網(wǎng)絡(luò)安全作為一項(xiàng)戰(zhàn)略投資
在安永美國最新的C級(jí)網(wǎng)絡(luò)安全研究中,84%的高管表示他們的公司在過去三年內(nèi)遭遇過網(wǎng)絡(luò)事件。安永美國對(duì)羅素3000家公司的另一項(xiàng)審查發(fā)現(xiàn),在遭受網(wǎng)絡(luò)攻擊后,公司的股價(jià)在接下來的90天內(nèi)平均下跌1.5%,這顯示了這些攻擊對(duì)公司價(jià)值造成的巨大傷害。
安永調(diào)查了800名美國高管關(guān)于網(wǎng)絡(luò)安全的問題,其中包括300名CISO和500名其他C級(jí)領(lǐng)導(dǎo)者。該調(diào)查研究了公司的支出情況、他們看到的新威脅以及他們的準(zhǔn)備程度。結(jié)果發(fā)現(xiàn),CISO比其他高管更為擔(dān)憂,66%的CISO表示他們面臨的威脅比其防御措施更為先進(jìn),只有56%的其他C級(jí)領(lǐng)導(dǎo)者持相同看法。
安永美洲網(wǎng)絡(luò)安全負(fù)責(zé)人Jim Guinn二世表示:“公司需要超越‘走過場(chǎng)’的心態(tài),將網(wǎng)絡(luò)安全視為一項(xiàng)戰(zhàn)略投資,而不僅僅是成本中心。‘現(xiàn)在是時(shí)候抓住問題的關(guān)鍵,不僅為網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者爭(zhēng)取資源,還要爭(zhēng)取權(quán)力,以建立真正具有韌性的企業(yè),不作為的成本太高了。’”
CISO與其他C級(jí)領(lǐng)導(dǎo)者之間的分歧可能會(huì)使公司面臨風(fēng)險(xiǎn)
CISO更有可能認(rèn)為高層領(lǐng)導(dǎo)沒有充分認(rèn)識(shí)到網(wǎng)絡(luò)威脅的嚴(yán)重性,約68%的CISO表示高層管理人員低估了危險(xiǎn),只有57%的其他C級(jí)領(lǐng)導(dǎo)者表示同意。
這兩組人員還對(duì)過去網(wǎng)絡(luò)事件的肇事者存在分歧。更多CISO(57%)表示網(wǎng)絡(luò)犯罪分子是罪魁禍?zhǔn)祝啾戎拢挥?7%的其他高管持此觀點(diǎn)。CISO也更有可能指出內(nèi)部威脅——47%的人表示他們?cè)l(fā)生過由員工引發(fā)的網(wǎng)絡(luò)事件,而只有31%的其他C級(jí)人員表示同意。這些分歧可能會(huì)使公司更難為未來的攻擊做好準(zhǔn)備。
CISO和其他高管在看待投資的影響方面也存在差異。四分之三的CISO表示人工智能有助于減少網(wǎng)絡(luò)事件,而較少的非安全高管持相同看法。與此同時(shí),77%的非安全高管認(rèn)為員工培訓(xùn)降低了事件數(shù)量,相比之下,只有69%的CISO表示同意。
行動(dòng)呼吁
Guinn表示:“CISO看到了日益加劇的威脅和漏洞,而C級(jí)領(lǐng)導(dǎo)者往往認(rèn)為網(wǎng)絡(luò)安全問題已得到處理。‘網(wǎng)絡(luò)安全事件除了直接的恢復(fù)成本外,還會(huì)帶來重大且深遠(yuǎn)的財(cái)務(wù)影響。我們的研究再次強(qiáng)調(diào)了領(lǐng)導(dǎo)者攜手合作、制定全面的網(wǎng)絡(luò)安全戰(zhàn)略的迫切需求,以應(yīng)對(duì)不斷演變的威脅環(huán)境,包括明確的溝通、對(duì)風(fēng)險(xiǎn)和機(jī)遇的共同理解以及投資的重點(diǎn)領(lǐng)域。’”
盡管關(guān)鍵分歧帶來了風(fēng)險(xiǎn),但也有一線希望,即投資正在增加。雖然21%的C級(jí)領(lǐng)導(dǎo)者表示他們的組織目前在網(wǎng)絡(luò)安全方面的投資占IT預(yù)算(網(wǎng)絡(luò)安全屬于該預(yù)算)的10%以上,但這一數(shù)字預(yù)計(jì)明年將大致翻倍至38%。
為了在高網(wǎng)絡(luò)風(fēng)險(xiǎn)和動(dòng)蕩的經(jīng)濟(jì)條件下最大限度地利用這筆追加資金,Guinn和安永美國網(wǎng)絡(luò)安全團(tuán)隊(duì)建議如下:
• 提升CISO的角色:將CISO確立為負(fù)責(zé)組織安全態(tài)勢(shì)的職位,賦予其推動(dòng)戰(zhàn)略安全舉措和影響關(guān)鍵業(yè)務(wù)決策的權(quán)力。
• 戰(zhàn)略投資:使網(wǎng)絡(luò)安全投資與組織的整體業(yè)務(wù)目標(biāo)和風(fēng)險(xiǎn)承受能力保持一致,確保資源得到有效分配,以應(yīng)對(duì)最嚴(yán)重的威脅。
• 擁抱創(chuàng)新:繼續(xù)審查和采用網(wǎng)絡(luò)安全的新技術(shù)和方法,包括人工智能和機(jī)器學(xué)習(xí),以增強(qiáng)威脅檢測(cè)和響應(yīng)能力。
• 培養(yǎng)網(wǎng)絡(luò)安全文化:在整個(gè)企業(yè)的各個(gè)層面推廣網(wǎng)絡(luò)安全意識(shí)和責(zé)任文化,使員工能夠識(shí)別和報(bào)告潛在威脅。
企業(yè)網(wǎng)D1net(m.hfnxjk.com):
國內(nèi)主流的to B IT門戶,旗下運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。