埃森哲:首席信息安全官CISO难以影响公司决策

CISO难以影响公司决策

埃森哲安全公司最近一份报告显示,首席信息安全官(CISO)并未拥有足够的权威和可见性来有效影响公司决策。

CISO负责建立和发展公司安全策略。然而,埃森哲安全公司最新一项研究表明,很多公司企业并未赋予CISO所需资源,极少有CISO能有效影响公司做出改变。

埃森哲7月10日发布的报告建立在对1460位首席级高管的访问调查基础上,题为《2018着眼当下保护企业未来安全》。这份36页的报告指出,73%的受访者认为应在整个企业范围内分散布置网络安全人员并采取相应行动,然而74%的受访者也提到,当下的网络安全很大程度上是集中式的。

该报告最令人惊讶的发现是,只有不到1/3的CISO和业务主管在网络安全计划和预算上有合作。

仅40%的CISO经常与业务部门主管商谈,以便在提出安全策略之前先了解业务需求。

从数据上看,高管和CISO之间尚需更好地尽早对接才能有效降低未来的网络风险。这CISO本身也很有益处,因为随着CISO逐渐能以更业务相关的术语阐述和传达网络风险,他们在公司领导层眼中的地位也会上升,也就能更有效地影响公司网络安全决策。

影响力

需特别指出的是,该报告还发现CISO对公司业务部门的影响力很有限。这种公司层面上的影响力缺失是由多种原因造成的,比如公司高管缺乏网络风险认知,或者CISO未能主动合作

调查发现,仅38%的业务主管在考虑新业务机会时会将CISO纳入早期规划的讨论当中,而CISO既然无从知晓这些业务,也就无从施加其网络安全影响。另外,企业安全人员往往只负责防御企业IT系统,但攻击者和企业主却是参与到公司价值链的方方面面的。

大多数受访者都认为某些高层角色应充当起安全和业务部门之间的沟通桥梁。如果CISO不能持续发展其角色和关系,他们将无法发挥其职能所需的影响力。

云计算

埃森哲报告中发现的一个网络安全漏洞存在于云计算领域。74%的受访者认为云服务提升了公司网络风险值,仅44%称云技术受到其现有网络安全策略的防护。

虽然很多安全公司设立了云安全和云监管项目,但安全漏洞还是可能因企业采纳的加速和大范围铺开而让安全团队顾此失彼。云提供商有很多安全功能是可以任由企业安排部署的,但近半数CISO承认,他们保护企业安全的责任增加得比自己处理安全问题的能力要快,于是出现了安全漏洞。

帮助CISO

埃森哲的研究显示,CISO职位在大型企业中已然确立,但却很少握有影响业务部门并建立网络弹性所需的权威和可见性。

CISO要想成为广受欢迎的合作者和可信合作伙伴,需得与业务部门紧密合作,保护并驱动高层设立的增长目标。网络安全人人有责,公司企业必须在各层级员工中间广为传播网络安全知识,实现为各个角色量身定制的经常性安全意识培训。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:
标签: ,


关于作者

最牛的信息安全新媒体 (www.aqniu.com)