《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 投入少,、合規(guī)難,、聯(lián)系弱,報告詳解首席信息安全官三大挑戰(zhàn)

投入少,、合規(guī)難,、聯(lián)系弱,報告詳解首席信息安全官三大挑戰(zhàn)

2021-09-27
來源:數(shù)字科技說
關(guān)鍵詞: 信息安全 三大挑戰(zhàn)

  9月24日,,安永發(fā)布《2021安永全球信息安全調(diào)查報告》(以下簡稱“報告”),。報告顯示,在1400多名首席信息安全官和高級安全主管中,,55%的受訪者稱在其職業(yè)生涯中,,如今是網(wǎng)絡(luò)安全最受重視的階段。

  不過,,盡管超七成受訪者認(rèn)為過去12個月里破壞性網(wǎng)絡(luò)攻擊數(shù)量持續(xù)上升,,仍有56%的受訪者表示管理層制定緊急戰(zhàn)略決策時不會或很晚才會咨詢網(wǎng)絡(luò)安全團(tuán)隊。

  文 / 樊文揚

  9月24日,,安永發(fā)布《2021安永全球信息安全調(diào)查報告》(以下簡稱“報告”),。報告顯示,在1400多名首席信息安全官和高級安全主管中,,55%的受訪者稱在其職業(yè)生涯中,,如今是網(wǎng)絡(luò)安全最受重視的階段。

  不過,,盡管超七成受訪者認(rèn)為過去12個月里破壞性網(wǎng)絡(luò)攻擊數(shù)量持續(xù)上升,,仍有56%的受訪者表示管理層制定緊急戰(zhàn)略決策時不會或很晚才會咨詢網(wǎng)絡(luò)安全團(tuán)隊。

  過半受訪者:如今是網(wǎng)絡(luò)安全最受重視的階段

  自2020年新冠疫情爆發(fā)以來,,長期遠(yuǎn)程工作數(shù)量不斷增加,,高破壞性、高復(fù)雜度的全球網(wǎng)絡(luò)攻擊增長迅速,,企業(yè)急需應(yīng)對更加嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境,。辦公場景的迅速變革推動了云計算等技術(shù)的廣泛普及,然而也留下了諸多未能解決的網(wǎng)絡(luò)安全漏洞,。

  上述報告以3月至5月針對來自1010家企業(yè)的1400多名首席信息安全官和高級安全主管展開的調(diào)查為基礎(chǔ),,探討了網(wǎng)絡(luò)安全職能部門在成為業(yè)務(wù)發(fā)展推動力和業(yè)務(wù)戰(zhàn)略合作伙伴過程中所面臨的挑戰(zhàn)與解決措施,。

  報告顯示,77%的受訪者認(rèn)為,,在過去12個月里破壞性網(wǎng)絡(luò)攻擊數(shù)量持續(xù)上升,,相較于去年持有此觀點的人數(shù)上升了18%。盡管如此,,網(wǎng)絡(luò)安全也仍然被很多企業(yè)所輕視,,56%的受訪者表示管理層制定緊急戰(zhàn)略決策時不會或很晚才會咨詢網(wǎng)絡(luò)安全團(tuán)隊,43%表示其對能否控制住本可以避免的網(wǎng)絡(luò)威脅十分擔(dān)憂,。

  “現(xiàn)實情況就是,,當(dāng)下的威脅數(shù)量已遠(yuǎn)甚以往?!卑灿烂乐迏^(qū)網(wǎng)絡(luò)安全咨詢業(yè)務(wù)主管合伙人戴夫·伯格(Dave Burg)表示,,“這種現(xiàn)象的出現(xiàn)是受到勒索軟件商業(yè)模式的推動,而事實也證明了這種模式非常有效,?!?/p>

  據(jù)今年6月安恒信息威脅情報中心獵影實驗室發(fā)布的《2021年上半年全球勒索軟件趨勢報告》顯示,據(jù)不完全統(tǒng)計,,2021年上半年至少發(fā)生了1200起勒索軟件攻擊事件,,而2020年已知公布的數(shù)量約為1420起,同時平均贖金自去年的四十萬美元提高到今年的八十萬美元,。

  隨著全球網(wǎng)絡(luò)攻擊呈現(xiàn)新形式,、新特征,網(wǎng)絡(luò)安全從業(yè)人員也對其應(yīng)對風(fēng)險的能力持保守態(tài)度,。報告數(shù)據(jù)表明,,33%的受訪者有信心確保供應(yīng)鏈具備嚴(yán)密防御攻擊者及從攻擊中恢復(fù)的能力,35%能確保第三方及時披露其遭受的攻擊,,47%稱其了解并能夠預(yù)測攻擊者使用的新策略,。

  面對網(wǎng)絡(luò)安全風(fēng)險不斷增長的態(tài)勢,企業(yè)也開始重視網(wǎng)絡(luò)安全職能部門的保護(hù)能力,。55%的受訪者稱在其職業(yè)生涯中,,如今是網(wǎng)絡(luò)安全最受重視的階段,57%則認(rèn)為危機(jī)能為網(wǎng)絡(luò)安全職能部門提供發(fā)展機(jī)會,。此外,,約39%的企業(yè)已將網(wǎng)絡(luò)安全列入季度董事會議程,相較于2020年這一比例上升了10%,。

  “多頭監(jiān)管”帶來更嚴(yán)峻的合規(guī)挑戰(zhàn)

  首席信息安全官和高級安全主管作為“業(yè)務(wù)增長和戰(zhàn)略合作伙伴的推動者”,,在新冠肺炎疫情引發(fā)的一系列網(wǎng)絡(luò)威脅事件中,還存在制約其行動的三大挑戰(zhàn)

