2018年企業信息安全狀況概觀
每年,首席信息官(CIO)官網都會發起名為“State of the CIO”的CIO現狀調查,今年的調查報告已經出爐,這些調查數據將幫助你窺悉CIO角色在今天商業環境中的演變趨勢,有助于你了解2018下半年的企業信息化發展態勢并確定自身企業相關議程。
此次的CIO現狀調查涉及范圍廣泛,內容多樣,但今天我們要重點來關注的是2018年到現在為止的一些企業IT安全狀況,由于安全導致的違規成本不斷升高,而且信息安全已逐漸成為各大公司企業戰略中的關鍵部份,是企業關乎全局發展中不可忽視的問題。那么在企業信息化發展中,到底誰來負責信息安全?負責信息安全的人主要向誰匯報對誰負責?還有一個實質的問題是,信息安全負責人手中多少預算才合理?針對這些安全相關問題,我們也圍繞企業信息安全職位的發展定位,作了一個名為-The state of IT security 2018 的調查,希望結合State of the CIO的調查報告,厘清企業信息安全規劃和發展思路,起到一些借鑒作用。
企業中到底誰來負責信息安全?
查看一家公司是否確實重視某事的最好方法之一,就是看看他們負責這件事的人對公司來說有多重要。從確切的信息化任職頭銜上來說,可能會讓人造成一些混淆,有首席安全官(CSO),也有首席信息安全官(CISO)等,而且這些任職描述也可能因公司而異,就比如說首席安全官(CSO)負責的會有物理安全和數字信息安全的工作。
按照這種安全職位的任職方式來看,在我們調查的公司中結果有些混亂,有25%的公司擁有CISO,11%的公司擁有CSO,17%的公司安全高管中還兼任另一職位頭銜,這也就意味著有近一半的公司沒有專職管理人員來負責企業的信息安全工作。
- 首席安全官(CSO)負責整個機構的安全運行狀態,既包括物理安全又包括數字信息安全。CSO負責監控、協調公司內部的安全工作,包括信息技術、人力資源、通信、合規性、設備管理以及其他組織,CSO還要負責制訂安全措施和安全標準。CSO需要經常舉辦或參加相關領域的活動,如參與跟業務連續性、損失預防、詐騙預防和保護隱私等相關議題的活動。 首席信息安全官即CISO,負責整個機構的安全策略。
- 首席信息官(又稱CIO,是Chief Information Officer的縮寫)中文意思是首席信息官或信息主管,是負責一個公司信息技術和系統所有領域的高級官員。他們通過指導對信息技術的利用來支持公司的目標。他們具備技術和業務過程兩方面的知識,具有多功能的概念,常常是將組織的技術調配戰略與業務戰略緊密結合在一起的最佳人選。CIO原指政府管理部門中的首席信息官,隨著信息系統由后方 辦公室的輔助工具發展到直接參與企業的有力手段,CIO在企業中應運而生,成為舉足輕重的人物。美國企業的首席信息經理相當于副總經理直接對最高決策者負責。
負責信息安全的人向誰匯報工作?
當然,熟諳公司文化的人都會了解,通常個人在公司的內部影響力,很大程度上取決于自身向誰匯報工作而定,由此,我們就這個問題,分別向設有CSO和CISO的公司進行了一些調查,但結果卻各有不同。
在設置有CSO的公司里,大約有一半公司的CSO直接向CEO或COO匯報工作,而有將近四分之一公司的CSO直接對公司CIO高管負責;而對設置有CISO的公司里,這種工作負責制幾乎是相反的,有接近一半公司的CISO受CIO高管負責領導,有四分之一公司的CISO受公司其它高管負責領導。根據這種調查情況來看,至少從目前來看,似乎CSO是個更具威望的職位。而且在這兩個職位之上,有時還會存在一些其它的隱形潛在領導,比如部門CIO和資產防損的CFO等。
信息安全負責人如何來規劃企業信息安全發展道路?
