9月24日，安永發(fā)布《2021安永全球信息安全調(diào)查報(bào)告》（以下簡(jiǎn)稱“報(bào)告”）,。報(bào)告顯示,，在1400多名首席信息安全官和高級(jí)安全主管中，55%的受訪者稱在其職業(yè)生涯中,，如今是網(wǎng)絡(luò)安全最受重視的階段,。

　　不過(guò)，盡管超七成受訪者認(rèn)為過(guò)去12個(gè)月里破壞性網(wǎng)絡(luò)攻擊數(shù)量持續(xù)上升,，仍有56%的受訪者表示管理層制定緊急戰(zhàn)略決策時(shí)不會(huì)或很晚才會(huì)咨詢網(wǎng)絡(luò)安全團(tuán)隊(duì),。

　　文 / 樊文揚(yáng)

　　9月24日，安永發(fā)布《2021安永全球信息安全調(diào)查報(bào)告》（以下簡(jiǎn)稱“報(bào)告”）,。報(bào)告顯示,，在1400多名首席信息安全官和高級(jí)安全主管中，55%的受訪者稱在其職業(yè)生涯中,，如今是網(wǎng)絡(luò)安全最受重視的階段,。

　　不過(guò)，盡管超七成受訪者認(rèn)為過(guò)去12個(gè)月里破壞性網(wǎng)絡(luò)攻擊數(shù)量持續(xù)上升,，仍有56%的受訪者表示管理層制定緊急戰(zhàn)略決策時(shí)不會(huì)或很晚才會(huì)咨詢網(wǎng)絡(luò)安全團(tuán)隊(duì),。

　　過(guò)半受訪者：如今是網(wǎng)絡(luò)安全最受重視的階段

　　自2020年新冠疫情爆發(fā)以來(lái)，長(zhǎng)期遠(yuǎn)程工作數(shù)量不斷增加,，高破壞性,、高復(fù)雜度的全球網(wǎng)絡(luò)攻擊增長(zhǎng)迅速，企業(yè)急需應(yīng)對(duì)更加嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境,。辦公場(chǎng)景的迅速變革推動(dòng)了云計(jì)算等技術(shù)的廣泛普及,，然而也留下了諸多未能解決的網(wǎng)絡(luò)安全漏洞。

　　上述報(bào)告以3月至5月針對(duì)來(lái)自1010家企業(yè)的1400多名首席信息安全官和高級(jí)安全主管展開(kāi)的調(diào)查為基礎(chǔ),，探討了網(wǎng)絡(luò)安全職能部門(mén)在成為業(yè)務(wù)發(fā)展推動(dòng)力和業(yè)務(wù)戰(zhàn)略合作伙伴過(guò)程中所面臨的挑戰(zhàn)與解決措施,。

　　報(bào)告顯示,，77%的受訪者認(rèn)為,，在過(guò)去12個(gè)月里破壞性網(wǎng)絡(luò)攻擊數(shù)量持續(xù)上升,，相較于去年持有此觀點(diǎn)的人數(shù)上升了18%。盡管如此,，網(wǎng)絡(luò)安全也仍然被很多企業(yè)所輕視,，56%的受訪者表示管理層制定緊急戰(zhàn)略決策時(shí)不會(huì)或很晚才會(huì)咨詢網(wǎng)絡(luò)安全團(tuán)隊(duì)，43%表示其對(duì)能否控制住本可以避免的網(wǎng)絡(luò)威脅十分擔(dān)憂,。

　　“現(xiàn)實(shí)情況就是,，當(dāng)下的威脅數(shù)量已遠(yuǎn)甚以往?！卑灿烂乐迏^(qū)網(wǎng)絡(luò)安全咨詢業(yè)務(wù)主管合伙人戴夫·伯格（Dave Burg）表示,，“這種現(xiàn)象的出現(xiàn)是受到勒索軟件商業(yè)模式的推動(dòng)，而事實(shí)也證明了這種模式非常有效,?！?/p>

