在過(guò)去十年中，如果你詢問(wèn)信息安全專業(yè)人士在工作中遇到的最大挑戰(zhàn)時(shí)，通常情況下，你會(huì)聽(tīng)到他們說(shuō)其業(yè)務(wù)領(lǐng)導(dǎo)沒(méi)有提供他們所需要的支持以及空間來(lái)保護(hù)企業(yè)。其中一個(gè)原因在于缺乏預(yù)算，另一個(gè)原因可能是，安全并沒(méi)有得到應(yīng)有的重視。

[[114879]]

BH咨詢公司首席執(zhí)行官Brian Honan表示，“毫無(wú)疑問(wèn)，大部分安全團(tuán)隊(duì)通常感覺(jué)自己陷入困境。“很多企業(yè)認(rèn)為網(wǎng)絡(luò)安全是一個(gè)IT問(wèn)題，而不是一個(gè)商業(yè)問(wèn)題。當(dāng)你考慮業(yè)務(wù)對(duì)IT的依賴性，特別是對(duì)這些系統(tǒng)上存儲(chǔ)的信息的重要性時(shí)，企業(yè)需要意識(shí)到網(wǎng)絡(luò)安全是一個(gè)真正的商業(yè)問(wèn)題。”

但是，說(shuō)服企業(yè)相信這一點(diǎn)是IT安全領(lǐng)導(dǎo)者的責(zé)任，他們需要說(shuō)服企業(yè)管理層投資于安全性。IT安全市場(chǎng)研究公司Securosis分析師Mike Rothman表示：“我不認(rèn)為安全障礙在于‘缺乏來(lái)自業(yè)務(wù)高管的安全領(lǐng)導(dǎo)’，業(yè)務(wù)領(lǐng)導(dǎo)通常會(huì)根據(jù)業(yè)務(wù)的最佳利益來(lái)分配資源。如果安全團(tuán)隊(duì)無(wú)法讓高管投資于安全，那么就是他們的責(zé)任，而不是業(yè)務(wù)領(lǐng)導(dǎo)的責(zé)任。”

很多人也同意這種說(shuō)法，在很多情況下，缺乏安全領(lǐng)導(dǎo)是首席安全官的責(zé)任。Honan表示：“首席安全官聲稱缺乏安全領(lǐng)導(dǎo)，而這正在導(dǎo)致他們的安全項(xiàng)目失敗。根據(jù)定義，首席安全官是負(fù)責(zé)企業(yè)的安全領(lǐng)導(dǎo)，他們需要負(fù)責(zé)確保高級(jí)業(yè)務(wù)人員以及每個(gè)用戶了解信息安全的重要性。如果首席安全官發(fā)現(xiàn)企業(yè)沒(méi)有響應(yīng)其領(lǐng)導(dǎo)，那么，這意味著這不是合適的安全官人選，或者這個(gè)企業(yè)可能不適合這個(gè)安全官。”

業(yè)務(wù)領(lǐng)導(dǎo)對(duì)安全問(wèn)題充耳不聞

可以肯定的是，一些業(yè)務(wù)領(lǐng)導(dǎo)對(duì)安全風(fēng)險(xiǎn)管理充耳不聞。這個(gè)問(wèn)題的部分原因可能在于層級(jí)結(jié)構(gòu)。最近，451集團(tuán)的安全分析師Javvad Malik進(jìn)行了一項(xiàng)研究調(diào)查，驚訝的發(fā)現(xiàn)，首席信息安全官都認(rèn)為他們沒(méi)能管理起企業(yè)的信息安全風(fēng)險(xiǎn)，而且這并不完全是他們的錯(cuò)。Malik表示：“調(diào)查結(jié)果發(fā)現(xiàn)，安全領(lǐng)導(dǎo)(包括首席安全官或首席信息安全官或者安全主管)都沒(méi)能夠有效管理企業(yè)內(nèi)的安全性。首先，這些人在很多情況下都不是真正的C級(jí)領(lǐng)導(dǎo)，他們通常需要報(bào)告給首席信息官或者首席財(cái)務(wù)官。”

這很糟糕，因?yàn)檫@意味著通常首席信息安全官在董事會(huì)沒(méi)有一席之地，而當(dāng)報(bào)告給首席信息官時(shí)，信息安全和IT項(xiàng)目直接存在強(qiáng)烈的利益沖突。

不過(guò)，在對(duì)首席安全官的現(xiàn)狀調(diào)查中，46%的安全決策者認(rèn)為他們?cè)谶^(guò)去一年中已經(jīng)投入了很多到風(fēng)險(xiǎn)管理中，而61%預(yù)計(jì)企業(yè)領(lǐng)導(dǎo)在未來(lái)一年將會(huì)更加重視風(fēng)險(xiǎn)管理。調(diào)查結(jié)果顯示，較大的企業(yè)更重視風(fēng)險(xiǎn)管理。

更重要的是，近四分之三的受訪安全從業(yè)人員花更多的事件來(lái)與高級(jí)管理人員和其他高層決策者討論安全相關(guān)的事項(xiàng)，而79%表示在未來(lái)三年他們花在這方面的時(shí)間將會(huì)增加。

現(xiàn)在，趁著企業(yè)高管開(kāi)始重視風(fēng)險(xiǎn)管理，安全管理人員可以利用這個(gè)機(jī)會(huì)來(lái)建立信譽(yù)。“安全可以幫助企業(yè)達(dá)到其目標(biāo)，構(gòu)建信譽(yù)并不像是玩‘四眼天雞’的游戲，應(yīng)該意識(shí)到并不是所有事物都是工作重點(diǎn)。企業(yè)應(yīng)該看看具體問(wèn)題，確定其對(duì)企業(yè)的潛在影響，以及需要怎么做來(lái)解決問(wèn)題，是否這是值得處理的問(wèn)題。”

這也是首席安全官發(fā)揮作用的地方，幫助企業(yè)決定哪個(gè)領(lǐng)域需要努力以及降低風(fēng)險(xiǎn)。