尽管人们对数据泄露的担忧与日俱增,威胁形势也日趋复杂,但大多数企业的高层管理人员似乎仍然没有将网络安全视为业务关键的职能。
最近,波耐蒙研究所受LogRhythm委托针对1426名安全人员进行了问卷调查,发现安全主管直接向首席执行官(CEO)报告的企业仅占7%。剩下93%的受访者,其安全主管是向其他管理人员报告,包括首席信息官(24%)、IT主管或IT经理(19%)、首席技术官(12%)、IT副总裁(11%),或者首席营收官(9%)。
调查显示,事实上,安全主管的级别通常与首席执行官相差三级,非但没有接近CEO,反而难以向顶级领导层阐明企业安全风险。即使CEO和董事会完全掌管着企业的网络安全预算或对此具有重大影响力,大多数安全主管却并未与CEO和董事会建立起直接联系。LogRhythm/波耐蒙调查研究的受访者反馈数据显示,企业年度安全预算为3800万美元,约占平均IT预算1.59亿美元的24%。
LogRhythm首席执行官Mark Logan称:“网络安全主管设想到了更多的责任和风险,但难以实现理想的安全态势,因为他们不像其他团队主管那么有影响力。”
LogRhythm在委托调查之时就预想到了很多CEO会仍未认识到网络安全职能部门的重要性。即便如此,仅7%的安全主管直接向CEO报告的结果还是令人震惊。
Logan表示:“考虑到网络安全是关键业务职能部门,7%可真是相当低的占比了。”
顶级管理层长期以来未能给予网络安全职能部门和CISO/CSO足够的重视。安全专家很早之前就指出,高管层和董事会常常倾向于将网络安全视为烧钱中心和救火队,而不是战略业务推进器。安全主管自己也常常被指太过技术性,无法从业务风险和风险管理的方面向顶级管理层阐明所面临的安全挑战。
LogRhythm/波耐蒙波高揭示,当前大多数企业里CISO和CSO的报告结构对于缓和这一形势毫无帮助。比如说,仅37%的受访者称他们自己或安全职能部门中的某人向董事会报告网络安全事项。其中,41%表示仅在发生安全事件时才向董事会报告;13%称一年向董事会报告一次。仅30%的受访者表示安全职能部门中有人按季度向董事会报告。虽然新冠肺炎疫情造成的远程办公潮大大提升了大多数企业面临的安全风险,但63%的受访者称自己并未就这些风险向董事会做简报。
Logan表示:“因此,董事会对企业安全状态的认知水平相当低。不仅领导层对项目和风险没有清晰的认知,而且由于策略规划和预算编制方面缺乏管理层可见性,风险也被放大了。”
过滤的影响
为什么安全主管仍未获得顶级管理层的足够重视?其中一个原因就是企业顶级管理层持续缺乏对安全主管职能的认知。Logan将这种情况归结为安全问题层层上报给CEO时发生的某种“过滤”所造成的。
“比如说,CSO向CIO报告,然后CIO再向CFO报告。而CFO可能才是最后将消息传达给CEO的人。”
这种报告结构可能制造瓶颈,造成预算和组织支持的减少;因为安全消息可能经由冗长的沟通渠道而稀释殆尽。
不过,最重要的原因还是大多数CISO和其他安全主管无法直接接触CEO,因而限制了他们影响重大变化的能力,还有可能在出问题时背黑锅。受访者被问及谁应该为网络攻击负责时,42%都指向了安全主管,仅有15%认为责任归结在CEO身上。
报告显示,领导层对网络安全职能部门和报告结构的态度在很大程度上依然是静态的,尽管风险早已显著增加了。55%的受访者称自家企业在过去两年中经历过数据泄露事件。疫情引发的远程办公转变加剧了这一问题,使大多数企业感觉到比以往更容易遭受攻击。
Logan指出:“想要成功获得可见性和影响力,安全主管必须先了解自己的受众,尤其是受众关心什么、他们的目标是什么。”
为驱散安全是烧钱中心的观念,安全主管需要就成本效率和对企业的影响进行讨论。
必须对企业的文化、客户、模型、驱动因素和总体目标有深入的了解,安全主管才能沟通无碍,争取到顶级管理层的重视。
调查报告:
https://logrhythm.com/aligning-security-with-business-objectives/
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。