网络安全目前已经成为各企业董事会的重要关注方向与议程核心,不过大多数首席信息安全官(简称CISO)当下还是没能在董事会内获得席位。
根据本次ISACA与RSA大会进行的一份调查,82%的网络安全与信息安全专家在访问中宣称其董事会成员重视或者非常重视网络安全问题,但只有七分之一(14%)CISO有资格直接向CEO递交报告。
这种理念与行动之间的巨大差距广泛存在于高管团队当中。在本次调查当中,74%的受访安全专家预计所在企业将在2016年当中遭遇网络攻击,并有30%受访者预计钓鱼攻击将以日常姿态出现,这份《ISACA/RSA大会网络安全状态调查报告》指出。
“虽然有迹象表明企业高管人员正越来越多地了解网络安全的重要性,但其中仍然存在着进一步改善的空间,”RSA大会主编Jennifer Lawinski表示。“大多数CISO仍然需要向CIO报告,这意味着网络安全被视为一类技术问题而非业务问题。这次调查强调了信息安全行业在未来实现顺利发展所面临的阻碍。”
网络安全技能层面的差距亦会对企业安全水平带来威胁。在过去的2015年,受访安全专家对自身团队检测并响应事故的能力抱有信心的比例为75%,这一数字较2014年调查得出的87%比例下滑12%。而在这75%受访者中,60%承认其员工无法处理任何超出简单网络安全事故之外的状况。
除此之外,认为应聘者“具备聘用所要求之能力”的比例不超过一半的受访者数量由去年的50%提升至59%。其中27%的应聘者需要经过6个月的学习才能正式接手网络安全岗位,这一比例远高于2014年的3%。
“对现有网络安全技能水平的信心缺失显示出理想培训方案的匮乏,”ISACA首席知识官Ron Hale解释称。“能够亲自上手且基于技能的培训机制对于弥合网络安全技能鸿沟并高效发展强大网络团队而言非常重要。”
态势感知能力薄弱
这份调查还强调称,目前担任网络安全或者信息安全关键性角色的安全专家在态势感知能力方面较为薄弱:
24%受访者并不了解用户凭证是否曾于2015年年内遭受窃取。
24%受访者并不了解哪些恶意攻击者曾侵入其企业。
23%受访者并不了解其所在企业是否曾经经历过高级持续性威胁(简称APT)攻击。
20%受访者并不了解是否有企业资产被劫持作为僵尸网络使用。
尽管存在上述问题,但此次接受调查的大部分CISO表示已经开始在企业的技术层面发挥作用,而且今年的报告亦显示网络安全在企业中的受重视程度在逐步提升。在此次调查中,61%的受访者预计其网络安全预计将在2016年年内实现增长,而75%的受访者表示其所在企业的网络安全战略如今与业务发展目标保持一致。