在过去十年中,如果你询问信息安全专业人士在工作中遇到的最大挑战时,通常情况下,你会听到他们说其业务领导没有提供他们所需要的支持以及空间来保护企业。其中一个原因在于缺乏预算,另一个原因可能是,安全并没有得到应有的重视。
BH咨询公司首席执行官Brian Honan表示,“毫无疑问,大部分安全团队通常感觉自己陷入困境。“很多企业认为网络安全是一个IT问题,而不是一个商业问题。当你考虑业务对IT的依赖性,特别是对这些系统上存储的信息的重要性时,企业需要意识到网络安全是一个真正的商业问题。”
但是,说服企业相信这一点是IT安全领导者的责任,他们需要说服企业管理层投资于安全性。IT安全市场研究公司Securosis分析师Mike Rothman表示:“我不认为安全障碍在于‘缺乏来自业务高管的安全领导’,业务领导通常会根据业务的最佳利益来分配资源。如果安全团队无法让高管投资于安全,那么就是他们的责任,而不是业务领导的责任。”
很多人也同意这种说法,在很多情况下,缺乏安全领导是首席安全官的责任。Honan表示:“首席安全官声称缺乏安全领导,而这正在导致他们的安全项目失败。根据定义,首席安全官是负责企业的安全领导,他们需要负责确保高级业务人员以及每个用户了解信息安全的重要性。如果首席安全官发现企业没有响应其领导,那么,这意味着这不是合适的安全官人选,或者这个企业可能不适合这个安全官。”
业务领导对安全问题充耳不闻
可以肯定的是,一些业务领导对安全风险管理充耳不闻。这个问题的部分原因可能在于层级结构。最近,451集团的安全分析师Javvad Malik进行了一项研究调查,惊讶的发现,首席信息安全官都认为他们没能管理起企业的信息安全风险,而且这并不完全是他们的错。Malik表示:“调查结果发现,安全领导(包括首席安全官或首席信息安全官或者安全主管)都没能够有效管理企业内的安全性。首先,这些人在很多情况下都不是真正的C级领导,他们通常需要报告给首席信息官或者首席财务官。”
这很糟糕,因为这意味着通常首席信息安全官在董事会没有一席之地,而当报告给首席信息官时,信息安全和IT项目直接存在强烈的利益冲突。
不过,在对首席安全官的现状调查中,46%的安全决策者认为他们在过去一年中已经投入了很多到风险管理中,而61%预计企业领导在未来一年将会更加重视风险管理。调查结果显示,较大的企业更重视风险管理。
更重要的是,近四分之三的受访安全从业人员花更多的事件来与高级管理人员和其他高层决策者讨论安全相关的事项,而79%表示在未来三年他们花在这方面的时间将会增加。
现在,趁着企业高管开始重视风险管理,安全管理人员可以利用这个机会来建立信誉。“安全可以帮助企业达到其目标,构建信誉并不像是玩‘四眼天鸡’的游戏,应该意识到并不是所有事物都是工作重点。企业应该看看具体问题,确定其对企业的潜在影响,以及需要怎么做来解决问题,是否这是值得处理的问题。”
这也是首席安全官发挥作用的地方,帮助企业决定哪个领域需要努力以及降低风险。