F5 Networks 昨日(9月26日)發表一份詳盡的全球調查報告,探討資訊保安主管(CISO)角色的本質,以及世界各地機構為了應付不斷變化的網絡威脅而採取的IT保安措施。報告指出,隨著IT保安日漸成為企業關注重點,CISO在公司內的影響力亦日益提高;然而,許多機構內的保安策略仍然以被動式(reactive)為主,亦未能與業務功能緊密配合。

 

這次研究由Ponemon Institute進行,訪問遍佈美國、英國、德國、巴西、墨西哥、印度和中國這七個國家內合共184家企業內負責IT保安的高層專業人員。

F5 首席資訊保安總監、前德意志銀行資訊保安業務主管Mike Convertino表示:「這次研究讓我們深入了解CISO如何應對現時充滿挑戰的環境。CISO在企業內推動保安措施、及作為領導的角色正變得日益重要。但在許多機構之中,IT保安仍未發展至策略性、主動功能,難以完全保護企業資產,應對日益先進及頻密的攻擊。」

F5 首席資訊保安總監Mike Convertino。

 

主要研究撮要

  • CISO權責日益增大——雖然不同機構內CISO於高級管理層中的影響力各有不同,但大多數CISO在公司網絡風險方面都舉足輕重,而且影響力與日俱增。68%受訪者表示CISO在所有IT保安支出方面都有最終決定權,而略低比率(64%)的受訪者表示CISO對公司內所有保安方面的開支都有直接影響力及決定權。87%受訪者評論了其公司在IT保安方面的預算,18%表示有關預算已經大幅增加, 29%表示有所提升,而40%維持不變。

 

  • 企業各部門未能緊密配合業務——擁有覆蓋全公司的IT保安策略仍然十分罕見。58%受訪者表示其公司的IT保安是獨立的功能,只有22%的受訪者表示IT保安已與其他業務團隊融合,而45%表示公司沒有明確界定保安方面的責任。75%受訪者表示,由於IT保安沒有融入其他業務功能,因此或多或少出現了各自為政的問題,36%表示對IT保安戰術和策略產生了顯著影響,39%認為有一些影響。

 

  • 保安是業務重點的意識仍被動——68%受訪者相信其機構視保安為業務重點,然而,只有51%表示其機構已制定了IT保安策略,其中只有43%表示這些策略獲得其他最高層行政管理人員審核、通過和支持。這次研究結果反映企業大多是被動引發保安措施的變更,而促使其他高級行政主管注意這問題的兩類最普遍事故包括重要數據外洩(45%)及網絡保安漏洞(43%)。

 

  • 危機促使行政管理層重視CISO——68%受訪者表示CISO會直接與高級行政管理人員溝通,但很少會就針對機構的全部威脅進行策略性商討。46%表示只有在出現重要數據外洩及重大網絡攻擊時才會與CEO及董事會溝通,而只有19%會向CEO和董事會匯報所有數據外洩事故。

 

  • AI是解決人才短缺的潛在方案——CISO繼續面對著IT保安人才短缺的困境。在未來兩年,IT保安的職位數量將會從19人增加至32名全時間(或同等)員工,而近半(42%)受訪者感到現時人手不足。58%表示他們難以物色到合資格的IT保安人才,而最大的挑戰是識別和招聘合資格人選(56%),以及無法提供符合市場水平的薪酬(48%)。這些挑戰促使企業尋找其他解決方案——半數受訪者相信電腦學習和人工智能(AI)可應對人手短缺的問題,而70%相信這些科技在未來兩年內將會對其IT保安措施十分重要

 

F5 全球保安領袖David Holmes在場演說。
Chris
About Admin

<p>Chris Wong,IT Pro記者,喜歡吸收新事物。</p>

Similar Posts