Gartner:信息安全支出不透明引发企业组织高管的投资焦虑

首页 / 业界 / 资讯 /  正文
作者:藏青
来源:安全419
发布于:2021-11-23
Gartner在近期的一项针对多家公司高管的调查报告中指出,虽然大多数企业高管认同网络安全归属于商业风险而非技术风险,但他们并未对网络安全建立足够的认知和重视。
 
一般情况下,将网络安全列为业务风险的企业组织会委任一位高级别的非IT高管对安全负责,但在被调研的企业中,大部分高管并不了解企业中谁对安全负责,也不了解此前在安全方面的投入是否取得了回报。
 
 
此外该报告还发现,企业组织的网络安全支出仍然保持增加,但增长速度已经明显放缓,这进一步揭示了企业高管们对网络安全重视程度的转变:网络安全不应该是一个持续投入资金的无底洞,而应该是一项可以提供高回报的商业投资。
 
Gartner公司研究副总裁保罗•普罗科特表示:“在企业组织大举投资网络安全建设后,董事会开始转变态度,转向关注于此前的安全投入取得了怎样的成果。”
 
为什么企业高管会出现这样的态度反转?
 
调查数据表明,只有12%的受访者表示他们的董事会有一个专门的网络安全委员会。普罗科特表示:“统计数据表明,企业组织的董事会正在重新审视网络安全需求,但这只是一个开始。IT部门以外的高管们是时候承担起保护企业安全的责任了。”
 
“在过去,网络安全在董事会高管眼中就像神秘的魔法一样,他们把网络安全人员视为巫师,网络安全的持续投入就像是支付给巫师高额的报酬,让他们施加魔法保证企业的网络安全。一旦出现安全漏洞或是其他安全问题,他们就会对安全人员加以指责,认为给了充足的报酬却没有得到有效的回报,这是非常糟糕的。”普罗科特说。
 
研究的统计数据反映出了董事会高管们的意图和现实的矛盾,即过去尽管大家很认真的对待企业网络安全的问题,但从未想过去了解,在企业的服务器中到底发生了哪些事情。
 
“董事会终于准备好正视网络安全的问题,但想要真正全面理清企业安全情况还需要很多年。安全负责人需要从商业角度对安全进行投资,并在保护安全和业务经营需求中间取得平衡。”
 
Gartner建议,IT和安全负责人可以直接与董事会合作,以建立适当的安全建设方案,对可能对企业安全产生影响的任何业务决策分担责任。
 
Gartner指出,安全部门负责人可以设法阻止预算的削减,因为目前看来这在很大程度上是信息公开透明度的问题。普罗科特表示:“首席安全官和首席信息官必须利用他们的专业知识,提高投资和风险方面的透明度,推动安全责任共担。”