根据BSS公司发布的《信息安全成熟度报告》,在受访的182名安全主管中,只有一半以上企业的安全预算比去年有所增加,尽管与前一年发布的报告相比,安全预算增长幅度较低。报告发现,导致支出增加的关键因素包括网络威胁形势的演变(39%)、跟上同行的步伐(21%)以及在招聘和培训方面的投资(18%)。
备受瞩目的网络攻击事件之后,首席信息安全官获得的预算大幅增加
根据BSS公司发布的名为《首席信息安全官如何在充满挑战的环境中取得成功》报告,总体而言,在BSS公司调查的安全主管中,61%的受访者表示他们的安全预算有所增加,其中年度安全预算在50万至100万英镑之间的首席信息安全官比例最高(73%)。大多数首席信息安全官表示,其平均增幅在10%到30%之间。报告称,或许最能说明问题的是,78%的首席信息安全官表示,在发生数据泄露和勒索软件攻击等引人注目的网络攻击事件之后,他们获得了额外的预算,这标志着企业对信息安全的态度正在发生变化。
然而BSS公司表示,由于预算增加,超过一半(55%)的首席信息安全官不得不将这些资金用于解决媒体报道的安全问题,而不是做出更具策略性的业务决策。BSS公司安全主管Chris Wilkinson表示,这通常是预算持有者在不完全了解企业面临的威胁时具有不切实际的期望的表现。他说,“我们的研究表明,更广泛的企业对当前的威胁形势以及预算应该花在哪里缺乏了解,这是一个问题。”
网络安全不是企业董事会的首要议程,而首席信息安全官在董事会中缺乏发言权
研究报告指出,网络安全问题在企业董事会议程上往往不够重要,加剧了这一问题。只有9%的首席信息安全官表示,信息安全始终是企业董事会议程的三大优先事项之一,不到四分之一(22%)的首席信息安全官积极参与业务战略和决策过程。
BSS公司表示,为了实现这一转变,首席信息安全官需要利用安全意识的提高来发挥自己的优势。报告称:“对于安全部门领导者来说,这是一个很好的机会,可以让企业董事会了解最严重的威胁,以及这些威胁如果不加以解决可能对业务造成的影响。”
对于首席信息安全官来说,以一种富有成效的方式与企业董事会讨论网络安全问题可能是一项重大挑战,如果不能有效地做到这一点,可能会导致企业董事、安全职能部门和企业其他部门之间的混乱、幻灭以及缺乏凝聚力。首席信息安全官在向企业董事会沟通时经常犯的错误包括使用过于技术性的安全语言,关注错误的威胁影响,未能为潜在问题做好准备,以及依赖开箱即用的网络风险报告。
今年3月,英国国家网络安全中心(NCSC)发布了《董事会网络安全工具包》,其中包括旨在帮助企业董事会成员更有效地了解和管理网络风险的资源。
关于企业网D1net(www.d1net.com):
国内主流的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营19个IT行业公众号(微信搜索D1net即可关注)
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号