IBM 新近發布的報告指出了一個問題:高管關心網絡安全,但他們未必真的做好了響應網絡威脅的準備。
IBM 發布的報告《C 級高管眼中的網絡安全》采集了700位非 CSO 的 C 級高官對網絡安全的態度,分析了安全趨勢。報告中稱,盡管C級高管普遍將網絡威脅視為主要問題之一,但他們未必真的做好了響應網絡威脅的準備。
投票結果顯示,包括 CEO 、CIO 、CTO 在內,超過94%的 C 級高管相信自家企業將在未來兩年內遭遇安全事件。將近三分之二(65%)的受訪者表示,他們的網絡安全計劃十分完備,然而與此同時,僅有17%的人士稱對企業網絡威脅響應能力有信心。
IBM Security 高級安全顧問黛娜·凱莉(Diana Kelley)說:“C 級高官知道安全的重要性,但他們并不總是能夠參與到下一步過程中來”。
IBM 的報告提到了一種名為自信悖論的趨勢:高管對網絡安全能力的估計與實際情況并不匹配,具體情況根據高管擔任的職位而有所不同。
“如果你離安全遠一點,可能會感覺更加舒服。如果你是頂級高管,很可能會想聽到粉飾太平的報告。”
由于公司報告制度存在的問題,除首席信息安全官(CISO)之外的 C 級高管往往并不了解網絡安全的新近趨勢。
這項研究指出了合作方面的斷層:69%的 C 級高管暗示自家企業制訂的安全計劃無法幫助 C 級高管們之間有效合作。
三分之二的受訪者相信,要想改善網絡安全,就應當分享更多信息。然而,當被問到是否愿意給他人分享此類信息時,僅有三分之一的受訪者表示自己對此已做好準備。
“他們知道應該分享數據,但他們很擔心,不愿意真的將數據共享出來”。
安全領域仍舊存在量化難題。“我們如何將風險暴露量化,并向董事會上報?高管可能在信息匯總板上看到一片綠燈,但如果你揭開偽裝,處理細節會帶來一些挑戰。”
然而,采用正確的量化指標并不容易。凱莉建議采取更多安全措施,并進行更頻繁的監控,她認為距離上次入侵事件的天數等簡單的指標可能并不能滿足需求。
“上次入侵天數、打補丁所需時常等簡陋的上報機制并不完備,企業需要更加整體地了解風險狀況。”
科技能夠幫助提升可見性,加強控制,然而真正的安全是通過人員、流程和科技的組合實現的。
“科技在很多事情上能夠比人類做得更快更好,但人類才是與系統交互、編寫程序和策略的主體。如果你沒有部署正確的策略和人員來使用技術,那么這些技術也不會奏效。”
京公網安備 11010502049343號