,該報告還發現CISO對公司業務部門的影響力很有限。這種公司層面上的影響力缺失是由多種原因造成的,比如公司高管缺乏網絡風險認知,或者CISO未能主動合作。
調查發現,僅38%的業務主管在考慮新業務機會時會將CISO納入早期規劃的討論當中,而CISO既然無從知曉這些業務,也就無從施加其網絡安全影響。另外,企業安全人員往往只負責防禦企業IT系統,但攻擊者和企業主卻是參與到公司價值鏈的方方面面的。
大多數受訪者都認為某些高層角色應充當起安全和業務部門之間的溝通橋樑。如果CISO不能持續發展其角色和關係,他們將無法發揮其職能所需的影響力。
雲計算
埃森哲報告中發現的一個網絡安全漏洞存在於雲計算領域。74%的受訪者認為雲服務提升了公司網絡風險值,僅
44%稱雲技術受到其現有網絡安全策略的防護。雖然很多安全公司設立了雲安全和雲監管項目,但安全漏洞還是可能因企業採納的加速和大範圍鋪開而讓安全團隊顧此失彼。雲提供商有很多安全功能是可以任由企業安排部署的,但近半數CISO承認,他們保護企業安全的責任增加得比自己處理安全問題的能力要快,於是出現了安全漏洞。
幫助CISO
埃森哲的研究顯示,CISO職位在大型企業中已然確立,但卻很少握有影響業務部門並建立網絡彈性所需的權威和可見性。
CISO要想成為廣受歡迎的合作者和可信合作伙伴,需得與業務部門緊密合作,保護並驅動高層設立的增長目標。網絡安全人人有責,公司企業必須在各層級員工中間廣為傳播網絡安全知識,實現為各個角色量身定製的經常性安全意識培訓。
閱讀更多 安全牛 的文章
