高層不重視IT安全問題、IT安全負責人陷入困境?!
在過去十年中,如果你詢問資訊安全專業人士在工作中遇到的最大挑戰時,通常情況下,你會聽到他們說其業務負責人沒有提供他們所需要的支援以及空間來保護企業。其中一個原因在於缺乏預算,另一個原因可能是,安全並沒有得到應有的重視。
BH諮詢公司首席執行官Brian Honan表示,“毫無疑問,大部分安全團隊通常感覺自己陷入困境。”很多企業認為網路安全是一個IT問題,而不是一個商業問題。當你考慮業務對IT的依賴性,特別是對這些系統上存儲的資訊的重要性時,企業需要意識到網路安全是一個真正的商業問題。“
但是,說服企業相信這一點是IT安全負責人的責任,他們需要說服企業管理層投資於安全性。IT安全市場研究公司Securosis分析師Mike Rothman表示:”我不認為安全障礙在於‘缺乏來自業務高層的安全管理’,業務負責人通常會根據業務的最佳利益來分配資源。如果安全團隊無法讓高層投資IT安全,那麼就是他們的責任,而不是業務負責人的責任。“
很多人也同意這種說法,在很多情況下,缺乏安全管理是首席安全負責人的責任。Honan表示:”首席安全負責人聲稱缺乏安全指引,而這正在導致他們的安全事項失敗。根據定義,首席安全負責人是負責企業的安全管理,他們需要負責確保高級業務人員以及每個使用者瞭解資訊安全的重要性。如果首席安全負責人發現企業沒有回應其指引,那麼,這意味著他不是合適的安全負責人人選,或者這個企業可能不適合這個安全負責人。“
業務管理層對安全問題充耳不聞
可以肯定的是,一些業務管理層對安全風險管理充耳不聞。這個問題的部分原因可能在於層級結構。最近,451集團的安全分析師Javvad Malik進行了一項研究調查,驚訝的發現,首席資訊安全負責人都認為他們沒能管理起企業的資訊安全風險,而且這並不完全是他們的錯。Malik表示:”調查結果發現,安全負責人(包括首席安全負責人或首席資訊安全負責人或者安全主管)都沒能夠有效管理企業內的安全性。首先,這些人在很多情況下都不是真正的高層,他們通常需要報告給首席資訊負責人或者首席財務負責人。“
這很糟糕,因為這意味著通常首席資訊安全負責人在董事會沒有一席之地,而當報告給首席資訊負責人時,資訊安全和IT事項直接存在強烈的利益衝突。
不過,在對首席安全負責人的現狀調查中,46%的安全決策者認為他們在過去一年中已經投入了很多到風險管理中,而61%預計企業高層在未來一年將會更加重視風險管理。調查結果顯示,較大的企業更重視風險管理。
更重要的是,近四分之三的受訪安全從業人員花更多的事間來與高級管理人員和其他高層決策者討論安全相關的事項,而79%表示在未來三年他們花在這方面的時間將會增加。
現在,趁著企業高層開始重視風險管理,安全管理人員可以利用這個機會來建立信譽。”安全可以説明企業達到其目標,建立信譽並不是很容易的事,應該意識到並不是所有事物都是工作重點。企業應該看看具體問題,確定其對企業的潛在影響,以及需要怎樣做來解決問題,這是值得處理的問題。“
這也是首席安全負責人發揮作用的地方,説明企業決定哪個範疇需要努力以及降低風險。