9月24日,安永發(fā)布《2021安永全球信息安全調查報告》(以下簡稱“報告”)。報告顯示,在1400多名首席信息安全官和高級安全主管中,55%的受訪者稱在其職業(yè)生涯中,如今是網絡安全最受重視的階段。
不過,盡管超七成受訪者認為過去12個月里破壞性網絡攻擊數量持續(xù)上升,仍有56%的受訪者表示管理層制定緊急戰(zhàn)略決策時不會或很晚才會咨詢網絡安全團隊。
文 / 樊文揚
9月24日,安永發(fā)布《2021安永全球信息安全調查報告》(以下簡稱“報告”)。報告顯示,在1400多名首席信息安全官和高級安全主管中,55%的受訪者稱在其職業(yè)生涯中,如今是網絡安全最受重視的階段。
不過,盡管超七成受訪者認為過去12個月里破壞性網絡攻擊數量持續(xù)上升,仍有56%的受訪者表示管理層制定緊急戰(zhàn)略決策時不會或很晚才會咨詢網絡安全團隊。
過半受訪者:如今是網絡安全最受重視的階段
自2020年新冠疫情爆發(fā)以來,長期遠程工作數量不斷增加,高破壞性、高復雜度的全球網絡攻擊增長迅速,企業(yè)急需應對更加嚴峻的網絡安全環(huán)境。辦公場景的迅速變革推動了云計算等技術的廣泛普及,然而也留下了諸多未能解決的網絡安全漏洞。
上述報告以3月至5月針對來自1010家企業(yè)的1400多名首席信息安全官和高級安全主管展開的調查為基礎,探討了網絡安全職能部門在成為業(yè)務發(fā)展推動力和業(yè)務戰(zhàn)略合作伙伴過程中所面臨的挑戰(zhàn)與解決措施。
報告顯示,77%的受訪者認為,在過去12個月里破壞性網絡攻擊數量持續(xù)上升,相較于去年持有此觀點的人數上升了18%。盡管如此,網絡安全也仍然被很多企業(yè)所輕視,56%的受訪者表示管理層制定緊急戰(zhàn)略決策時不會或很晚才會咨詢網絡安全團隊,43%表示其對能否控制住本可以避免的網絡威脅十分擔憂。
“現實情況就是,當下的威脅數量已遠甚以往。”安永美洲區(qū)網絡安全咨詢業(yè)務主管合伙人戴夫·伯格(Dave Burg)表示,“這種現象的出現是受到勒索軟件商業(yè)模式的推動,而事實也證明了這種模式非常有效。”
據今年6月安恒信息威脅情報中心獵影實驗室發(fā)布的《2021年上半年全球勒索軟件趨勢報告》顯示,據不完全統(tǒng)計,2021年上半年至少發(fā)生了1200起勒索軟件攻擊事件,而2020年已知公布的數量約為1420起,同時平均贖金自去年的四十萬美元提高到今年的八十萬美元。
隨著全球網絡攻擊呈現新形式、新特征,網絡安全從業(yè)人員也對其應對風險的能力持保守態(tài)度。報告數據表明,33%的受訪者有信心確保供應鏈具備嚴密防御攻擊者及從攻擊中恢復的能力,35%能確保第三方及時披露其遭受的攻擊,47%稱其了解并能夠預測攻擊者使用的新策略。
面對網絡安全風險不斷增長的態(tài)勢,企業(yè)也開始重視網絡安全職能部門的保護能力。55%的受訪者稱在其職業(yè)生涯中,如今是網絡安全最受重視的階段,57%則認為危機能為網絡安全職能部門提供發(fā)展機會。此外,約39%的企業(yè)已將網絡安全列入季度董事會議程,相較于2020年這一比例上升了10%。
“多頭監(jiān)管”帶來更嚴峻的合規(guī)挑戰(zhàn)
首席信息安全官和高級安全主管作為“業(yè)務增長和戰(zhàn)略合作伙伴的推動者”,在新冠肺炎疫情引發(fā)的一系列網絡威脅事件中,還存在制約其行動的三大挑戰(zhàn)。
