9月24日，安永發(fā)布《2021安永全球信息安全調(diào)查報(bào)告》（以下簡(jiǎn)稱“報(bào)告”）。報(bào)告顯示，在1400多名首席信息安全官和高級(jí)安全主管中，55%的受訪者稱在其職業(yè)生涯中，如今是網(wǎng)絡(luò)安全最受重視的階段。

　　不過，盡管超七成受訪者認(rèn)為過去12個(gè)月里破壞性網(wǎng)絡(luò)攻擊數(shù)量持續(xù)上升，仍有56%的受訪者表示管理層制定緊急戰(zhàn)略決策時(shí)不會(huì)或很晚才會(huì)咨詢網(wǎng)絡(luò)安全團(tuán)隊(duì)。

　　文 / 樊文揚(yáng)

　　9月24日，安永發(fā)布《2021安永全球信息安全調(diào)查報(bào)告》（以下簡(jiǎn)稱“報(bào)告”）。報(bào)告顯示，在1400多名首席信息安全官和高級(jí)安全主管中，55%的受訪者稱在其職業(yè)生涯中，如今是網(wǎng)絡(luò)安全最受重視的階段。

　　不過，盡管超七成受訪者認(rèn)為過去12個(gè)月里破壞性網(wǎng)絡(luò)攻擊數(shù)量持續(xù)上升，仍有56%的受訪者表示管理層制定緊急戰(zhàn)略決策時(shí)不會(huì)或很晚才會(huì)咨詢網(wǎng)絡(luò)安全團(tuán)隊(duì)。

　　過半受訪者：如今是網(wǎng)絡(luò)安全最受重視的階段

　　自2020年新冠疫情爆發(fā)以來，長(zhǎng)期遠(yuǎn)程工作數(shù)量不斷增加，高破壞性、高復(fù)雜度的全球網(wǎng)絡(luò)攻擊增長(zhǎng)迅速，企業(yè)急需應(yīng)對(duì)更加嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境。辦公場(chǎng)景的迅速變革推動(dòng)了云計(jì)算等技術(shù)的廣泛普及，然而也留下了諸多未能解決的網(wǎng)絡(luò)安全漏洞。

　　上述報(bào)告以3月至5月針對(duì)來自1010家企業(yè)的1400多名首席信息安全官和高級(jí)安全主管展開的調(diào)查為基礎(chǔ)，探討了網(wǎng)絡(luò)安全職能部門在成為業(yè)務(wù)發(fā)展推動(dòng)力和業(yè)務(wù)戰(zhàn)略合作伙伴過程中所面臨的挑戰(zhàn)與解決措施。

　　報(bào)告顯示，77%的受訪者認(rèn)為，在過去12個(gè)月里破壞性網(wǎng)絡(luò)攻擊數(shù)量持續(xù)上升，相較于去年持有此觀點(diǎn)的人數(shù)上升了18%。盡管如此，網(wǎng)絡(luò)安全也仍然被很多企業(yè)所輕視，56%的受訪者表示管理層制定緊急戰(zhàn)略決策時(shí)不會(huì)或很晚才會(huì)咨詢網(wǎng)絡(luò)安全團(tuán)隊(duì)，43%表示其對(duì)能否控制住本可以避免的網(wǎng)絡(luò)威脅十分擔(dān)憂。

　　“現(xiàn)實(shí)情況就是，當(dāng)下的威脅數(shù)量已遠(yuǎn)甚以往。”安永美洲區(qū)網(wǎng)絡(luò)安全咨詢業(yè)務(wù)主管合伙人戴夫·伯格（Dave Burg）表示，“這種現(xiàn)象的出現(xiàn)是受到勒索軟件商業(yè)模式的推動(dòng)，而事實(shí)也證明了這種模式非常有效?！?/p>

