Sophos網絡安全報告 教育及預算不足成最大障礙

Sophos 發表最新研究報告《亞太及日本區網絡安全的未來-文化、效率、警覺性 》 (The Future of Cybersecurity in Asia Pacific and Japan – Culture, Efficiency, Awareness) ,披露企業對網絡安全的資投有效與否,除了取決於購入的技術,企業文化、員工教育和成交路徑 (path-to-purchase) 亦舉足輕重。

亞太及日本區步伐落後

大部分亞太及日本區 (66%) 業務決策人認為缺乏安全專門知識是其公司的一大挑戰,另有67%表示難以招聘具備相關技能的人才。這種現象可歸咎於企業一般的網絡安全體制,它們普遍視防護工作為IT員工的額外職責。

與此同時,另一個與員工態度和行為有關,牽涉範圍更廣的問題影響著企業網絡安全。事實上, 有85%的亞太及日本區企業指出,提高員工以至管理層的網絡安全意識以及加強相關教育為接下來24個月的最大挑戰。

大部分亞太及日本區 (66%) 業務決策人認為缺乏安全專門知識是其公司的一大挑戰。

預算及企業架構續成障礙

綜觀所有市場,只有34%的企業設有網絡安全專用預算,其餘絕大多數公司將相關預算納入更廣泛的IT預算或其他部門支出。企業的IT安全架構也不盡相同 ── 有三分之一受訪企業設有專責的首席資訊安全總監 (CISO) ,另外三分之一由IT主管負責網絡安全,其餘則交由一位管理高層,例如首席技術總監 (CTO) 負責。多數企業均繼續由內部處理大部分網絡安全工作,它們通常只會外判幾個範疇,如滲透測試和培訓。

有超過五成亞太及日本區企業會定期大幅改動網絡安全策略。此外,大部分 (82%) 區內企業計劃於12個月內進行變更,當中有一半預期會更多採用外部的安全合作夥伴。除了由於整體安全態勢轉變,科技與產品的發展、法規要求和新型攻擊的出現也是更新安全策略的主要原因。

Sophos首席研究科學家Chester Wisniewski表示:「大家都知道網絡安全問題十分棘手。Sophos這項研究便點題指出了企業既要面對不斷進化的網絡安全生態,亦得為克服種種威脅而無休止尋找相關人才和最佳實踐。哪麼,究竟『安全』的真正定義是什麼?歸根究底,安全就是能夠管理風險。因此,IT主管必須找出關鍵的範疇並與團隊對症下藥,方能有效保護企業本身、員工和公司獲交託的所有數據。」