新研究发现,尽管网络安全参与度比以往更高,公司高管和董事会成员依然将网络安全视为技术领域而非业务问题。
大约在2015年左右,安全行业引入了新的箴言:“网络安全是个董事会议题”。这一论点受到广大独立研究机构、商业报刊文章、网络研讨会、本地会议乃至RSA和黑帽大会的支持,CISO、公司高管和企业董事会之间迅速发展的关系广受追捧。
但自那以后真的有什么东西发生改变了吗?
为了弄清楚这个问题,企业战略集团(ESG)针对北美(美国和加拿大)和西欧(英国、法国和德国)中端市场(员工数100到999名)及企业级(员工数量超过1000名)公司的365名高级业务、网络安全和IT人员进行了访问调查。
结果喜忧参半。好消息是,网络安全确实是个董事会级问题。坏消息是,网络安全问题远未得到应有的重视。举个例子:
网络安全依然被认为主要是技术问题。28%的受访者认为网络安全完全属于技术领域,同时41%的受访者称网络安全主要归属技术领域,只是在业务方面稍有侧重。值得注意的是,11%的受访者仍将网络安全视为单纯的监管合规问题。所有这些都意味着,关于网络安全的董事会级讨论全都围绕开放软件漏洞和安全事件数量等问题展开,而不是落在保护客户通信、保证员工接入,或者在关键应用和业务流程中植入网络弹性等事务上。不过是老旧问题多得了一丁点儿的关注度而已。
CISO仍被视作技术专家。仅半数受访公司企业认为CISO是公司高管,另一半受访公司企业还是将CISO视为单纯的IT职位。更有甚者,一些CISO在公司的地位比防火墙管理员也强不了多少。这些CISO根本没什么机会面见高管或董事会成员,即使偶尔被召,通常也只是回答问题而不是积极主动建言献策。
网络安全仍与企业文化相左。不到一半的(44%)的受访公司企业宣称,员工对网络安全接受良好、非常支持,另外56%则是足够支持、接受度一般,或者接受不良。也就是说,尽管CISO明确表示“网络安全人人有责”,大多数公司企业并未将之推行到普通员工中间。
业务经理几乎不承担网络安全责任。同样,仅29%的公司企业宣称非技术经理需承担网络安全职责,比如分类敏感数据、匹配员工角色与访问策略、与网络安全经理共同制定业务计划等。公司高管大多倾向于将此类事务归为需要尽快完事的照单打勾动作。
ESG报告中的这些数据反映出了网络安全的一体两面:没错,董事会和高管确实更多参与到网络安全中来了,但他们也依然没将网络安全视为“自己人”。公司高管和董事会驱动业务决策;CISO的任务是栓紧技术安全控制和扑灭安全事件。
2015年“网络安全是董事会级议题”的断言没有错:基于ESG的研究,似乎在多年忽视之后,董事会和高管最终从5年前开始关注网络安全问题了。自此,网络安全行业一直在为任何一点进步摇旗呐喊。
如果需要减肥50公斤,没人会在一个月后刚减掉5公斤的时候宣布减肥成功。不幸的是,董事会和公司高管层面上的网络安全正好处在这种尴尬的境地。绝大多数公司企业中,网络安全远未得到应有的重视,仍有许多艰苦的工作要做。
不过,数据也非全然悲观,有些公司企业就做得很好,将网络安全作为重要组件融入到公司使命、文化和战略当中。此外,一些也收获了由此带来的诸多好处,比如安全效能提升、网络安全投资回报率增长、业务灵活性增强等等。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
