CIO調(diào)查 | 2018年企業(yè)信息安全狀況概觀

FreeBuf.COM
佚名
每年,首席信息官(CIO)官網(wǎng)都會(huì)發(fā)起名為“State of the CIO”的CIO現(xiàn)狀調(diào)查,今年的調(diào)查報(bào)告已經(jīng)出爐,這些調(diào)查數(shù)據(jù)將幫助你窺悉CIO角色在今天商業(yè)環(huán)境中的演變趨勢,有助于你了解2018下半年的企業(yè)信息化...

每年,首席信息官(CIO)官網(wǎng)都會(huì)發(fā)起名為“State of the CIO”的CIO現(xiàn)狀調(diào)查,今年的調(diào)查報(bào)告已經(jīng)出爐,這些調(diào)查數(shù)據(jù)將幫助你窺悉CIO角色在今天商業(yè)環(huán)境中的演變趨勢,有助于你了解2018下半年的企業(yè)信息化發(fā)展態(tài)勢并確定自身企業(yè)相關(guān)議程。

此次的CIO現(xiàn)狀調(diào)查涉及范圍廣泛,內(nèi)容多樣,但今天我們要重點(diǎn)來關(guān)注的是2018年到現(xiàn)在為止的一些企業(yè)IT安全狀況,由于安全導(dǎo)致的違規(guī)成本不斷升高,而且信息安全已逐漸成為各大公司企業(yè)戰(zhàn)略中的關(guān)鍵部份,是企業(yè)關(guān)乎全局發(fā)展中不可忽視的問題。那么在企業(yè)信息化發(fā)展中,到底誰來負(fù)責(zé)信息安全?負(fù)責(zé)信息安全的人主要向誰匯報(bào)對(duì)誰負(fù)責(zé)?還有一個(gè)實(shí)質(zhì)的問題是,信息安全負(fù)責(zé)人手中多少預(yù)算才合理?針對(duì)這些安全相關(guān)問題,我們也圍繞企業(yè)信息安全職位的發(fā)展定位,作了一個(gè)名為-The state of IT security 2018 的調(diào)查,希望結(jié)合State of the CIO的調(diào)查報(bào)告,厘清企業(yè)信息安全規(guī)劃和發(fā)展思路,起到一些借鑒作用。

企業(yè)中到底誰來負(fù)責(zé)信息安全?

查看一家公司是否確實(shí)重視某事的最好方法之一,就是看看他們負(fù)責(zé)這件事的人對(duì)公司來說有多重要。從確切的信息化任職頭銜上來說,可能會(huì)讓人造成一些混淆,有首席安全官(CSO),也有首席信息安全官(CISO)等,而且這些任職描述也可能因公司而異,就比如說首席安全官(CSO)負(fù)責(zé)的會(huì)有物理安全和數(shù)字信息安全的工作。

按照這種安全職位的任職方式來看,在我們調(diào)查的公司中結(jié)果有些混亂,有25%的公司擁有CISO,11%的公司擁有CSO,17%的公司安全高管中還兼任另一職位頭銜,這也就意味著有近一半的公司沒有專職管理人員來負(fù)責(zé)企業(yè)的信息安全工作。

首席安全官(CSO)負(fù)責(zé)整個(gè)機(jī)構(gòu)的安全運(yùn)行狀態(tài),既包括物理安全又包括數(shù)字信息安全。CSO負(fù)責(zé)監(jiān)控、協(xié)調(diào)公司內(nèi)部的安全工作,包括信息技術(shù)、人力資源、通信、合規(guī)性、設(shè)備管理以及其他組織,CSO還要負(fù)責(zé)制訂安全措施和安全標(biāo)準(zhǔn)。CSO需要經(jīng)常舉辦或參加相關(guān)領(lǐng)域的活動(dòng),如參與跟業(yè)務(wù)連續(xù)性、損失預(yù)防、詐騙預(yù)防和保護(hù)隱私等相關(guān)議題的活動(dòng)。 首席信息安全官即CISO,負(fù)責(zé)整個(gè)機(jī)構(gòu)的安全策略。