　　據(jù)今年6月安恒信息威脅情報(bào)中心獵影實(shí)驗(yàn)室發(fā)布的《2021年上半年全球勒索軟件趨勢(shì)報(bào)告》顯示，據(jù)不完全統(tǒng)計(jì),，2021年上半年至少發(fā)生了1200起勒索軟件攻擊事件,，而2020年已知公布的數(shù)量約為1420起，同時(shí)平均贖金自去年的四十萬(wàn)美元提高到今年的八十萬(wàn)美元,。

　　隨著全球網(wǎng)絡(luò)攻擊呈現(xiàn)新形式,、新特征，網(wǎng)絡(luò)安全從業(yè)人員也對(duì)其應(yīng)對(duì)風(fēng)險(xiǎn)的能力持保守態(tài)度,。報(bào)告數(shù)據(jù)表明,，33%的受訪者有信心確保供應(yīng)鏈具備嚴(yán)密防御攻擊者及從攻擊中恢復(fù)的能力，35%能確保第三方及時(shí)披露其遭受的攻擊,，47%稱其了解并能夠預(yù)測(cè)攻擊者使用的新策略,。

　　面對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷增長(zhǎng)的態(tài)勢(shì)，企業(yè)也開(kāi)始重視網(wǎng)絡(luò)安全職能部門(mén)的保護(hù)能力,。55%的受訪者稱在其職業(yè)生涯中,，如今是網(wǎng)絡(luò)安全最受重視的階段，57%則認(rèn)為危機(jī)能為網(wǎng)絡(luò)安全職能部門(mén)提供發(fā)展機(jī)會(huì),。此外,，約39%的企業(yè)已將網(wǎng)絡(luò)安全列入季度董事會(huì)議程，相較于2020年這一比例上升了10%,。

　　“多頭監(jiān)管”帶來(lái)更嚴(yán)峻的合規(guī)挑戰(zhàn)

　　首席信息安全官和高級(jí)安全主管作為“業(yè)務(wù)增長(zhǎng)和戰(zhàn)略合作伙伴的推動(dòng)者”,，在新冠肺炎疫情引發(fā)的一系列網(wǎng)絡(luò)威脅事件中，還存在制約其行動(dòng)的三大挑戰(zhàn),。

　　第一,，當(dāng)下的網(wǎng)絡(luò)安全部門(mén)資金與需求仍存在較大差距，主要體現(xiàn)為預(yù)算與需求不同步和因成本削減降低了安全抵御能力。報(bào)告顯示,，調(diào)查中的受訪企業(yè)去年平均收入約110億美元,，每年在網(wǎng)絡(luò)安全方面的平均支出為528萬(wàn)美元，僅占收入的0.05%,。

　　同時(shí),，企業(yè)在該方面預(yù)算不足且不靈活可能降低其網(wǎng)絡(luò)安全防御能力。約39%受訪者認(rèn)為網(wǎng)絡(luò)安全支出沒(méi)有充分計(jì)入戰(zhàn)略投資成本,；36%的受訪者表示,，如果不在網(wǎng)絡(luò)安全防御方面適當(dāng)投資，企業(yè)遲早會(huì)遭受本可以避免的重大破壞,；另有39%則指出其企業(yè)網(wǎng)絡(luò)安全預(yù)算低于過(guò)去12個(gè)月應(yīng)對(duì)新挑戰(zhàn)所需的預(yù)算,。

　　在企業(yè)急于尋求業(yè)務(wù)轉(zhuǎn)型，不斷縮緊網(wǎng)絡(luò)安全預(yù)算的情況下,，約56%預(yù)算不足的企業(yè)不得不重新調(diào)整其網(wǎng)絡(luò)安全要求,，而44%的受訪者也只能通過(guò)優(yōu)化舊架構(gòu)和舊系統(tǒng)以削減成本。

　　第二,，“多頭監(jiān)管”為企業(yè)帶來(lái)了更嚴(yán)峻的合規(guī)挑戰(zhàn),。首先，面對(duì)全球越發(fā)復(fù)雜的監(jiān)管合規(guī)要求,，企業(yè)需投入更多的資源與時(shí)間,，近一半受訪者稱確保合規(guī)壓力很大，近六成受訪者預(yù)測(cè)監(jiān)管在未來(lái)幾年將更趨多樣化,；其次,，首席信息安全官在預(yù)算層面對(duì)合規(guī)較多持悲觀態(tài)度，35%受訪者認(rèn)為合規(guī)有利于企業(yè)推動(dòng)正確的關(guān)注重點(diǎn)與行動(dòng),，而認(rèn)為能通過(guò)監(jiān)管向董事會(huì)成功申請(qǐng)到額外預(yù)算的人不足五分之一,，相較于去年有所下降。

