Sophos網絡安全報告 教育及預算不足成最大障礙

Sophos 發表最新研究報告《亞太及日本區網絡安全的未來－文化、效率、警覺性 》 (The Future of Cybersecurity in Asia Pacific and Japan – Culture, Efficiency, Awareness) ，披露企業對網絡安全的資投有效與否，除了取決於購入的技術，企業文化、員工教育和成交路徑 (path-to-purchase) 亦舉足輕重。

亞太及日本區步伐落後

大部分亞太及日本區 (66%) 業務決策人認為缺乏安全專門知識是其公司的一大挑戰，另有67%表示難以招聘具備相關技能的人才。這種現象可歸咎於企業一般的網絡安全體制，它們普遍視防護工作為IT員工的額外職責。

與此同時，另一個與員工態度和行為有關，牽涉範圍更廣的問題影響著企業網絡安全。事實上， 有85%的亞太及日本區企業指出，提高員工以至管理層的網絡安全意識以及加強相關教育為接下來24個月的最大挑戰。

預算及企業架構續成障礙

綜觀所有市場，只有34%的企業設有網絡安全專用預算，其餘絕大多數公司將相關預算納入更廣泛的IT預算或其他部門支出。企業的IT安全架構也不盡相同 ── 有三分之一受訪企業設有專責的首席資訊安全總監 (CISO) ，另外三分之一由IT主管負責網絡安全，其餘則交由一位管理高層，例如首席技術總監 (CTO) 負責。多數企業均繼續由內部處理大部分網絡安全工作，它們通常只會外判幾個範疇，如滲透測試和培訓。

有超過五成亞太及日本區企業會定期大幅改動網絡安全策略。此外，大部分 (82%) 區內企業計劃於12個月內進行變更，當中有一半預期會更多採用外部的安全合作夥伴。除了由於整體安全態勢轉變，科技與產品的發展、法規要求和新型攻擊的出現也是更新安全策略的主要原因。

Sophos首席研究科學家Chester Wisniewski表示：「大家都知道網絡安全問題十分棘手。Sophos這項研究便點題指出了企業既要面對不斷進化的網絡安全生態，亦得為克服種種威脅而無休止尋找相關人才和最佳實踐。哪麼，究竟『安全』的真正定義是什麼？歸根究底，安全就是能夠管理風險。因此，IT主管必須找出關鍵的範疇並與團隊對症下藥，方能有效保護企業本身、員工和公司獲交託的所有數據。」