CIO对安全问题过于自信

CSO杂志与普华永道合作的第九次全球年度信息安全调查指出， 绝大多数的高管对于信息安全策略显得过于自信了。

作者 George V. Hulme

过去一年里， 重量级的信息安全事件可谓是层出不穷。 事件涉及的目标也非常广泛，从信息安全厂商RSA Security 和HBGary Federal， 到军火商洛克希德·马丁和Northrop Grumman， 到娱乐业巨头索尼， 还有大批零售企业， 医疗机构以及市场营销机构， 不一而足。

不过， 尽管存在大量的信息安全攻击， 由CSO杂志和普华永道共同进行的第九次全球年度信息安全调查显示， 在9,600多名受访高管中， 43%的人认为，他们的企业是在信息安全方面是走在前列的，他们的信息安全策略很完备， 并且在有效执行中。

“这么高的比例的高管都认为他们是信息安全的领先者， 这里面肯定是有问题的”， 普华永道咨询部门的首席顾问， Mark Lobel说， “不可能43%的人都是领先者，”。

Spire Security的研究总监Pete Lindstrom的观点是， 要么这43%的人自己在骗自己， 要么他们确实在信息安全策略和执行方面向着成功在努力。

为了更好的理解那些声称自己是信息安全领先者的企业的实际信息安全管理水平， 普华永道自己制定了一个真正信息安全领先者的标准， 对这些企业做了进一步的过滤。 这些标准包括， 企业需要有信息安全战略， IT安全必须向最高管理层汇报， 企业需要在过去一年对IT安全政策进行评估， 以及如果企业有过信息安全事故， 需要找出并理解原因。 Lobel说: “当我们按照这些标准做了分析后， 信息安全领先者的比例从43%下降到了13%”

那么企业为什么会有这些盲目自信呢？ “ 他们也许没有经历过糟糕的安全问题， 或者根本没有意识到安全问题已经发生”。Lobel认为：“ 这确实会让他们产生一些错误的判断”。

这些盲目自信部分解释了为什么很多机构推迟了他们的信息安全支出。 今年， 有51%的受访者说他们推迟了信息安全方面的资本性支出。 而这个数字去年是46%。 经营性支出也一样， 48%的受访者说他们推迟了项目， 去年为43%。

这并非说他们不在信息安全上进行投资。 他们更专注于网站攻击的防范， 并且对防攻击的技术进行投资。 对应用防火墙的投资从72%提高到了今年的80%， 对恶意代码检测工具的投资从72%上升到了83%。

“对于这些技术的投资是好的”, Lobel 说，“但是， 数据表明， 他们并没有对信息安全政策的必要流程进行投资， 而这些流程与技术一起， 才能保证对企业的良好防范”。

BAE Systems Intelligence and Security的技术总监Robert Fecteau称那些对信息安全方面的预算削减是短视的。 信息安全问题会使产品设计信息泄露， 企业声誉受损， 竞争力下降。 他说：“ 如果系统被入侵， 那么损失要远大于省下来的预算“。

原文链接

http://www.cio.com/article/690665/AreCIOsTooCockyAboutSecurity