未加星标

埃森哲:CISO的企业影响力有限

字体大小 | |
[网络安全 所属分类 网络安全 | 发布者 店小二05 | 时间 | 作者 红领巾 ] 0人收藏点击收藏

埃森哲安全公司最近一份报告显示, 首席信息安全官(CISO) 并未拥有足够的权威和可见性来有效影响公司决策。

CISO负责建立和发展公司安全策略。然而,埃森哲安全公司最新一项研究表明,很多公司企业并未赋予CISO所需资源,极少有CISO能有效影响公司做出改变。

埃森哲7月10日发布的报告建立在对1460位首席级高管的访问调查基础上,题为《2018着眼当下保护企业未来安全》。这份36页的报告指出, 73% 的受访者认为应在整个企业范围内分散布置网络安全人员并采取相应行动,然而 74% 的受访者也提到,当下的网络安全很大程度上是集中式的。

该报告最令人惊讶的发现是, 只有不到1/3的CISO和业务主管在网络安全计划和预算上有合作。

仅40%的CISO经常与业务部门主管商谈,以便在提出安全策略之前先了解业务需求。

从数据上看,高管和CISO之间尚需更好地尽早对接才能有效降低未来的网络风险。这CISO本身也很有益处,因为随着CISO逐渐能以更业务相关的术语阐述和传达网络风险,他们在公司领导层眼中的地位也会上升,也就能更有效地影响公司网络安全决策。

影响力

需特别指出的是,该报告还发现CISO对公司业务部门的影响力很有限。这种公司层面上的影响力缺失是由多种原因造成的,比如 公司高管缺乏网络风险认知,或者CISO未能主动合作 。

调查发现,仅 38% 的业务主管在考虑新业务机会时会将CISO纳入早期规划的讨论当中,而CISO既然无从知晓这些业务,也就无从施加其网络安全影响。另外,企业安全人员往往只负责防御企业IT系统,但攻击者和企业主却是参与到公司价值链的方方面面的。

大多数受访者都认为某些高层角色应充当起安全和业务部门之间的 沟通桥梁 。如果CISO不能持续发展其角色和关系,他们将无法发挥其职能所需的影响力。

云计算

埃森哲报告中发现的一个网络安全漏洞存在于云计算领域。74%的受访者认为云服务提升了公司网络风险值,仅 44% 称云技术受到其现有网络安全策略的防护。

虽然很多安全公司设立了云安全和云监管项目,但安全漏洞还是可能因企业采纳的加速和大范围铺开而让安全团队顾此失彼。云提供商有很多安全功能是可以任由企业安排部署的,但近半数CISO承认,他们保护企业安全的责任增加得比自己处理安全问题的能力要快,于是出现了安全漏洞。

帮助CISO

埃森哲的研究显示,CISO职位在大型企业中已然确立,但却很少握有影响业务部门并建立网络弹性所需的权威和可见性。

CISO要想成为广受欢迎的合作者和可信合作伙伴,需得与业务部门紧密合作,保护并驱动高层设立的增长目标。网络安全人人有责,公司企业必须在各层级员工中间广为传播网络安全知识,实现为各个角色量身定制的经常性安全意识培训。

相关阅读

CISO应该进入董事会

去掉RSA的花哨 CISO关注这四大网络安全重点

CISO应不应该与CEO同属公司决策层?

本文网络安全相关术语:网络安全工程师 网络信息安全 网络安全技术 网络安全知识

分页:12
转载请注明
本文标题:埃森哲:CISO的企业影响力有限
本站链接:https://www.codesec.net/view/578937.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 网络安全 | 评论(0) | 阅读(41)