全球的信息技术研究和顾问公司Gartner调查发现,尽管95%的首席信息官预料未来三年内网络威胁将会增加,但目前只有65%的企业机构配备了网络安全专家。该调查还发现,技术挑战仍困扰着实施数字化的企业机构,而数字安全人员短缺被视作阻碍创新的首要因素。
Gartner的2018首席信息官议程调查共收集了3160位首席信息官所提供的数据,这些首席信息官来自98个国家与地区,覆盖各大行业,背后代表着约13万亿美元收入/公共部门预算以及2770亿美元IT支出。
该调查显示网络安全仍然令各企业机构深感忧虑。Gartner研究总监Rob McMillan表示,许多网络罪犯的行动方式不仅让各企业意想不到,而且还能随时应对不断变化的环境。
McMillan先生表示:“令人尴尬的是,许多网络罪犯同时也是数字开拓者,他们设法利用大数据与web规模的技术(web-scale techniques)发起攻击,盗窃数据。首席信息官为所在企业提供的保护无法面面俱到,因此他们必须创建一整套可持续控制措施,在企业保护与运行需求之间达到平衡。”
35%的受访者表示其所在企业机构在某些方面已经投资并部署了数字安全措施,另外36%的受访者正在主动尝试或计划在短期内实施。Gartner预测,到2020年,60%的安全预算将用于支持监测与响应能力。
McMillan先生表示:“必须按照基于风险的方法设定网络安全准备的目标级别(a target level of cybersecurity readiness)。仅靠提高预算无法改善风险状况,必须按照业务成果而优先考虑安全投资,确保合理花费资金。”
业务增长带来新的攻击向量
调查结果显示,许多首席信息官将增长与市场份额视作2018年的首要业务优先事项。增长通常意味着供应商网络更加多样化;不同的工作方式、融资模式与技术投资形式;以及需要支持不同的产品、服务与渠道。
McMillan先生表示:“坏消息是,网络安全威胁将以更加多样的方式影响更多企业,且难以预料。虽然对于见多识广的首席信息官而言,关于网络环境将变得更加危险的预期并不算什么新闻,但这些增长因素将带来新的攻击向量与新风险,而他们尚未习惯于应对这些向量与风险。”
持续积累后备实力
调查显示,在表现卓越的企业中,93%的首席信息官表示数字化业务能够协助他们带领IT组织适应和接纳各种变化。这种开放式文化让企业更愿意支持新的人员招募与培训方式,从而促进许多安全实践的进行。
McMillan先生认为:“网络安全面临着显而易见的技能短缺,并已成为阻碍创新的首要因素。寻找人才、激励人们担负起企业机构的网络安全责任是一项永恒的工作。”
Gartner认为,虽然大部分企业机构已经安排专人管理网络安全技能,且非常重视该职能,但网络安全技能短缺问题依然存在。Gartner建议首席信息安全官(CISO)继续通过创新方法积累后备实力,以培养安全团队的能力。
中国与世界其它国家存在显著差别
调查结果显示,在回答安全问题方面,中国与世界其它国家存在显著差别。安全性、安全与风险排在全球企业前十大业务优先事项之列,但却不在中国企业的前十大业务优先事项范围之内。仅有8%的中国受访者表示安全性是技术优先事项,约为全球平均比例的一半。中国不容乐观的网络/信息安全状况促使《中华人民共和国网络安全法》正式发布(已于2017年6月1日起实施)。针对这部法律将如何影响其业务、安全实践与隐私管理,中国首席信息官们应进行自我评估。他们应组建由法律、隐私、风险、合规性及IT专业人员构成的“响应团队”,以处理其安全与隐私管理方面的潜在合规性问题。他们应与专注于中国市场且拥有丰富安全与隐私实践的法律专家合作,持续跟踪与安全及隐私相关的未来指南的发展情况。他们还应为安全与隐私管理投入更多资金,否则,将面临企业声誉受损与客户流失的风险。