首席信息安全官在高管層面上得到了前所未有的關注，這種情況會持續下去嗎?

幾十年以來，首席信息安全官和頂層高管之間的關系一直是若即若離。本世紀初，在911事件和紅色代碼、尼姆達等知名蠕蟲出現后，網絡安全從以前忽隱忽現的邊緣突然跳到了董事會的中心位置上。

[[156102]]

然而，隨著時間推移，圍繞著網絡安全的興趣和緊迫感減弱了。2003年，人們的關注再次被點燃，當時，許多企業按照塞班斯法案的要求，逐步完善防御機制(Sarbanes Oxley Act，在世通等公司破產造成巨大經濟損失后，美國對上市公司要求強制實行此法案)。

從那時開始，高管層和董事會給予網絡安全的關注始終不穩定：一波高調的攻擊事件會占據新聞頭條，董事會對網絡安全的關注會提升一段時間，但隨著事件塵埃落定，這種興趣就會消退。

幸運的是，情況可能已經改變。目前，董事會對網絡安全保持高度關注，而且很有可能跟進，讓網絡安全在今后一段時間內繼續成為公司的高優先級的高優先級事項。原因在于，網絡攻擊事件連續發生，而數據泄露事件幾乎已成常態。

媒體最近的調查顯示，只有25%的首席信息安全官會向董事們做年度安全匯報，而30%的受訪者稱公司的安全高管每季度都會做安全匯報。也就是說，大約55%的受訪者每年都至少向董事會匯報一次。并不令人驚訝的是，公司規模越大，網絡安全就越受到重視：只有18%的小企業表示，安全高管會對董事會進行安全建議，而該數字在大企業中為33%。

對于董事會對安全事務的參與程度而言，美國的表現比全球平均水平更加優秀。普華永道2016年全球信息安全現狀調研報告中稱，董事會參與安全事務的企業比例已經下滑到了45%，但這比起該報告上一年給出的數字而言已經提升顯著。各個分項數據在2016/2015年的對比為：參與安全預算的董事會占46%/40%，參與全局安全策略的占45%/42%，參與安全策略的占41%/36%，參與安全技術的占32%/25%。

分析和診斷安全公司Niara董事會成員、Venrock公司風投家道格·杜力(Doug Dooley)稱：“網絡安全已經從普通大眾的輿論認知和華爾街的金融沖擊走入了董事會，成為公司重要的風險要素。所有董事會成員都應當對于解決企業安全風險和威脅有所理解。”

“網絡安全已經從普通大眾的輿論認知和華爾街的金融沖擊走入了董事會，成為公司重要的風險要素”

——Venrock公司風投家道格·杜力“隨著軟件的發展，各行業的企業乃至整個世界都在數字化，與此同時，威脅向量和黑客利用的漏洞也在發展。我相信，網絡安全的定位和投資必將成為公司高層重要的審計要素。”

NSS Labs公司首席執行官維克拉姆·帕塔科(Vikram Phatak)稱：“董事會監察的作用在于，高管能夠對未來影響公司戰略的事務有所認知。因此，董事會參與意味著高管能夠將網絡安全視為需要平衡的長期戰略性目標之一，并為其賦予相應的價值。”

如今很少有人會質疑這一點，但既然它在過去的幾十年里一直成立，為什么董事會卻選擇在當前開始重視此事呢?很多受訪者相信，在過去，除了監管合規以及隱私風險的強制要求之外，信息安全僅僅被視為能夠被解決的安全風險，而不是和網絡罪犯之間的超級大戰。Northside Hospital的信息技術安全經理馬丁·費雪(Martin Fisher)說：“我懷疑，很多董事會認為信息安全只是一個技術問題，會迅速消失。他們沒有將其看做是將會長期存在的商業風險。”

董事會對網絡安全的關注這次會持續得更長一些嗎?很多人都這樣認為。費雪說：“我認為網絡安全問題已經進入了董事會層面，而且還將持續很長一段時間。隨著數據泄露事件繼續發生，董事會成員理解到網絡安全是一個必須監控的問題，就像他們必須處理的其它主要風險一樣。”