在应对网络犯罪方面,全球企业的IT安全负责人都感觉到束手束脚。他们在董事会中缺乏影响力,而且很难证明他们需要的预算是合理的;从而使得企业不可避免地更易遭受攻击。这一现象是卡巴斯基实验室最新的一项研究报告发现的结果之一,该研究发现86%的首席信息安全官都认为网络安全事故不可避免,他们主要担心的是以获取经济利益为动机的网络犯罪组织。
从云计算到恶意内部人员:现代企业遭受的攻击面越来越大
网络威胁的增长,再加上很多企业正在经历数字化转型,使得首席信息安全官在现代企业中发挥着越来越重要的作用。卡巴斯基实验室的报告显示,现在的首席信息安全官面临的压力比以往任何时候都大:57%的CISO认为涉及云计算和移动办公的复杂基础设施是他们面临的最大挑战,50%的CISO担心网络攻击持续增长。
首席信息安全官认为以获取经济利益为目标的网络犯罪组织(40%)和恶意的内部攻击(29%)是企业面临的最大风险,而且这些威胁很难预防:要么是因为这些攻击是由“专业的”网络罪犯发动的。
预算理由挑战使得首席信息安全官需要与其他部门竞争来获得预算
根据报道,分配给网络安全的预算在不断增加。超过一半(56%)的首席信息安全官期望他们的预算在未来继续增加,38%的首席信息安全官希望他们的预算能保持不变。
尽管如此,首席信息安全官们仍然面临着重大的预算挑战,因为他们几乎不可能提供明确的投资回报(ROI),也无法保证100%的抵御网络攻击。
例如,超过三分之一(36%)的首席信息安全官表示他们无法保证获得需要的IT安全预算,因为他们不能确保不会发生安全事故。当企业将安全预算视为整体IT支出的一部分时,首席信息安全官发现自己正在争夺其他部门的预算。无法获得预算的第二个最常见原因可能是安全有时候是整体IT支出的一部分。此外,三分之一(33%)的首席信息安全官表示分配给他们的预算被优先应用于数字化、云计算和其他IT项目,因为这些项目可以表现出清晰的投资回报率。
随着数字化转型的发展,首席信息安全官需要董事会层面的受众
网络攻击会给企业造成严重的后果:接受卡巴斯基实验室调查的企业中,有超过四分之一表示信誉损失(28%)和经济损失(25%)是网络攻击造成的最严重后果。
但是,尽管网络攻击会造成严重的负面影响,但接受调查的IT安全负责人中,只有26%为自己所属公司的董事会成员。在那些不是董事会成员的人中,有四分之一(25%)认为自己应当成为董事会成员。
目前,大多数企业的IT安全负责人(58%)认为自己已充分参与了企业决策。但是,随着数字化转型成为大型企业的战略方向,网络安全也应当如此。首席信息安全官的职能需要进一步发展,以反映出这些变化,从而使他们在企业决策方面更有影响力。
卡巴斯基实验室全球营销副总裁Maxim Frolov说:“历史上,网络安全预算一直被视为优先级较低的IT支出,但现在情况并非如此了。现代企业面临的攻击面在不断增加,网络威胁的频率和影响以及网络事故的成本也在增加。结果就是越来越多的企业C级管理人员开始将IT安全看作是一项投资。
今天,网络安全风险是企业首席执行官(CEO)、首席财务官(CFO)和风险官要首要完成的任务。事实上,网络安全预算不仅是一种预防事故和与之相关的灾难性风险的方法,还是一种保护企业业务连续性和公司核心业务投资的方式。”