第一,當下的網絡安全部門資金與需求仍存在較大差距,主要體現為預算與需求不同步和因成本削減降低了安全抵御能力。報告顯示,調查中的受訪企業(yè)去年平均收入約110億美元,每年在網絡安全方面的平均支出為528萬美元,僅占收入的0.05%。
同時,企業(yè)在該方面預算不足且不靈活可能降低其網絡安全防御能力。約39%受訪者認為網絡安全支出沒有充分計入戰(zhàn)略投資成本;36%的受訪者表示,如果不在網絡安全防御方面適當投資,企業(yè)遲早會遭受本可以避免的重大破壞;另有39%則指出其企業(yè)網絡安全預算低于過去12個月應對新挑戰(zhàn)所需的預算。
在企業(yè)急于尋求業(yè)務轉型,不斷縮緊網絡安全預算的情況下,約56%預算不足的企業(yè)不得不重新調整其網絡安全要求,而44%的受訪者也只能通過優(yōu)化舊架構和舊系統(tǒng)以削減成本。
第二,“多頭監(jiān)管”為企業(yè)帶來了更嚴峻的合規(guī)挑戰(zhàn)。首先,面對全球越發(fā)復雜的監(jiān)管合規(guī)要求,企業(yè)需投入更多的資源與時間,近一半受訪者稱確保合規(guī)壓力很大,近六成受訪者預測監(jiān)管在未來幾年將更趨多樣化;其次,首席信息安全官在預算層面對合規(guī)較多持悲觀態(tài)度,35%受訪者認為合規(guī)有利于企業(yè)推動正確的關注重點與行動,而認為能通過監(jiān)管向董事會成功申請到額外預算的人不足五分之一,相較于去年有所下降。
第三,網絡安全管理人員與其他職能之間的關系有待改善。作為需在投資決策最初階段提供咨詢建議的部門人員,首席信息安全官與業(yè)務高層關系薄弱,58%受訪者指出企業(yè)有時在實施新技術時未留出足夠時間進行網絡安全評估或監(jiān)督,81%的企業(yè)繞過網絡安全流程,在新業(yè)務的規(guī)劃階段未咨詢網絡安全團隊。
此外,41%、28%的受訪者分別認為其與市場營銷職能部門、業(yè)務方的關系亟需進一步改善與鞏固,相較去年這一比例均有所提高。事實上,網絡安全部門與業(yè)務線、市場營銷部門等離自身所在的規(guī)劃周期較近的部門關系是消極的,意味著其在需要建立穩(wěn)固關系的地方,關系卻最為脆弱。
建議:加強合作、招攬人才、建立聯(lián)系
報告指出,首席信息安全官應在企業(yè)中扮演更具戰(zhàn)略性和商業(yè)意義的角色,將團隊重塑為企業(yè)轉型的推動者。為了讓這一職能部門的貢獻得到廣泛認可,報告從核心業(yè)務、人才畫像、利益關系三個角度提出了解決措施,以提高在企業(yè)中的地位。
一是重新評估首席信息安全官與業(yè)務的一致性,把握“最真實的情況”。網絡安全團隊應更多重視過去較為薄弱的網絡安全要素,加強與利益相關者的合作,確保與核心業(yè)務目標保持一致,并評估其業(yè)務合作伙伴對安全服務的性能和交付的滿意度。
二是以求真務實的態(tài)度審視首席信息安全官的人才畫像。為應對復雜的網絡攻擊,首席信息安全官需要全能復合型專業(yè)人士的支持,既要具備先進的技術技能,還要有建立跨部門協(xié)作的能力以發(fā)現新興威脅和防御系統(tǒng)的漏洞和缺陷。因此,要在理解每個學科自身優(yōu)劣勢的基礎上,建立一個各學科百花齊放的團隊。
三是與新的利益相關者建立聯(lián)系,將自身置于四個關鍵利益相關者的中心位置。從前首席信息安全官主要堅持在轉型和產品開發(fā)生命周期的初期就嵌入網絡安全的原則,如今則需引導四個方面的關鍵利益。其一側重報告和問責制,其二側重認證、鑒證以及監(jiān)管要求映射,其三提高標準和增強測試,最后注重認證和持續(xù)測試。
