網絡安全目前已經成為各企業董事會的重要關注方向與議程核心,不過大多數首席信息安全官(簡稱CISO)當下還是沒能在董事會內獲得席位。
根據本次ISACA與RSA大會進行的一份調查,82%的網絡安全與信息安全專家在訪問中宣稱其董事會成員重視或者非常重視網絡安全問題,但只有七分之一(14%)CISO有資格直接向CEO遞交報告。
這種理念與行動之間的巨大差距廣泛存在于高管團隊當中。在本次調查當中,74%的受訪安全專家預計所在企業將在2016年當中遭遇網絡攻擊,并有30%受訪者預計釣魚攻擊將以日常姿態出現,這份《ISACA/RSA大會網絡安全狀態調查報告》指出。
“雖然有跡象表明企業高管人員正越來越多地了解網絡安全的重要性,但其中仍然存在著進一步改善的空間,”RSA大會主編Jennifer Lawinski表示。“大多數CISO仍然需要向CIO報告,這意味著網絡安全被視為一類技術問題而非業務問題。這次調查強調了信息安全行業在未來實現順利發展所面臨的阻礙。”
網絡安全技能層面的差距亦會對企業安全水平帶來威脅。在過去的2015年,受訪安全專家對自身團隊檢測并響應事故的能力抱有信心的比例為75%,這一數字較2014年調查得出的87%比例下滑12%。而在這75%受訪者中,60%承認其員工無法處理任何超出簡單網絡安全事故之外的狀況。
除此之外,認為應聘者“具備聘用所要求之能力”的比例不超過一半的受訪者數量由去年的50%提升至59%。其中27%的應聘者需要經過6個月的學習才能正式接手網絡安全崗位,這一比例遠高于2014年的3%。
“對現有網絡安全技能水平的信心缺失顯示出理想培訓方案的匱乏,”ISACA首席知識官Ron Hale解釋稱。“能夠親自上手且基于技能的培訓機制對于彌合網絡安全技能鴻溝并高效發展強大網絡團隊而言非常重要。”
態勢感知能力薄弱
這份調查還強調稱,目前擔任網絡安全或者信息安全關鍵性角色的安全專家在態勢感知能力方面較為薄弱:
24%受訪者并不了解用戶憑證是否曾于2015年年內遭受竊取。
24%受訪者并不了解哪些惡意攻擊者曾侵入其企業。
23%受訪者并不了解其所在企業是否曾經經歷過高級持續性威脅(簡稱APT)攻擊。
20%受訪者并不了解是否有企業資產被劫持作為僵尸網絡使用。
盡管存在上述問題,但此次接受調查的大部分CISO表示已經開始在企業的技術層面發揮作用,而且今年的報告亦顯示網絡安全在企業中的受重視程度在逐步提升。在此次調查中,61%的受訪者預計其網絡安全預計將在2016年年內實現增長,而75%的受訪者表示其所在企業的網絡安全戰略如今與業務發展目標保持一致。
京公網安備 11010502049343號