被動的安全戰略給首席信息安全官帶來巨大挑戰

今天，F5 Networks在新加坡國際網絡周上發布一份全麵的全球報告，分析了首席信息安全官這一角色的作用以及全球企業為應對當今不斷演進的威脅環境所采取的 IT 安全方法。報告發現，隨著 IT 安全問題不斷成為企業的當務之急，首席信息安全官在企業內的影響力不斷提高。但是許多企業的安全戰略仍在很大程度上十分被動，並且與業務部門缺乏融合。

該調查由波耐蒙研究所實施，報告結果基於對七個國家（美國、英國、德國、巴西、墨西哥、印度和中國）184 家公司的高級 IT 安全專家的訪談得出。

F5 首席信息安全官 Mike Convertino 表示：“該研究為首席信息安全官如何應對當今挑戰重重的威脅環境提供了獨特視角。很明顯，首席信息安全官在行使安全職能和領導角色方麵有所改善，但很多企業的 IT 安全部門仍然沒有主動發揮應有的戰略性作用，以全麵保護資產和防禦日益複雜的頻繁攻擊。”

主要調查成果

• 首席信息安全官的責任加大 —雖然首席信息安全官在公司高級管理層中的影響力不一，但在管理企業網絡安全風險方麵的話語權不斷提高。68% 的受訪者表示首席信息安全官在所有 IT 安全支出方麵具有最終決定權，64% 的受訪者表示他們在公司內對所有安全支出具有直接影響力和權威。87% 的受訪者表示 IT 安全預算明顯提升 (18%)、有所改善 (29%) 或者沒有變化 (40%)。

• 與業務部門缺乏融合 —IT 戰略覆蓋整個公司的比例仍然非常低。58% 的受訪者表示 IT 安全是一個獨立的職能部門，隻有 22% 的受訪者表示 IT 安全與其他業務團隊互相融合，同時 45% 的受訪者反映其安全職能部門沒有明確的責任範圍。75% 的受訪者表示由於與業務部門缺乏有效的融合，豎井問題對 IT 安全策略和戰略產生了重大影響 (36%) 或部分影響 (39%)。

• 對安全問題重要性的認識是被動的 —60% 的受訪者表示其企業認為安全問題是首要業務問題，但隻有 51% 的受訪者指出其公司具有 IT 安全戰略，其中隻有 43% 表示 IT 戰略得到了其他高管的評估、讚成和支持。結果顯示企業安全計劃所發生的變化大部分是被動的，並且隻有重大數據泄漏 (45%) 和網絡安全漏洞利用 (43%) 這兩大威脅得到了其他高管的關注。

• 危機事件才會引起領導層的關注 —65% 的受訪者表示首席信息安全官能夠與其他高管直接溝通，但鮮與企業就所有威脅問題展開戰略性討論。46% 的受訪者承認僅在發生重大數據泄露和重大網絡攻擊時與首席執行官和董事會溝通，隻有 19% 的受訪者向首席執行官和董事會匯報所有數據泄露事故。

• 人工智能是潛在的人力問題解決方案 —IT 安全人才短缺問題仍然是亟需首席信息安全官解決的突出問題。IT 安全員工平均人數將在未來兩年內從 19% 增長至 32%。接近一半的受訪者 (42%) 認為其現有人員配置捉襟見肘。58% 的受訪者表示他們很難招聘到合格的安全員工，其中最大的挑戰在於無法識別和招聘高素質候選人 (56%) 以及無法提供市場水平對應的薪資 (48%)。這些挑戰促使公司尋求其他解決方案 — 一半 (50%) 的受訪者認為計算機學習和人工智能能夠解決人手短缺問題，同時 70% 的受訪者認為這些技術在未來兩年內對他們的 IT 安全職能部門十分重要。