根据经济学人智库(EIU)和跨国风险管理公司 Willis Towers Watson的一项全球调查显示,世界各地的大多数高管都认为他们在引领网络弹性方面面临着“专才/通才”的难题,网络弹性对企业而言至关重要,企业同时也认识到专业性是必不可少的元素。
此次调查活动向全球450家企业发起,在问及他们建立网络弹性策略面临的挑战时,有近40%的受访高管认为应该由企业董事会监督网络工作,而24%的受访者认为应该组建专门的网络委员会。另有一小部分受访者认为这项工作应该由审计、风险或者其它职能小组负责。
领导者角色引争议
这项调查还发现,目前人们对于网络安全风险领域的领导者角色也存在争议:
仅有8%的高管表示,他们的 CISO (首席信息安全官)或同级别高管在告知网络威胁的经济、劳动力、名誉或个人风险方面的执行情况高出平均水平。
不到四分之一的受访高管表示,董事会的网络弹性简报远远高于平均水平。
不到15%的受访高管给与 CISO 或同级别网络高管的评分较高(评分标准:1到10分)。
董事会与CISO存在沟通缺口
Willis Towers Watson 公司全球网络风险负责人 Anthony Dagostino 表示,“缓解网络风险或实现弹性计划时,企业面临的主要挑战之一在于董事会与 CISO 之间存在严重的沟通缺口。网络弹性应始于董事会层面,因为他们了解风险,能够切实帮助所在组织制定适当策略以有效降低风险。然而,虽然CISO身为安全专家,但他们普遍不太了解如何将安全威胁认知充分转化为对所在组织运营与财务的实际影响——而这才是董事会真正希望了解的内容。为了解决这种沟通缺失,CISO 需要有能力帮助董事会成员对网络安全成熟度评估中发现的漏洞进行量化与转化。这种能力意味着他们将更好地将风险信息传达给董事会,寻求充足的预算,并确保董事会能够据此提供真正有意义的指导意见。”
CHRO与CISO应加强沟通协作
根据调查,专才还是通才的困境不仅困扰着企业董事会,同样也影响到劳动力、业务以及流程等一切对网络专业知识与技能有需求的领域。举例来说,对于由员工错误所引起的网络安全事件,有三分之二的受访企业认为人力资源与信息安全伙伴关系才是解决问题的关键所在。当被问及谁应在制定员工相关网络风险政策方面发挥主导作用时,54%的受访者表示人力资源领导者应就信息安全提供建议,28%的受访者表示应由信息安全领导者为人力资源部门提供咨询意见。
Dagostino补充称,“这些调查结果令人鼓舞,因为这证明越来越多的组织正在利用自身人力资源职能解决网络风险问题。但尽管如此,组织仍然需要加强其首席人力资源官与首席信息安全官之间的合作关系,从而真正建立能够推动网络风险应对能力的企业文化。除了安全意识培训之外,理想的解决方案还包括建立新的领导结构或奖励制度,这些问题应当属于首席人力资源官的职能范畴。”
在此次调查中,还包含以下关于网络领导责任的主要发现:
在接受调查的四个区域当中,有三个区域认为“董事会”应该监督网络风险,而欧洲则认为,这方面工作应由专门的网络委员会负责。
只有30%的受访高管认为他们的企业董事会对网络风险足够的了解,只有23%的受访高管表示其所在企业正积极招募此类风险的董事会成员。
在除英国以外的所有调查区域,网络弹性负责人皆要向企业首席执行官直接报告。而在英国,大多数负责人则向董事会报告。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。