IBM 新近发布的报告指出了一个问题:高管关心网络安全,但他们未必真的做好了响应网络威胁的准备。
IBM 发布的报告《C 级高管眼中的网络安全》采集了700位非 CSO 的 C 级高官对网络安全的态度,分析了安全趋势。报告中称,尽管C级高管普遍将网络威胁视为主要问题之一,但他们未必真的做好了响应网络威胁的准备。
投票结果显示,包括 CEO 、CIO 、CTO 在内,超过94%的 C 级高管相信自家企业将在未来两年内遭遇安全事件。将近三分之二(65%)的受访者表示,他们的网络安全计划十分完备,然而与此同时,仅有17%的人士称对企业网络威胁响应能力有信心。
IBM Security 高级安全顾问黛娜·凯莉(Diana Kelley)说:“C 级高官知道安全的重要性,但他们并不总是能够参与到下一步过程中来”。
IBM 的报告提到了一种名为自信悖论的趋势:高管对网络安全能力的估计与实际情况并不匹配,具体情况根据高管担任的职位而有所不同。
“如果你离安全远一点,可能会感觉更加舒服。如果你是顶级高管,很可能会想听到粉饰太平的报告。”
由于公司报告制度存在的问题,除首席信息安全官(CISO)之外的 C 级高管往往并不了解网络安全的新近趋势。
这项研究指出了合作方面的断层:69%的 C 级高管暗示自家企业制订的安全计划无法帮助 C 级高管们之间有效合作。
三分之二的受访者相信,要想改善网络安全,就应当分享更多信息。然而,当被问到是否愿意给他人分享此类信息时,仅有三分之一的受访者表示自己对此已做好准备。
“他们知道应该分享数据,但他们很担心,不愿意真的将数据共享出来”。
安全领域仍旧存在量化难题。“我们如何将风险暴露量化,并向董事会上报?高管可能在信息汇总板上看到一片绿灯,但如果你揭开伪装,处理细节会带来一些挑战。”
然而,采用正确的量化指标并不容易。凯莉建议采取更多安全措施,并进行更频繁的监控,她认为距离上次入侵事件的天数等简单的指标可能并不能满足需求。
“上次入侵天数、打补丁所需时常等简陋的上报机制并不完备,企业需要更加整体地了解风险状况。”
科技能够帮助提升可见性,加强控制,然而真正的安全是通过人员、流程和科技的组合实现的。
“科技在很多事情上能够比人类做得更快更好,但人类才是与系统交互、编写程序和策略的主体。如果你没有部署正确的策略和人员来使用技术,那么这些技术也不会奏效。”
本文转自d1net(转载)