首席信息官(又稱CIO,是Chief Information Officer的縮寫)中文意思是首席信息官或信息主管,是負(fù)責(zé)一個(gè)公司信息技術(shù)和系統(tǒng)所有領(lǐng)域的高級(jí)官員。他們通過指導(dǎo)對(duì)信息技術(shù)的利用來支持公司的目標(biāo)。他們具備技術(shù)和業(yè)務(wù)過程兩方面的知識(shí),具有多功能的概念,常常是將組織的技術(shù)調(diào)配戰(zhàn)略與業(yè)務(wù)戰(zhàn)略緊密結(jié)合在一起的最佳人選。CIO原指政府管理部門中的首席信息官,隨著信息系統(tǒng)由后方 辦公室的輔助工具發(fā)展到直接參與企業(yè)的有力手段,CIO在企業(yè)中應(yīng)運(yùn)而生,成為舉足輕重的人物。美國企業(yè)的首席信息經(jīng)理相當(dāng)于副總經(jīng)理直接對(duì)最高決策者負(fù)責(zé)。

負(fù)責(zé)信息安全的人向誰匯報(bào)工作?

當(dāng)然,熟諳公司文化的人都會(huì)了解,通常個(gè)人在公司的內(nèi)部影響力,很大程度上取決于自身向誰匯報(bào)工作而定,由此,我們就這個(gè)問題,分別向設(shè)有CSO和CISO的公司進(jìn)行了一些調(diào)查,但結(jié)果卻各有不同。

在設(shè)置有CSO的公司里,大約有一半公司的CSO直接向CEO或COO匯報(bào)工作,而有將近四分之一公司的CSO直接對(duì)公司CIO高管負(fù)責(zé);而對(duì)設(shè)置有CISO的公司里,這種工作負(fù)責(zé)制幾乎是相反的,有接近一半公司的CISO受CIO高管負(fù)責(zé)領(lǐng)導(dǎo),有四分之一公司的CISO受公司其它高管負(fù)責(zé)領(lǐng)導(dǎo)。根據(jù)這種調(diào)查情況來看,至少從目前來看,似乎CSO是個(gè)更具威望的職位。而且在這兩個(gè)職位之上,有時(shí)還會(huì)存在一些其它的隱形潛在領(lǐng)導(dǎo),比如部門CIO和資產(chǎn)防損的CFO等。

信息安全負(fù)責(zé)人如何來規(guī)劃企業(yè)信息安全發(fā)展道路?

為了實(shí)現(xiàn)效率最大化原則,安全需要從一開始就要融入集成到企業(yè)的規(guī)劃戰(zhàn)略中去。對(duì)于大多數(shù)公司的IT高管來說,這是公司信息化發(fā)展中最根本的事。我們針對(duì)IT安全規(guī)劃和IT戰(zhàn)略結(jié)合度的調(diào)查發(fā)現(xiàn),有接近54%的受訪公司表示其已進(jìn)行了“高度整合”,這也側(cè)面表明,IT安全規(guī)劃已經(jīng)逐漸成為IT戰(zhàn)略發(fā)展中的重要部分。但也有近10%的公司表示,他們的安全投資或響應(yīng)僅限于對(duì)當(dāng)前出現(xiàn)的安全事件或挑戰(zhàn)進(jìn)行部署。

接受調(diào)查訪問的公司IT高管深知這方面還存在很多不足之處,所以在我們問到,三年后如何整合IT安全戰(zhàn)略與IT戰(zhàn)略時(shí),有82%的公司IT高管表示,會(huì)把這兩者“緊密集成”,而僅有2%的公司IT高管表示不會(huì)集成整合。

公司CEO應(yīng)該為企業(yè)安全做些什么?