為了實現效率最大化原則,安全需要從一開始就要融入集成到企業的規劃戰略中去。對于大多數公司的IT高管來說,這是公司信息化發展中最根本的事。我們針對IT安全規劃和IT戰略結合度的調查發現,有接近54%的受訪公司表示其已進行了“高度整合”,這也側面表明,IT安全規劃已經逐漸成為IT戰略發展中的重要部分。但也有近10%的公司表示,他們的安全投資或響應僅限于對當前出現的安全事件或挑戰進行部署。
接受調查訪問的公司IT高管深知這方面還存在很多不足之處,所以在我們問到,三年后如何整合IT安全戰略與IT戰略時,有82%的公司IT高管表示,會把這兩者“緊密集成”,而僅有2%的公司IT高管表示不會集成整合。
公司CEO應該為企業安全做些什么?
對于信息安全方面的專業技術人員來說,抱怨高管人員對安全的松懈態度已經司空見慣,但隨著網絡攻擊的增加,作為公司CEO的首席執行官們也會慢慢開始了解到,他們的工作與安全事件的潛在后果密切相關。在2015年的休斯頓CIO Perspectives會議上,Foley&Lardner LLP技術事務與外包業務合伙人Matthew Karlyn就表示,在這個數字經濟驅動的利益環境下,數據泄露事件都會在各個公司不同程度的潛在或發生,公司必須提前做好準備,以最大限度地減少對資產、員工和客戶的影響, “The entire C-suite and board is on the hot seat for security these days”(整個公司高層和董事會都需要著重考慮安全問題)。
針對這個問題,我們向受訪公司CIO詢問,公司CEO在來年的首要任務是什么?在排名前三的選項中,有36%的CIO表示,公司CEO在來年可能會提升企業IT和數據安全架構以防止網絡攻擊,這是這些CIO給出的最多選項。
信息安全處理需要流程化
在一項可能與公司CEO避免網絡攻擊的關注點有所沖突的數據抽樣調查中,有28%的受訪公司表示,“安全/風險管理”只是一項推動IT部門投資的技術舉措,而其余受訪者則強調企業資金可以向其它非安全業務方面傾斜。
但當我們深入問到會有什么樣的業務計劃會推動企業IT投資時,得到了一些不同的回應:31%的人表示“增加網絡安全保護”,另外19%表示可以用“滿足合規要求(如GDPR等)” –而這種遵守GDPR等規則的方法,又通常屬于高級別安全管理人員的權限范圍。這些不同的聲音表明,公司管理人員在企業整體戰略規劃中,確實應該將安全視為其中的一部份進行通盤考慮,而不僅僅是把安全簡單地看成是購買安裝一套安全軟件的方式。
公司IT安全規劃需要花費多少錢?
在2015年,IDC調查表示公司IT預算的13.7%是最理想最合理的信息安全支出數額,但最近幾年,網絡安全挑戰日益嚴峻,這也意味著IT安全支出只會大幅增加,公司其它方面的預算也會有所調整。
盡管如此,我們大多數受訪公司還是達不到這個理想的安全支出預算:有超過一半受訪公司聲稱,只有不到10%的花費用于信息安全,而僅有四分之一的公司安全支出在10%到20%的范圍內。
公司最希望招聘什么樣的安全人才?
這些調查數據會讓大家覺得,信息安全是一個非常極具前景的領域,尤其對于那些想要涉足這個領域的信息安全專家來說,你的選擇非常明智。經過調查我們發現,很多公司在適當的安全技能組合中,最急切最希望招聘的是那些具備安全和風險管理技能的專家型人才,有大約39%的受訪公司都選擇了這類型人才。在最希望招聘的top5職位中,分別為安全/風險管理人才、業務情報和數據分析專家、云集成專家、應用程序研發、企業管理軟件研發。從這一點來說,安全小白們,成為高帥富的路,為你們指明了,好好學習,歷精技藝吧。
