近日,美國高德納(Gartner)公司發(fā)布一項關(guān)于董事會與網(wǎng)絡(luò)安全的調(diào)查。這項新調(diào)查中發(fā)現(xiàn),88%的董事會(BoD)認(rèn)為網(wǎng)絡(luò)安全是一種商業(yè)風(fēng)險,而不是技術(shù)風(fēng)險。然而,只有12%的董事會成立了一個專門的“董事會網(wǎng)絡(luò)安全委員會”。
高德納公司杰出的研究副總裁Paul Proctor表示,現(xiàn)在是時候讓除了IT部門以外的高管來承擔(dān)保護企業(yè)安全的責(zé)任了。縱觀2021年的情況,網(wǎng)絡(luò)出現(xiàn)大量勒索軟件和供應(yīng)鏈攻擊,其中許多是針對運營和關(guān)鍵任務(wù)環(huán)境的,這給大家敲響一個警鐘。安全是一個商業(yè)問題,而不僅僅是IT部門要解決的另一個問題。
高德納公司的分析師在“高德納安全與風(fēng)險管理美洲峰會上”提出了將網(wǎng)絡(luò)安全作為一項商業(yè)決策的必要性。首席信息官(CIO)與首席信息安全官(CISO)必須重新平衡網(wǎng)絡(luò)安全的責(zé)任。
高德納表示,即使企業(yè)領(lǐng)導(dǎo)人意識到,確實需要保護企業(yè)免受不斷變化的新威脅,但網(wǎng)絡(luò)安全的責(zé)任主要由IT領(lǐng)導(dǎo)層來承擔(dān)。高德納的這項調(diào)查發(fā)現(xiàn),在85%的企業(yè)中,首席信息官、首席信息安全官或同等職位的人,是負(fù)責(zé)網(wǎng)絡(luò)安全的最高負(fù)責(zé)人。只有10%的企業(yè)組織,要求非IT高級管理人員承擔(dān)網(wǎng)絡(luò)安全責(zé)任(見圖1)。
圖1:企業(yè)組織中對網(wǎng)絡(luò)安全負(fù)責(zé)的最高級別人員
資料來源:Gartner(2021 年 11 月)
副總裁Proctor還表示,IT和安全領(lǐng)導(dǎo)者,往往被認(rèn)為是保護企業(yè)免受威脅的最終權(quán)威。然而,企業(yè)領(lǐng)導(dǎo)人每天都在不咨詢首席信息官或首席信息安全官的情況下做出決定,這會影響了企業(yè)組織的安全。
首席信息官與首席信息安全官必須重新平衡網(wǎng)絡(luò)安全的責(zé)任,以便與業(yè)務(wù)和企業(yè)領(lǐng)導(dǎo)人共同管理。高德納建議,IT部門、安全領(lǐng)導(dǎo)者應(yīng)與高管和董事會合作,建立治理機制,為影響企業(yè)網(wǎng)絡(luò)安全的商業(yè)決策分擔(dān)責(zé)任。
高德納表示,最近的研究發(fā)現(xiàn),66%的首席信息官打算在未來一年增加網(wǎng)絡(luò)安全投資。然而,根據(jù)高德納預(yù)測顯示,網(wǎng)絡(luò)安全支出的整體增長將在2023年之前放緩。
隨著安全預(yù)算的縮減,首席信息官和首席信息安全官需要與行政領(lǐng)導(dǎo)層密切合作,在商業(yè)背景下重新規(guī)劃網(wǎng)絡(luò)安全投資。例如,首席信息官可以向企業(yè)領(lǐng)導(dǎo)提供一系列的保護方案,并清楚地列出每個選擇的成本和風(fēng)險。
Proctor表示,首席信息官和首席信息安全官,必須利用他們的專業(yè)知識來提高投資和風(fēng)險的透明度,以推動整個企業(yè)的安全責(zé)任共享。
這項2021年高德納全球安全和風(fēng)險管理治理的調(diào)查,時間是在2021年4月至5月,針對北美、歐洲、中東和非洲、亞太和拉丁美洲的615名受訪者展開。這些企業(yè)至少有100名員工,年總收入為5000萬美元。
參考資料:
https://www.gartner.com/en/newsroom/press-releases/2021-11-18-gartner-survey-finds-88-percent-of-boards-of-directors-view-cybersecurity-as-a-business-risk
標(biāo)簽: 網(wǎng)絡(luò)安全 商業(yè)風(fēng)險