(資料圖)
盡管預(yù)算顯著增加,但對安全支出的錯(cuò)誤預(yù)期給一些首席信息安全官帶來了問題。這是風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全解決方案提供商BSS公司對150名安全負(fù)責(zé)人進(jìn)行調(diào)查后得出的結(jié)論。調(diào)查發(fā)現(xiàn),雖然大多數(shù)首席信息安全官都經(jīng)歷了安全預(yù)算的顯著增長,但預(yù)算持有者為了實(shí)現(xiàn)不切實(shí)際的期望導(dǎo)致大量資金浪費(fèi),卻沒有在安全防御方面進(jìn)行戰(zhàn)略性的、以業(yè)務(wù)為中心的投資。報(bào)告聲稱,這種缺乏理解的情況表明,需要做大量工作來確保信息安全得到應(yīng)有的關(guān)注,尤其是在企業(yè)董事會。
根據(jù)BSS公司發(fā)布的《信息安全成熟度報(bào)告》,在受訪的182名安全主管中,只有一半以上企業(yè)的安全預(yù)算比去年有所增加,盡管與前一年發(fā)布的報(bào)告相比,安全預(yù)算增長幅度較低。報(bào)告發(fā)現(xiàn),導(dǎo)致支出增加的關(guān)鍵因素包括網(wǎng)絡(luò)威脅形勢的演變(39%)、跟上同行的步伐(21%)以及在招聘和培訓(xùn)方面的投資(18%)。
備受矚目的網(wǎng)絡(luò)攻擊事件之后,首席信息安全官獲得的預(yù)算大幅增加根據(jù)BSS公司發(fā)布的名為《首席信息安全官如何在充滿挑戰(zhàn)的環(huán)境中取得成功》報(bào)告,總體而言,在BSS公司調(diào)查的安全主管中,61%的受訪者表示他們的安全預(yù)算有所增加,其中年度安全預(yù)算在50萬至100萬英鎊之間的首席信息安全官比例最高(73%)。大多數(shù)首席信息安全官表示,其平均增幅在10%到30%之間。報(bào)告稱,或許最能說明問題的是,78%的首席信息安全官表示,在發(fā)生數(shù)據(jù)泄露和勒索軟件攻擊等引人注目的網(wǎng)絡(luò)攻擊事件之后,他們獲得了額外的預(yù)算,這標(biāo)志著企業(yè)對信息安全的態(tài)度正在發(fā)生變化。
然而BSS公司表示,由于預(yù)算增加,超過一半(55%)的首席信息安全官不得不將這些資金用于解決媒體報(bào)道的安全問題,而不是做出更具策略性的業(yè)務(wù)決策。BSS公司安全主管Chris Wilkinson表示,這通常是預(yù)算持有者在不完全了解企業(yè)面臨的威脅時(shí)具有不切實(shí)際的期望的表現(xiàn)。他說,“我們的研究表明,更廣泛的企業(yè)對當(dāng)前的威脅形勢以及預(yù)算應(yīng)該花在哪里缺乏了解,這是一個(gè)問題。”
網(wǎng)絡(luò)安全不是企業(yè)董事會的首要議程,而首席信息安全官在董事會中缺乏發(fā)言權(quán)研究報(bào)告指出,網(wǎng)絡(luò)安全問題在企業(yè)董事會議程上往往不夠重要,加劇了這一問題。只有9%的首席信息安全官表示,信息安全始終是企業(yè)董事會議程的三大優(yōu)先事項(xiàng)之一,不到四分之一(22%)的首席信息安全官積極參與業(yè)務(wù)戰(zhàn)略和決策過程。
BSS公司表示,為了實(shí)現(xiàn)這一轉(zhuǎn)變,首席信息安全官需要利用安全意識的提高來發(fā)揮自己的優(yōu)勢。報(bào)告稱:“對于安全部門領(lǐng)導(dǎo)者來說,這是一個(gè)很好的機(jī)會,可以讓企業(yè)董事會了解最嚴(yán)重的威脅,以及這些威脅如果不加以解決可能對業(yè)務(wù)造成的影響。”
對于首席信息安全官來說,以一種富有成效的方式與企業(yè)董事會討論網(wǎng)絡(luò)安全問題可能是一項(xiàng)重大挑戰(zhàn),如果不能有效地做到這一點(diǎn),可能會導(dǎo)致企業(yè)董事、安全職能部門和企業(yè)其他部門之間的混亂、幻滅以及缺乏凝聚力。首席信息安全官在向企業(yè)董事會溝通時(shí)經(jīng)常犯的錯(cuò)誤包括使用過于技術(shù)性的安全語言,關(guān)注錯(cuò)誤的威脅影響,未能為潛在問題做好準(zhǔn)備,以及依賴開箱即用的網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告。
今年3月,英國國家網(wǎng)絡(luò)安全中心(NCSC)發(fā)布了《董事會網(wǎng)絡(luò)安全工具包》,其中包括旨在幫助企業(yè)董事會成員更有效地了解和管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的資源。