全球領先的信息技術研究和顧問公司Gartner近日表示,越來越多除IT以外的其他部門也在設置安全保障,這一趨勢反映了有效安全管理的必要性。
根據Gartner公司有關終端用戶隱私、IT風險管理、信息安全、業務連續性和合規管理的年度調查結果顯示:信息安全管理實踐正在日趨成熟。2015年2月至4月,Gartner在全球7個國家開展調查,964名在大型機構工作的受訪者參與了調查,這些大型機構在2014財政年度的總收入不低于5000萬美元,擁有不少于100名員工。
Gartner的副總裁兼院士級分析師Tom Scholtz表示:“人們對數字業務的風險意識日益增強,再加上有關網絡安全事件的深度宣傳,促使IT風險列為董事會級別的討論事宜,71%的受訪者表示,IT風險管理數據影響董事會層面的決策。這也反映出,越來越多的企業開始重視把應對IT風險作為公司管理的一部分。”
信息安全小組匯報程序從本質上而言是企業有效管理的關鍵因素之一。38%的受訪者明確表示,最資深的負責信息安全報告的人員來自IT以外的部門。
Scholtz指出,在IT以外的部門建立匯報程序的主要原因在于促進執行與監督相分離,提升企業信息安全的形象,打破員工和利益相關者認為“安全只是IT問題”的思維定勢。企業日益認識到,必須將安全性作為企業風險問題進行管理,而不僅僅是一個IT運營問題。人們逐漸了解到網絡安全挑戰已超越傳統的IT界限,而深入到運營技術領域(OT)和物聯網(IoT)安全等領域。
支持安全項目的高管級別也在提高。63%的受訪者表示,他們的信息安全項目獲得的資助和支持來自IT以外部門的領導層,這一調查數據相較于2014年的54%有了大幅上升。企業首席執行官和董事會的支持率保持不變,為30%(2014年是29%),而指導委員會的支持率從7%升至12%。地區差異引人注目,57%的北美受訪者表示信息安全項目獲得的支持來自IT以外部門,明顯低于西歐的63%和亞太地區的67%。
Scholtz認為,企業高管重視安全項目至關重要,否則,安全項目將難以得到企業其他部門的必要支持。在安全策略的有效性方面,雖然有一半的受訪者表示管理層參與評估和審批這些策略,但僅30%的受訪者表示,業務部門會積極參與到這些會影響其業務的策略制定中來。雖然這與前幾年相比有了很大的改觀(2014年的數據為16%),但仍表明業務部門的參與度不高。低參與度的主要原因是安全團隊與企業之間對風險的看法不一,這可能會導致管控過度和管理不善,從而導致無效的審計結論,最終降低生產力。