對(duì)于信息安全方面的專業(yè)技術(shù)人員來說,抱怨高管人員對(duì)安全的松懈態(tài)度已經(jīng)司空見慣,但隨著網(wǎng)絡(luò)攻擊的增加,作為公司CEO的首席執(zhí)行官們也會(huì)慢慢開始了解到,他們的工作與安全事件的潛在后果密切相關(guān)。在2015年的休斯頓CIO Perspectives會(huì)議上,F(xiàn)oley&Lardner LLP技術(shù)事務(wù)與外包業(yè)務(wù)合伙人Matthew Karlyn就表示,在這個(gè)數(shù)字經(jīng)濟(jì)驅(qū)動(dòng)的利益環(huán)境下,數(shù)據(jù)泄露事件都會(huì)在各個(gè)公司不同程度的潛在或發(fā)生,公司必須提前做好準(zhǔn)備,以最大限度地減少對(duì)資產(chǎn)、員工和客戶的影響, “The entire C-suite and board is on the hot seat for security these days”(整個(gè)公司高層和董事會(huì)都需要著重考慮安全問題)。

針對(duì)這個(gè)問題,我們向受訪公司CIO詢問,公司CEO在來年的首要任務(wù)是什么?在排名前三的選項(xiàng)中,有36%的CIO表示,公司CEO在來年可能會(huì)提升企業(yè)IT和數(shù)據(jù)安全架構(gòu)以防止網(wǎng)絡(luò)攻擊,這是這些CIO給出的最多選項(xiàng)。

信息安全處理需要流程化

在一項(xiàng)可能與公司CEO避免網(wǎng)絡(luò)攻擊的關(guān)注點(diǎn)有所沖突的數(shù)據(jù)抽樣調(diào)查中,有28%的受訪公司表示,“安全/風(fēng)險(xiǎn)管理”只是一項(xiàng)推動(dòng)IT部門投資的技術(shù)舉措,而其余受訪者則強(qiáng)調(diào)企業(yè)資金可以向其它非安全業(yè)務(wù)方面傾斜。

但當(dāng)我們深入問到會(huì)有什么樣的業(yè)務(wù)計(jì)劃會(huì)推動(dòng)企業(yè)IT投資時(shí),得到了一些不同的回應(yīng):31%的人表示“增加網(wǎng)絡(luò)安全保護(hù)”,另外19%表示可以用“滿足合規(guī)要求(如GDPR等)” –而這種遵守GDPR等規(guī)則的方法,又通常屬于高級(jí)別安全管理人員的權(quán)限范圍。這些不同的聲音表明,公司管理人員在企業(yè)整體戰(zhàn)略規(guī)劃中,確實(shí)應(yīng)該將安全視為其中的一部份進(jìn)行通盤考慮,而不僅僅是把安全簡單地看成是購買安裝一套安全軟件的方式。

公司IT安全規(guī)劃需要花費(fèi)多少錢?

在2015年,IDC調(diào)查表示公司IT預(yù)算的13.7%是最理想最合理的信息安全支出數(shù)額,但最近幾年,網(wǎng)絡(luò)安全挑戰(zhàn)日益嚴(yán)峻,這也意味著IT安全支出只會(huì)大幅增加,公司其它方面的預(yù)算也會(huì)有所調(diào)整。

盡管如此,我們大多數(shù)受訪公司還是達(dá)不到這個(gè)理想的安全支出預(yù)算:有超過一半受訪公司聲稱,只有不到10%的花費(fèi)用于信息安全,而僅有四分之一的公司安全支出在10%到20%的范圍內(nèi)。

公司最希望招聘什么樣的安全人才?

這些調(diào)查數(shù)據(jù)會(huì)讓大家覺得,信息安全是一個(gè)非常極具前景的領(lǐng)域,尤其對(duì)于那些想要涉足這個(gè)領(lǐng)域的信息安全專家來說,你的選擇非常明智。經(jīng)過調(diào)查我們發(fā)現(xiàn),很多公司在適當(dāng)?shù)陌踩寄芙M合中,最急切最希望招聘的是那些具備安全和風(fēng)險(xiǎn)管理技能的專家型人才,有大約39%的受訪公司都選擇了這類型人才。在最希望招聘的top5職位中,分別為安全/風(fēng)險(xiǎn)管理人才、業(yè)務(wù)情報(bào)和數(shù)據(jù)分析專家、云集成專家、應(yīng)用程序研發(fā)、企業(yè)管理軟件研發(fā)。從這一點(diǎn)來說,安全小白們,成為高帥富的路,為你們指明了,好好學(xué)習(xí),歷精技藝吧。

THEEND