  第一,,當(dāng)下的網(wǎng)絡(luò)安全部門資金與需求仍存在較大差距,,主要體現(xiàn)為預(yù)算與需求不同步和因成本削減降低了安全抵御能力。報告顯示,,調(diào)查中的受訪企業(yè)去年平均收入約110億美元,,每年在網(wǎng)絡(luò)安全方面的平均支出為528萬美元,僅占收入的0.05%,。

  同時,企業(yè)在該方面預(yù)算不足且不靈活可能降低其網(wǎng)絡(luò)安全防御能力,。約39%受訪者認(rèn)為網(wǎng)絡(luò)安全支出沒有充分計入戰(zhàn)略投資成本,;36%的受訪者表示,如果不在網(wǎng)絡(luò)安全防御方面適當(dāng)投資,,企業(yè)遲早會遭受本可以避免的重大破壞,;另有39%則指出其企業(yè)網(wǎng)絡(luò)安全預(yù)算低于過去12個月應(yīng)對新挑戰(zhàn)所需的預(yù)算。

  在企業(yè)急于尋求業(yè)務(wù)轉(zhuǎn)型,,不斷縮緊網(wǎng)絡(luò)安全預(yù)算的情況下,,約56%預(yù)算不足的企業(yè)不得不重新調(diào)整其網(wǎng)絡(luò)安全要求,而44%的受訪者也只能通過優(yōu)化舊架構(gòu)和舊系統(tǒng)以削減成本,。

  第二,,“多頭監(jiān)管”為企業(yè)帶來了更嚴(yán)峻的合規(guī)挑戰(zhàn)。首先,,面對全球越發(fā)復(fù)雜的監(jiān)管合規(guī)要求,,企業(yè)需投入更多的資源與時間,近一半受訪者稱確保合規(guī)壓力很大,,近六成受訪者預(yù)測監(jiān)管在未來幾年將更趨多樣化,;其次,首席信息安全官在預(yù)算層面對合規(guī)較多持悲觀態(tài)度,,35%受訪者認(rèn)為合規(guī)有利于企業(yè)推動正確的關(guān)注重點與行動,,而認(rèn)為能通過監(jiān)管向董事會成功申請到額外預(yù)算的人不足五分之一,相較于去年有所下降,。

  第三,,網(wǎng)絡(luò)安全管理人員與其他職能之間的關(guān)系有待改善。作為需在投資決策最初階段提供咨詢建議的部門人員,,首席信息安全官與業(yè)務(wù)高層關(guān)系薄弱,,58%受訪者指出企業(yè)有時在實施新技術(shù)時未留出足夠時間進(jìn)行網(wǎng)絡(luò)安全評估或監(jiān)督,81%的企業(yè)繞過網(wǎng)絡(luò)安全流程,,在新業(yè)務(wù)的規(guī)劃階段未咨詢網(wǎng)絡(luò)安全團(tuán)隊,。

  此外,41%、28%的受訪者分別認(rèn)為其與市場營銷職能部門,、業(yè)務(wù)方的關(guān)系亟需進(jìn)一步改善與鞏固,,相較去年這一比例均有所提高。事實上,,網(wǎng)絡(luò)安全部門與業(yè)務(wù)線,、市場營銷部門等離自身所在的規(guī)劃周期較近的部門關(guān)系是消極的,意味著其在需要建立穩(wěn)固關(guān)系的地方,,關(guān)系卻最為脆弱,。

  建議:加強(qiáng)合作、招攬人才,、建立聯(lián)系

  報告指出,,首席信息安全官應(yīng)在企業(yè)中扮演更具戰(zhàn)略性和商業(yè)意義的角色,將團(tuán)隊重塑為企業(yè)轉(zhuǎn)型的推動者,。為了讓這一職能部門的貢獻(xiàn)得到廣泛認(rèn)可,,報告從核心業(yè)務(wù)、人才畫像,、利益關(guān)系三個角度提出了解決措施,,以提高在企業(yè)中的地位。

  一是重新評估首席信息安全官與業(yè)務(wù)的一致性,,把握“最真實的情況”,。網(wǎng)絡(luò)安全團(tuán)隊?wèi)?yīng)更多重視過去較為薄弱的網(wǎng)絡(luò)安全要素,加強(qiáng)與利益相關(guān)者的合作,,確保與核心業(yè)務(wù)目標(biāo)保持一致,,并評估其業(yè)務(wù)合作伙伴對安全服務(wù)的性能和交付的滿意度。

  二是以求真務(wù)實的態(tài)度審視首席信息安全官的人才畫像,。為應(yīng)對復(fù)雜的網(wǎng)絡(luò)攻擊,,首席信息安全官需要全能復(fù)合型專業(yè)人士的支持,既要具備先進(jìn)的技術(shù)技能,,還要有建立跨部門協(xié)作的能力以發(fā)現(xiàn)新興威脅和防御系統(tǒng)的漏洞和缺陷,。因此,要在理解每個學(xué)科自身優(yōu)劣勢的基礎(chǔ)上,,建立一個各學(xué)科百花齊放的團(tuán)隊,。

  三是與新的利益相關(guān)者建立聯(lián)系,將自身置于四個關(guān)鍵利益相關(guān)者的中心位置,。從前首席信息安全官主要堅持在轉(zhuǎn)型和產(chǎn)品開發(fā)生命周期的初期就嵌入網(wǎng)絡(luò)安全的原則,,如今則需引導(dǎo)四個方面的關(guān)鍵利益。其一側(cè)重報告和問責(zé)制,,其二側(cè)重認(rèn)證,、鑒證以及監(jiān)管要求映射,,其三提高標(biāo)準(zhǔn)和增強(qiáng)測試,最后注重認(rèn)證和持續(xù)測試,。




本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected],。