信息化觀察網(wǎng)

用數(shù)字說話——2018年安全行業(yè)現(xiàn)狀

每一年，CIO網(wǎng)站都會進(jìn)行“CIO現(xiàn)狀”調(diào)查，今年自然也不例外。通過本次公布的結(jié)果，您將能夠了解CIO們應(yīng)如何在當(dāng)下的商業(yè)環(huán)境當(dāng)中繼續(xù)發(fā)展，并確定2018年年內(nèi)的議程。

此次全面調(diào)查涉及眾多廣泛的主題。不過在本文當(dāng)中，我們將關(guān)注重點(diǎn)放在安全層面?？紤]到違規(guī)損失越來越高，而安全亦成為技術(shù)戰(zhàn)略當(dāng)中重要的組成部分，我們自然有理由考量以下幾個全局性問題——IT安全由誰負(fù)責(zé)、向誰報告、又掌握著多少預(yù)算？

下面，讓我們一同從數(shù)字當(dāng)中尋找答案。

誰在負(fù)責(zé)？

要了解一家企業(yè)對于某項任務(wù)究竟有多么關(guān)注，最好的方法之一就是看看負(fù)責(zé)這件事的高管到底擁有怎樣的地位。然而，這方面目前的職位安排確實(shí)令人有些迷糊——您可能擁有自己的首席安全官（CSO）、首席信息安全官（CISO）以及其它變體，而他們的工作描述也因企業(yè)不同而存在巨大差異。其中，CSO很有可能同時兼顧著企業(yè)內(nèi)的物理安全與信息安全事務(wù)。

從這個角度來看，我們調(diào)查的企業(yè)在安全管理方面擁有多種具體實(shí)現(xiàn)方式。25%的受訪企業(yè)擁有CISO，11%擁有CSO，17%擁有另一位頭銜不同的高層安全管理人員——這意味著近一半的企業(yè)還沒有為安全團(tuán)隊任命任何高層管理人員。

誰負(fù)責(zé)管理安全負(fù)責(zé)人？

當(dāng)然，任何參與過企業(yè)內(nèi)部“斗爭”的朋友都很清楚，公司之內(nèi)的影響力通常直接體現(xiàn)在每位員工的報告對象方面。我們向各家擁有CSO及CISO的企業(yè)進(jìn)行了求證，了解這類職務(wù)需要向誰報告，并發(fā)現(xiàn)這兩種職務(wù)設(shè)置在報告路徑方面也存在著顯著差異。

在擁有CSO的組織當(dāng)中，約有半數(shù)直接向CEO或者COO報告; 而四分之一則直接向企業(yè)內(nèi)的高層CIO報告。在CISO一邊，報告結(jié)構(gòu)則幾乎完全顛倒過來：約有半數(shù)接受高層CIO的領(lǐng)導(dǎo)，四分之一與企業(yè)運(yùn)營高層對接。這似乎表明CSO這一頭銜的職務(wù)定位更高——至少目前看來是如此。（此外，這兩個職位也有可能受到其它幾種職務(wù)的監(jiān)管，包括部門內(nèi)CIO與CFO——CFO可能會以防損職權(quán)方式介入。）

他們有哪些計劃？

為了盡可能提高效果，安全工作必須自起步階段就被融入戰(zhàn)略當(dāng)中。這一點(diǎn)對于大多數(shù)IT高管而言并不算什么秘密。我們向各受訪企業(yè)詢問了其IT安全戰(zhàn)略與整體IT戰(zhàn)略之間的整合情況，超過半數(shù)（54%）的受訪企業(yè)表示二者“緊密集成”，這意味著“IT安全戰(zhàn)略成為整體IT戰(zhàn)略與路線圖的重要組成部分。”另有10%表示“IT安全投資通常直接反映現(xiàn)有IT安全挑戰(zhàn)或事件。”