　　第三,，網(wǎng)絡(luò)安全管理人員與其他職能之間的關(guān)系有待改善,。作為需在投資決策最初階段提供咨詢建議的部門(mén)人員，首席信息安全官與業(yè)務(wù)高層關(guān)系薄弱,，58%受訪者指出企業(yè)有時(shí)在實(shí)施新技術(shù)時(shí)未留出足夠時(shí)間進(jìn)行網(wǎng)絡(luò)安全評(píng)估或監(jiān)督,，81%的企業(yè)繞過(guò)網(wǎng)絡(luò)安全流程，在新業(yè)務(wù)的規(guī)劃階段未咨詢網(wǎng)絡(luò)安全團(tuán)隊(duì),。

　　此外,，41%、28%的受訪者分別認(rèn)為其與市場(chǎng)營(yíng)銷職能部門(mén),、業(yè)務(wù)方的關(guān)系亟需進(jìn)一步改善與鞏固,，相較去年這一比例均有所提高,。事實(shí)上，網(wǎng)絡(luò)安全部門(mén)與業(yè)務(wù)線,、市場(chǎng)營(yíng)銷部門(mén)等離自身所在的規(guī)劃周期較近的部門(mén)關(guān)系是消極的,，意味著其在需要建立穩(wěn)固關(guān)系的地方，關(guān)系卻最為脆弱,。

　　建議：加強(qiáng)合作、招攬人才,、建立聯(lián)系

　　報(bào)告指出,，首席信息安全官應(yīng)在企業(yè)中扮演更具戰(zhàn)略性和商業(yè)意義的角色，將團(tuán)隊(duì)重塑為企業(yè)轉(zhuǎn)型的推動(dòng)者,。為了讓這一職能部門(mén)的貢獻(xiàn)得到廣泛認(rèn)可,，報(bào)告從核心業(yè)務(wù)、人才畫(huà)像,、利益關(guān)系三個(gè)角度提出了解決措施,，以提高在企業(yè)中的地位。

　　一是重新評(píng)估首席信息安全官與業(yè)務(wù)的一致性,，把握“最真實(shí)的情況”,。網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)更多重視過(guò)去較為薄弱的網(wǎng)絡(luò)安全要素，加強(qiáng)與利益相關(guān)者的合作,，確保與核心業(yè)務(wù)目標(biāo)保持一致,，并評(píng)估其業(yè)務(wù)合作伙伴對(duì)安全服務(wù)的性能和交付的滿意度。

　　二是以求真務(wù)實(shí)的態(tài)度審視首席信息安全官的人才畫(huà)像,。為應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊,，首席信息安全官需要全能復(fù)合型專業(yè)人士的支持，既要具備先進(jìn)的技術(shù)技能,，還要有建立跨部門(mén)協(xié)作的能力以發(fā)現(xiàn)新興威脅和防御系統(tǒng)的漏洞和缺陷,。因此，要在理解每個(gè)學(xué)科自身優(yōu)劣勢(shì)的基礎(chǔ)上,，建立一個(gè)各學(xué)科百花齊放的團(tuán)隊(duì),。

　　三是與新的利益相關(guān)者建立聯(lián)系，將自身置于四個(gè)關(guān)鍵利益相關(guān)者的中心位置,。從前首席信息安全官主要堅(jiān)持在轉(zhuǎn)型和產(chǎn)品開(kāi)發(fā)生命周期的初期就嵌入網(wǎng)絡(luò)安全的原則,，如今則需引導(dǎo)四個(gè)方面的關(guān)鍵利益。其一側(cè)重報(bào)告和問(wèn)責(zé)制,，其二側(cè)重認(rèn)證,、鑒證以及監(jiān)管要求映射，其三提高標(biāo)準(zhǔn)和增強(qiáng)測(cè)試,，最后注重認(rèn)證和持續(xù)測(cè)試,。