投入少、合规难、联系弱,报告详解首席信息安全官三大挑战
9月24日,安永发布《2021安永全球信息安全调查报告》(以下简称“报告”)。报告显示,在1400多名首席信息安全官和高级安全主管中,55%的受访者称在其职业生涯中,如今是网络安全最受重视的阶段。
不过,尽管超七成受访者认为过去12个月里破坏性网络攻击数量持续上升,仍有56%的受访者表示管理层制定紧急战略决策时不会或很晚才会咨询网络安全团队。
9月24日,安永发布《2021安永全球信息安全调查报告》(以下简称“报告”)。报告显示,在1400多名首席信息安全官和高级安全主管中,55%的受访者称在其职业生涯中,如今是网络安全最受重视的阶段。
不过,尽管超七成受访者认为过去12个月里破坏性网络攻击数量持续上升,仍有56%的受访者表示管理层制定紧急战略决策时不会或很晚才会咨询网络安全团队。
过半受访者:如今是网络安全最受重视的阶段
自2020年新冠疫情爆发以来,长期远程工作数量不断增加,高破坏性、高复杂度的全球网络攻击增长迅速,企业急需应对更加严峻的网络安全环境。办公场景的迅速变革推动了云计算等技术的广泛普及,然而也留下了诸多未能解决的网络安全漏洞。上述报告以3月至5月针对来自1010家企业的1400多名首席信息安全官和高级安全主管展开的调查为基础,探讨了网络安全职能部门在成为业务发展推动力和业务战略合作伙伴过程中所面临的挑战与解决措施。
报告显示,77%的受访者认为,在过去12个月里破坏性网络攻击数量持续上升,相较于去年持有此观点的人数上升了18%。尽管如此,网络安全也仍然被很多企业所轻视,56%的受访者表示管理层制定紧急战略决策时不会或很晚才会咨询网络安全团队,43%表示其对能否控制住本可以避免的网络威胁十分担忧。
“现实情况就是,当下的威胁数量已远甚以往。”安永美洲区网络安全咨询业务主管合伙人戴夫·伯格(Dave Burg)表示,“这种现象的出现是受到勒索软件商业模式的推动,而事实也证明了这种模式非常有效。”
据今年6月安恒信息威胁情报中心猎影实验室发布的《2021年上半年全球勒索软件趋势报告》显示,据不完全统计,2021年上半年至少发生了1200起勒索软件攻击事件,而2020年已知公布的数量约为1420起,同时平均赎金自去年的四十万美元提高到今年的八十万美元。
随着全球网络攻击呈现新形式、新特征,网络安全从业人员也对其应对风险的能力持保守态度。报告数据表明,33%的受访者有信心确保供应链具备严密防御攻击者及从攻击中恢复的能力,35%能确保第三方及时披露其遭受的攻击,47%称其了解并能够预测攻击者使用的新策略。
面对网络安全风险不断增长的态势,企业也开始重视网络安全职能部门的保护能力。55%的受访者称在其职业生涯中,如今是网络安全最受重视的阶段,57%则认为危机能为网络安全职能部门提供发展机会。此外,约39%的企业已将网络安全列入季度董事会议程,相较于2020年这一比例上升了10%。
“多头监管”带来更严峻的合规挑战
首席信息安全官和高级安全主管作为“业务增长和战略合作伙伴的推动者”,在新冠肺炎疫情引发的一系列网络威胁事件中,还存在制约其行动的三大挑战。
第一,当下的网络安全部门资金与需求仍存在较大差距,主要体现为预算与需求不同步和因成本削减降低了安全抵御能力。报告显示,调查中的受访企业去年平均收入约110亿美元,每年在网络安全方面的平均支出为528万美元,仅占收入的0.05%。
同时,企业在该方面预算不足且不灵活可能降低其网络安全防御能力。约39%受访者认为网络安全支出没有充分计入战略投资成本;36%的受访者表示,如果不在网络安全防御方面适当投资,企业迟早会遭受本可以避免的重大破坏;另有39%则指出其企业网络安全预算低于过去12个月应对新挑战所需的预算。
在企业急于寻求业务转型,不断缩紧网络安全预算的情况下,约56%预算不足的企业不得不重新调整其网络安全要求,而44%的受访者也只能通过优化旧架构和旧系统以削减成本。
第二,“多头监管”为企业带来了更严峻的合规挑战。首先,面对全球越发复杂的监管合规要求,企业需投入更多的资源与时间,近一半受访者称确保合规压力很大,近六成受访者预测监管在未来几年将更趋多样化;其次,首席信息安全官在预算层面对合规较多持悲观态度,35%受访者认为合规有利于企业推动正确的关注重点与行动,而认为能通过监管向董事会成功申请到额外预算的人不足五分之一,相较于去年有所下降。
第三,网络安全管理人员与其他职能之间的关系有待改善。作为需在投资决策最初阶段提供咨询建议的部门人员,首席信息安全官与业务高层关系薄弱,58%受访者指出企业有时在实施新技术时未留出足够时间进行网络安全评估或监督,81%的企业绕过网络安全流程,在新业务的规划阶段未咨询网络安全团队。
此外,41%、28%的受访者分别认为其与市场营销职能部门、业务方的关系亟需进一步改善与巩固,相较去年这一比例均有所提高。事实上,网络安全部门与业务线、市场营销部门等离自身所在的规划周期较近的部门关系是消极的,意味着其在需要建立稳固关系的地方,关系却最为脆弱。
建议:加强合作、招揽人才、建立联系
报告指出,首席信息安全官应在企业中扮演更具战略性和商业意义的角色,将团队重塑为企业转型的推动者。为了让这一职能部门的贡献得到广泛认可,报告从核心业务、人才画像、利益关系三个角度提出了解决措施,以提高在企业中的地位。
一是重新评估首席信息安全官与业务的一致性,把握“最真实的情况”。网络安全团队应更多重视过去较为薄弱的网络安全要素,加强与利益相关者的合作,确保与核心业务目标保持一致,并评估其业务合作伙伴对安全服务的性能和交付的满意度。
二是以求真务实的态度审视首席信息安全官的人才画像。为应对复杂的网络攻击,首席信息安全官需要全能复合型专业人士的支持,既要具备先进的技术技能,还要有建立跨部门协作的能力以发现新兴威胁和防御系统的漏洞和缺陷。因此,要在理解每个学科自身优劣势的基础上,建立一个各学科百花齐放的团队。
三是与新的利益相关者建立联系,将自身置于四个关键利益相关者的中心位置。从前首席信息安全官主要坚持在转型和产品开发生命周期的初期就嵌入网络安全的原则,如今则需引导四个方面的关键利益。其一侧重报告和问责制,其二侧重认证、鉴证以及监管要求映射,其三提高标准和增强测试,最后注重认证和持续测试。