業務部F5 Networks日前在新加坡國際網路週(Singapore International Cyber Week)發佈一份全球報告,針對今日演變中的威脅狀況深入探討資安長(CISO)的角色功能以及全球企業採取的資安措施。報告指出,IT安全性正加速成為企業的第一優先,CISO在公司內的影響力也因此水漲船高,然而許多企業的安全策略大致上仍維持被動回應,而且未能與商業功能相匹配。
F5 Networks 日前在新加坡國際網路週 (Singapore International Cyber Week) 發佈一份全球報告,針對今日演變中的威脅狀況深入探討資安長 (CISO) 的角色功能以及全球企業採取的資安措施。報告指出,IT 安全性正加速成為企業的第一優先,CISO 在公司內的影響力也因此水漲船高,然而許多企業的安全策略大致上仍維持被動回應,而且未能與商業功能相匹配。
這項報告是由 Ponemon Institute 負責執行,調查對象包括美國、英國、德國、巴西、墨西哥、印度和中國等七個國家 184 家公司的資深 IT 安全專業人員。
F5 資安長 Mike Convertino 表示:「這項研究以獨特的觀點探討 CISO 在今日高挑戰環境的角色功能。很明顯的,CISO 在安全事務的推動上以及他們在公司內擔任的領導角色已有了進步。然而,許多企業的 IT 安全性仍未能扮演必要的策略性主動角色以充分保護資產和防範日益複雜且頻繁的攻擊。」
關鍵調查結果
- CISO 責任加重 – 雖然 CISO 在組織高層有著不同程度的影響性,不過大多數對於公司網路安全風險管理和影響力都呈現增加趨勢。 68% 受訪者表示 CISO 對於所有 IT 安全支出具有最終決定權,而 64% 對於公司所有安全支出擁有直接影響力和權限。 87% 受訪者表示 IT 安全預算顯著增加 (18%) 、部分增加 (29%) 或沒有改變 (40%) 。
- 資安與商業需求的對等性 – 能夠涵蓋整個公司的 IT 安全策略仍非常少見。 58% 受訪者指出 IT 安全性是一項獨立的功能,僅 22% 表示安全性和其他商業團隊相整合,而 45% 則表示他們的安全功能並沒有明確的責任定義。 75% 受訪者表示由於欠缺與商業功能之間的整合,因此資訊孤島問題對於 IT 安全戰術與策略形成顯著影響 (36%) 或部分影響 (39%) 。
- 被動認定安全是商業優先考量 – 60% 受訪者相信他們公司將安全視為一項商業優先性,但僅有 51% 表示他們公司擁有 IT 安全策略,而其中只有 43% 表示他們的策略是由其他 C-level 主管審核、批示與支援。這項結果顯示安全計畫的改變大致上是被動的,而實質的資料外洩 (45%) 與網路安全攻擊 (43%) 是二種最會引起其他資深經營主管關注的事件。
- 危機提高 CISO 對經營領導層影響力 – 65% 受訪者表示 CISO 直接與資深經營主管溝通意見,但極少針對組織面對的所有威脅進行策略討論。 46% 承認唯有當出現實質的資料外洩與網路攻擊時,才會涉及 CEO 和董事會的討論,只有 19% 向 CEO 和董事會報告所有資料外洩事件。
- 人工智慧是解決人員短缺問題的潛在方案 – IT 安全人才短缺問題繼續困擾 CISO 。未來二年內,IT 安全團隊的平均員額將從 19 增加到 32 全職人員,近一半 (42%) 受訪者認為他們現在的員額不足。 58% 表示在聘僱合格資安人員方面遭遇困難,最大的挑戰是發掘和招募合格員工 (56%),以及未能提供符合市場水準的薪資 (48%) 。這些挑戰促使公司向其他地方尋求解決方案,半數 (50%) 受訪者相信電腦學習與人工智慧可以解決人員短缺問題,而 70% 相信這些在未來二年將成為他們 IT 安全功能的重要技術。
參考資訊