Gartner2021網絡安全與風險管理調查報告：88%的董事會將網絡安全視為商業(yè)風險

近日，美國高德納（Gartner）公司發(fā)布一項關于董事會與網絡安全的調查。這項新調查中發(fā)現(xiàn)，88%的董事會（BoD）認為網絡安全是一種商業(yè)風險，而不是技術風險。然而，只有12%的董事會成立了一個專門的“董事會網絡安全委員會”。

高德納公司杰出的研究副總裁Paul Proctor表示，現(xiàn)在是時候讓除了IT部門以外的高管來承擔保護企業(yè)安全的責任了。縱觀2021年的情況，網絡出現(xiàn)大量勒索軟件和供應鏈攻擊，其中許多是針對運營和關鍵任務環(huán)境的，這給大家敲響一個警鐘。安全是一個商業(yè)問題，而不僅僅是IT部門要解決的另一個問題。

高德納公司的分析師在“高德納安全與風險管理美洲峰會上”提出了將網絡安全作為一項商業(yè)決策的必要性。首席信息官（CIO）與首席信息安全官（CISO）必須重新平衡網絡安全的責任。

高德納表示，即使企業(yè)領導人意識到，確實需要保護企業(yè)免受不斷變化的新威脅，但網絡安全的責任主要由IT領導層來承擔。高德納的這項調查發(fā)現(xiàn)，在85%的企業(yè)中，首席信息官、首席信息安全官或同等職位的人，是負責網絡安全的最高負責人。只有10%的企業(yè)組織，要求非IT高級管理人員承擔網絡安全責任（見圖1）。

圖1：企業(yè)組織中對網絡安全負責的最高級別人員

資料來源：Gartner（2021 年 11 月）

副總裁Proctor還表示，IT和安全領導者，往往被認為是保護企業(yè)免受威脅的最終權威。然而，企業(yè)領導人每天都在不咨詢首席信息官或首席信息安全官的情況下做出決定，這會影響了企業(yè)組織的安全。

首席信息官與首席信息安全官必須重新平衡網絡安全的責任，以便與業(yè)務和企業(yè)領導人共同管理。高德納建議，IT部門、安全領導者應與高管和董事會合作，建立治理機制，為影響企業(yè)網絡安全的商業(yè)決策分擔責任。

高德納表示，最近的研究發(fā)現(xiàn)，66%的首席信息官打算在未來一年增加網絡安全投資。然而，根據高德納預測顯示，網絡安全支出的整體增長將在2023年之前放緩。

隨著安全預算的縮減，首席信息官和首席信息安全官需要與行政領導層密切合作，在商業(yè)背景下重新規(guī)劃網絡安全投資。例如，首席信息官可以向企業(yè)領導提供一系列的保護方案，并清楚地列出每個選擇的成本和風險。

Proctor表示，首席信息官和首席信息安全官，必須利用他們的專業(yè)知識來提高投資和風險的透明度，以推動整個企業(yè)的安全責任共享。

這項2021年高德納全球安全和風險管理治理的調查，時間是在2021年4月至5月，針對北美、歐洲、中東和非洲、亞太和拉丁美洲的615名受訪者展開。這些企業(yè)至少有100名員工，年總收入為5000萬美元。

參考資料：

https://www.gartner.com/en/newsroom/press-releases/2021-11-18-gartner-survey-finds-88-percent-of-boards-of-directors-view-cybersecurity-as-a-business-risk

標簽： 網絡安全 商業(yè)風險