　　據(jù)今年6月安恒信息威脅情報(bào)中心獵影實(shí)驗(yàn)室發(fā)布的《2021年上半年全球勒索軟件趨勢(shì)報(bào)告》顯示，據(jù)不完全統(tǒng)計(jì)，2021年上半年至少發(fā)生了1200起勒索軟件攻擊事件，而2020年已知公布的數(shù)量約為1420起，同時(shí)平均贖金自去年的四十萬美元提高到今年的八十萬美元。

　　隨著全球網(wǎng)絡(luò)攻擊呈現(xiàn)新形式、新特征，網(wǎng)絡(luò)安全從業(yè)人員也對(duì)其應(yīng)對(duì)風(fēng)險(xiǎn)的能力持保守態(tài)度。報(bào)告數(shù)據(jù)表明，33%的受訪者有信心確保供應(yīng)鏈具備嚴(yán)密防御攻擊者及從攻擊中恢復(fù)的能力，35%能確保第三方及時(shí)披露其遭受的攻擊，47%稱其了解并能夠預(yù)測(cè)攻擊者使用的新策略。

　　面對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷增長(zhǎng)的態(tài)勢(shì)，企業(yè)也開始重視網(wǎng)絡(luò)安全職能部門的保護(hù)能力。55%的受訪者稱在其職業(yè)生涯中，如今是網(wǎng)絡(luò)安全最受重視的階段，57%則認(rèn)為危機(jī)能為網(wǎng)絡(luò)安全職能部門提供發(fā)展機(jī)會(huì)。此外，約39%的企業(yè)已將網(wǎng)絡(luò)安全列入季度董事會(huì)議程，相較于2020年這一比例上升了10%。

　　“多頭監(jiān)管”帶來更嚴(yán)峻的合規(guī)挑戰(zhàn)

　　首席信息安全官和高級(jí)安全主管作為“業(yè)務(wù)增長(zhǎng)和戰(zhàn)略合作伙伴的推動(dòng)者”，在新冠肺炎疫情引發(fā)的一系列網(wǎng)絡(luò)威脅事件中，還存在制約其行動(dòng)的三大挑戰(zhàn)。

　　第一，當(dāng)下的網(wǎng)絡(luò)安全部門資金與需求仍存在較大差距，主要體現(xiàn)為預(yù)算與需求不同步和因成本削減降低了安全抵御能力。報(bào)告顯示，調(diào)查中的受訪企業(yè)去年平均收入約110億美元，每年在網(wǎng)絡(luò)安全方面的平均支出為528萬美元，僅占收入的0.05%。

　　同時(shí)，企業(yè)在該方面預(yù)算不足且不靈活可能降低其網(wǎng)絡(luò)安全防御能力。約39%受訪者認(rèn)為網(wǎng)絡(luò)安全支出沒有充分計(jì)入戰(zhàn)略投資成本；36%的受訪者表示，如果不在網(wǎng)絡(luò)安全防御方面適當(dāng)投資，企業(yè)遲早會(huì)遭受本可以避免的重大破壞；另有39%則指出其企業(yè)網(wǎng)絡(luò)安全預(yù)算低于過去12個(gè)月應(yīng)對(duì)新挑戰(zhàn)所需的預(yù)算。

　　在企業(yè)急于尋求業(yè)務(wù)轉(zhuǎn)型，不斷縮緊網(wǎng)絡(luò)安全預(yù)算的情況下，約56%預(yù)算不足的企業(yè)不得不重新調(diào)整其網(wǎng)絡(luò)安全要求，而44%的受訪者也只能通過優(yōu)化舊架構(gòu)和舊系統(tǒng)以削減成本。

　　第二，“多頭監(jiān)管”為企業(yè)帶來了更嚴(yán)峻的合規(guī)挑戰(zhàn)。首先，面對(duì)全球越發(fā)復(fù)雜的監(jiān)管合規(guī)要求，企業(yè)需投入更多的資源與時(shí)間，近一半受訪者稱確保合規(guī)壓力很大，近六成受訪者預(yù)測(cè)監(jiān)管在未來幾年將更趨多樣化；其次，首席信息安全官在預(yù)算層面對(duì)合規(guī)較多持悲觀態(tài)度，35%受訪者認(rèn)為合規(guī)有利于企業(yè)推動(dòng)正確的關(guān)注重點(diǎn)與行動(dòng)，而認(rèn)為能通過監(jiān)管向董事會(huì)成功申請(qǐng)到額外預(yù)算的人不足五分之一，相較于去年有所下降。

