最乐观的CEO也不能忽视IT安全

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　行业观察家表示，CEO们需要更多的留意信息安全，并掌握该领域的决策权。

　　一份由波耐蒙研究所(Ponemon Institute)出具的最新市场调研结果显示，企业CEO和高级主管们对企业IT安全各持不同的看法。这份市场调研是由Ounce Labs委托波耐蒙研究所进行的，有超过200名企业高管参与调研，调研结果显示出企业CEO比其他的C级别高管表现的更加自信和乐观的认为数据泄露可以被避免。与其他的受访者相比，企业CEO们对数据泄露事故的了解也更加有限。

　　DHL Express公司亚太区首席信息官兼副总裁Nariman Karimi在电子邮件采访中告诉ZDNet Asia说，企业CEO和董事会高管的基本角色定位，使得他们对IT安全是否应该是企业优先考虑的项目的看法上有所差别。

　　Karimi强调说：“企业CEO更加关注的是企业日常的运营，最新客户或者财务状况的动态，新产品和服务的推出以及市场份额的维护和争取。信息安全对于企业虽然重要，但是它不是日常运营中最需要关注的。坦率的说，也不应该是关注度最高的领域。”

　　Karimi继续解释说：“为了获得期望中的信息安全，IT基础架构监管和其他IT问题应该排在企业CEO日程的前列，就像一只足球队，每个人所有时间都应该把关注点放在球上而不是站在指定的位置不动”。

　　他补充说，首席执行官的安全定义与黑客试图窃取的公司机密息息相关，这些要远远超过灾难恢复，错误数据输入或者拒绝服务带来的伤害。从另一方面来说，CIO和安全主管对于风险应该有着视野开阔的理解。

　　企业CEO还应该意识到“能力的优化而不是防护”是正确的发展趋势，他解释道：“多数首席执行官和其他董事会成员从表面上很关注--他们将大部分时间花在向用户推广公司的能力上，而这些对公司内部的能力也会产生积极的影响。”

　　Frost & Sullivan公司负责亚太区的行业分析师Edison Yu补充说，企业CEO没有与他们企业的IT安全状况相关的KPI(关键性能指示器)。因此企业CEO们就不可避免的在评价他们的安全系统时缺乏参照性，而首席信息官或首席安全官们则会谨慎的多。

　　Yu在电子邮件中强调说，企业CEO们可能完全是根据安全支出来评估企业的安全性的，他们认为只要保持安全支持的级别，他们的企业就具备足够的安全性。

　　他还表示，IT和安全负责人在向企业CEO讲述安全的投资回报率方面也做得不够。IT安全投入在很大程度上仍然被看成是一种经费，而不是投资。

　　“企业CEO或者首席财务官(CFO)与首席信息官或首席安全官之间的地位和认知不同，在企业中这也是无可避免的。企业CEO需要了解安全到底是一种企业风险还是企业的推进器。”

　　Yu还指出，关键是在两者之间构建一种健康的紧张状态，让大家拥有足够的安全认知以便做出明智的决策。

　　Ernst & Young咨询服务的合作伙伴Gerry Chng指出，从整体来看，企业所有者和高管们会逐渐认识到保护企业信息的需求会越来越迫切。不过在安全基础架构上重金投资并不是解决企业所有者重要信息安全需求的必要手段。

　　“这种分离看起来主要源于IT主要是由技术专家来管理的，技术专家是把重点放在依赖技术来解决安全问题"Chng在电子邮件中写道"随着时间的推移，我们看到IT部门在保障基础架构和数据中心，服务器，数据库等有形资产上，技术也会存在误区。”

　　“我们的企业需要明确的是IT安全重点保护的是企业的信息，而不是用来存储，处理或者传输信息的物理资产。”他强调说。

　　最后DHL Express公司的Karimi指出，企业中的每个人都与维护IT安全状况息息相关。

　　Karimi表示“IT部门应该避免扮演警察的角色，避免由于过度保护而忽略了其他人在保护信息方面承担的责任。我们要保护网络，不过在公司的复印室里还有很多公司机密等待我们去重视。”

　　CEO在评估IT安全时的小建议

　　将有关安全的项目分割成一系列相关的部分，分配给企业的相关部门，并进一步将每一个部分分割成更小的元素，分配给相关人员处理。避免将整个安全问题交给每个人。明确你能从 C级管理层和董事会获得哪些特定的资源。

　　掌握每个部分的控制权，并保证IT部门的参与。显示所有经IT部门解决的风险，并据此描绘出企业当前的真实IT安全状态。澄清IT的角色并告诉IT部门你并不是某个商业游戏的观察者。

　　所作的报告要与公司，市场和运营性质相关，不同行业的常规统计和图表也是各有不同的。

　　将所需的投资投在真正相关的地方，如果一个最多会损失数千美元的安全项目缺使用了数万元的语音识别或指纹识别系统，就有些矫枉过正了。