被动的安全战略给首席信息安全官带来巨大挑战

今天，F5 Networks在新加坡国际网络周上发布一份全面的全球报告，分析了首席信息安全官这一角色的作用以及全球企业为应对当今不断演进的威胁环境所采取的 IT 安全方法。报告发现，随着 IT 安全问题不断成为企业的当务之急，首席信息安全官在企业内的影响力不断提高。但是许多企业的安全战略仍在很大程度上十分被动，并且与业务部门缺乏融合。

该调查由波耐蒙研究所实施，报告结果基于对七个国家（美国、英国、德国、巴西、墨西哥、印度和中国）184 家公司的高级 IT 安全专家的访谈得出。

F5 首席信息安全官 Mike Convertino 表示：“该研究为首席信息安全官如何应对当今挑战重重的威胁环境提供了独特视角。很明显，首席信息安全官在行使安全职能和领导角色方面有所改善，但很多企业的 IT 安全部门仍然没有主动发挥应有的战略性作用，以全面保护资产和防御日益复杂的频繁攻击。”

主要调查成果

• 首席信息安全官的责任加大 —虽然首席信息安全官在公司高级管理层中的影响力不一，但在管理企业网络安全风险方面的话语权不断提高。68% 的受访者表示首席信息安全官在所有 IT 安全支出方面具有最终决定权，64% 的受访者表示他们在公司内对所有安全支出具有直接影响力和权威。87% 的受访者表示 IT 安全预算明显提升 (18%)、有所改善 (29%) 或者没有变化 (40%)。

• 与业务部门缺乏融合 —IT 战略覆盖整个公司的比例仍然非常低。58% 的受访者表示 IT 安全是一个独立的职能部门，只有 22% 的受访者表示 IT 安全与其他业务团队互相融合，同时 45% 的受访者反映其安全职能部门没有明确的责任范围。75% 的受访者表示由于与业务部门缺乏有效的融合，竖井问题对 IT 安全策略和战略产生了重大影响 (36%) 或部分影响 (39%)。

• 对安全问题重要性的认识是被动的 —60% 的受访者表示其企业认为安全问题是首要业务问题，但只有 51% 的受访者指出其公司具有 IT 安全战略，其中只有 43% 表示 IT 战略得到了其他高管的评估、赞成和支持。结果显示企业安全计划所发生的变化大部分是被动的，并且只有重大数据泄漏 (45%) 和网络安全漏洞利用 (43%) 这两大威胁得到了其他高管的关注。

• 危机事件才会引起领导层的关注 —65% 的受访者表示首席信息安全官能够与其他高管直接沟通，但鲜与企业就所有威胁问题展开战略性讨论。46% 的受访者承认仅在发生重大数据泄露和重大网络攻击时与首席执行官和董事会沟通，只有 19% 的受访者向首席执行官和董事会汇报所有数据泄露事故。

• 人工智能是潜在的人力问题解决方案 —IT 安全人才短缺问题仍然是亟需首席信息安全官解决的突出问题。IT 安全员工平均人数将在未来两年内从 19% 增长至 32%。接近一半的受访者 (42%) 认为其现有人员配置捉襟见肘。58% 的受访者表示他们很难招聘到合格的安全员工，其中最大的挑战在于无法识别和招聘高素质候选人 (56%) 以及无法提供市场水平对应的薪资 (48%)。这些挑战促使公司寻求其他解决方案 — 一半 (50%) 的受访者认为计算机学习和人工智能能够解决人手短缺问题，同时 70% 的受访者认为这些技术在未来两年内对他们的 IT 安全职能部门十分重要。