參與此次調(diào)查的IT領(lǐng)導(dǎo)者們則清醒地意識到上述整合目標(biāo)還沒有真正實(shí)現(xiàn)。在被問及未來三年IT安全戰(zhàn)略將如何與IT戰(zhàn)略進(jìn)行整合時，82%的受訪者表示二者將緊密集成，但只有2%表示二者可能無法集成。

CEO是否支持安全事務(wù)？

事實(shí)上，信息安全專業(yè)人士很少抱怨高層管理人員在安全問題方面抱持的消極態(tài)度; 但隨著網(wǎng)絡(luò)攻擊活動的日益加劇，越來越多的CEO們終于開始意識到自己的工作與安全事件間存在緊密的潛在關(guān)聯(lián)。事實(shí)上，F(xiàn)oley & Lardner LLP技術(shù)事務(wù)與外包業(yè)務(wù)合伙人Matthew Karlyn在2015年的休斯頓CIO Perspectives大會上向與會者們表示：“整個高管層與董事會如今都面臨著巨大的安全壓力。”

也許正因為如此，當(dāng)我們向CIO詢問其CEO在未來一年中的首要任務(wù)是什么時，才會有36%的受訪者在前三大任務(wù)當(dāng)中提出“改進(jìn)IT與數(shù)據(jù)安全水平以避免網(wǎng)絡(luò)攻擊”——這一比例遠(yuǎn)超其它觀點(diǎn)。

關(guān)注流程，而非關(guān)注工具

再來看一項似乎與CEO們關(guān)注網(wǎng)絡(luò)攻擊這一傾向相沖突的數(shù)據(jù)：只有28%的受訪企業(yè)表示“安全/風(fēng)險管理”屬于一項能夠推動IT投資的技術(shù)創(chuàng)新，而其它受訪者則強(qiáng)調(diào)資金正在流向其它非安全方向。

不過在詢問有哪些業(yè)務(wù)計劃有望推動IT投資時，情況又有所不同：31%的受訪者表示“提高網(wǎng)絡(luò)安全保護(hù)”，另有19%的受訪者表示“滿足合規(guī)性要求（GDPR等）”——而且GDPR等法令的合規(guī)工作往往被納入最高級別安全高管的職責(zé)范圍。這里傳達(dá)出的信息也許是，高管人員實(shí)際上是將安全視為一種整體性的業(yè)務(wù)考量方式——而非單純購買并安裝一套軟件或者工具。

他們打算提供多少預(yù)算？

2015年，IDC公司提出將企業(yè)IT預(yù)算總額的13.7%作為安全支出是一種比較理想的作法。但過去幾年以來，網(wǎng)絡(luò)安全挑戰(zhàn)變得日益嚴(yán)峻，這意味著IT安全支出將大幅增加，且提升速度可能遠(yuǎn)超企業(yè)內(nèi)的其它預(yù)算類型。

盡管如此，我們發(fā)現(xiàn)大多數(shù)受訪企業(yè)在這方面的表現(xiàn)都不理想：超過半的企業(yè)僅利用IT預(yù)算中的不足10%作為信息安全資金。四分之一的企業(yè)則將目標(biāo)設(shè)定在10%到20%范圍內(nèi)。

企業(yè)是否在招聘相關(guān)人才？

通過上述數(shù)據(jù)點(diǎn)，大家一定認(rèn)為信息安全已經(jīng)成為利潤豐厚、對IT專業(yè)新手們而言極具吸引力的職業(yè)區(qū)劃。我們向受訪企業(yè)們就此進(jìn)行了求證，答案也確實(shí)沒有令人失望。受訪企業(yè)表示，在預(yù)計招聘難度最高的技能組合當(dāng)中，安全與風(fēng)險管理位列榜首——39%的受訪者對此表示認(rèn)同。因此如果大家有意將網(wǎng)絡(luò)安全作為自己人生的奮斗目標(biāo)，那么現(xiàn)在是時候行動起來了。而在另一方面，如果您是用人單位一方……呃，只能祝好運(yùn)啦。