美國著名服務可靠性評估權威機構波耐蒙研究所(Ponemon Institute)為服務提供商埃森哲咨詢公司所做的一項研究表明:對安全采取積極主動態度和方法的公司更容易實現安全目標。
研究把公司分為兩類:跨越式公司和穩態式公司,前者注重創新和發展,后者等級更加嚴格,機制較為傳統。研究發現,成功的公司對待網絡安全更為嚴肅,擁有更深入徹底的安全戰略與措施,聘用專職首席信息安全官(CISO),也更傾向于向首席執行官(CEO)和董事會報告安全事件。
研究報告稱:“跨越式的公司更可能有正式批準的安全戰略,這一安全戰略也更有可能成為該公司安全項目的主要驅動力。他們采用風險管理技術確定他們的安全戰略,并將物理和邏輯安全系統集成到一起。”
在跨越式的公司中,與安全相關聯的職責與權限都有清晰的定義。員工不僅僅要清楚安全需求,還負有遵循安全規程的責任。”與之相反,所謂的穩態型公司更傾向于依賴規程而不是戰略來驅動他們的安全需求。“安全工作主要放在應付外部威脅上,且更強調預防而非檢測或遏制。這幾點特征對于公司在自身安全態勢實效上取得顯著改善沒有任何幫助。”
對那些落后的公司,埃森哲建議先從設立有實權的專職CISO開始,并輔以分配專用安全預算和擴展安全團隊來保證公司網絡安全防御中盡量不留死角。
“跨越式公司更傾向于將信息安全視為優先事務,并將它們的安全目標與業務目標整合統一起來。他們把安全看作達成業務目標的推進器,且能夠在例外情況下(有時候業務需求會超越安全需求)當安全阻礙了業務目標時進行適當的調整適應。”
京公網安備 11010502049343號