　　第三，網(wǎng)絡(luò)安全管理人員與其他職能之間的關(guān)系有待改善。作為需在投資決策最初階段提供咨詢建議的部門人員，首席信息安全官與業(yè)務(wù)高層關(guān)系薄弱，58%受訪者指出企業(yè)有時(shí)在實(shí)施新技術(shù)時(shí)未留出足夠時(shí)間進(jìn)行網(wǎng)絡(luò)安全評(píng)估或監(jiān)督，81%的企業(yè)繞過網(wǎng)絡(luò)安全流程，在新業(yè)務(wù)的規(guī)劃階段未咨詢網(wǎng)絡(luò)安全團(tuán)隊(duì)。

　　此外，41%、28%的受訪者分別認(rèn)為其與市場(chǎng)營(yíng)銷職能部門、業(yè)務(wù)方的關(guān)系亟需進(jìn)一步改善與鞏固，相較去年這一比例均有所提高。事實(shí)上，網(wǎng)絡(luò)安全部門與業(yè)務(wù)線、市場(chǎng)營(yíng)銷部門等離自身所在的規(guī)劃周期較近的部門關(guān)系是消極的，意味著其在需要建立穩(wěn)固關(guān)系的地方，關(guān)系卻最為脆弱。

　　建議：加強(qiáng)合作、招攬人才、建立聯(lián)系

　　報(bào)告指出，首席信息安全官應(yīng)在企業(yè)中扮演更具戰(zhàn)略性和商業(yè)意義的角色，將團(tuán)隊(duì)重塑為企業(yè)轉(zhuǎn)型的推動(dòng)者。為了讓這一職能部門的貢獻(xiàn)得到廣泛認(rèn)可，報(bào)告從核心業(yè)務(wù)、人才畫像、利益關(guān)系三個(gè)角度提出了解決措施，以提高在企業(yè)中的地位。

　　一是重新評(píng)估首席信息安全官與業(yè)務(wù)的一致性，把握“最真實(shí)的情況”。網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)更多重視過去較為薄弱的網(wǎng)絡(luò)安全要素，加強(qiáng)與利益相關(guān)者的合作，確保與核心業(yè)務(wù)目標(biāo)保持一致，并評(píng)估其業(yè)務(wù)合作伙伴對(duì)安全服務(wù)的性能和交付的滿意度。

　　二是以求真務(wù)實(shí)的態(tài)度審視首席信息安全官的人才畫像。為應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊，首席信息安全官需要全能復(fù)合型專業(yè)人士的支持，既要具備先進(jìn)的技術(shù)技能，還要有建立跨部門協(xié)作的能力以發(fā)現(xiàn)新興威脅和防御系統(tǒng)的漏洞和缺陷。因此，要在理解每個(gè)學(xué)科自身優(yōu)劣勢(shì)的基礎(chǔ)上，建立一個(gè)各學(xué)科百花齊放的團(tuán)隊(duì)。

　　三是與新的利益相關(guān)者建立聯(lián)系，將自身置于四個(gè)關(guān)鍵利益相關(guān)者的中心位置。從前首席信息安全官主要堅(jiān)持在轉(zhuǎn)型和產(chǎn)品開發(fā)生命周期的初期就嵌入網(wǎng)絡(luò)安全的原則，如今則需引導(dǎo)四個(gè)方面的關(guān)鍵利益。其一側(cè)重報(bào)告和問責(zé)制，其二側(cè)重認(rèn)證、鑒證以及監(jiān)管要求映射，其三提高標(biāo)準(zhǔn)和增強(qiáng)測(cè)試，最后注重認(rèn)證和持續(xù)測(cè)試。