網(wǎng)絡安全已得到董事會關注 不再可有可無
首席信息安全官在高管層面上得到了前所未有的關注,這種情況會持續(xù)下去嗎?
幾十年以來,首席信息安全官和頂層高管之間的關系一直是若即若離。本世紀初,在911事件和紅色代碼、尼姆達等知名蠕蟲出現(xiàn)后,網(wǎng)絡安全從以前忽隱忽現(xiàn)的邊緣突然跳到了董事會的中心位置上。
然而,隨著時間推移,圍繞著網(wǎng)絡安全的興趣和緊迫感減弱了。2003年,人們的關注再次被點燃,當時,許多企業(yè)按照塞班斯法案的要求,逐步完善防御機制(Sarbanes Oxley Act,在世通等公司破產(chǎn)造成巨大經(jīng)濟損失后,美國對上市公司要求強制實行此法案)。
從那時開始,高管層和董事會給予網(wǎng)絡安全的關注始終不穩(wěn)定:一波高調(diào)的攻擊事件會占據(jù)新聞頭條,董事會對網(wǎng)絡安全的關注會提升一段時間,但隨著事件塵埃落定,這種興趣就會消退。
幸運的是,情況可能已經(jīng)改變。目前,董事會對網(wǎng)絡安全保持高度關注,而且很有可能跟進,讓網(wǎng)絡安全在今后一段時間內(nèi)繼續(xù)成為公司的高優(yōu)先級的高優(yōu)先級事項。原因在于,網(wǎng)絡攻擊事件連續(xù)發(fā)生,而數(shù)據(jù)泄露事件幾乎已成常態(tài)。
媒體最近的調(diào)查顯示,只有25%的首席信息安全官會向董事們做年度安全匯報,而30%的受訪者稱公司的安全高管每季度都會做安全匯報。也就是說,大約55%的受訪者每年都至少向董事會匯報一次。并不令人驚訝的是,公司規(guī)模越大,網(wǎng)絡安全就越受到重視:只有18%的小企業(yè)表示,安全高管會對董事會進行安全建議,而該數(shù)字在大企業(yè)中為33%。
對于董事會對安全事務的參與程度而言,美國的表現(xiàn)比全球平均水平更加優(yōu)秀。普華永道2016年全球信息安全現(xiàn)狀調(diào)研報告中稱,董事會參與安全事務的企業(yè)比例已經(jīng)下滑到了45%,但這比起該報告上一年給出的數(shù)字而言已經(jīng)提升顯著。各個分項數(shù)據(jù)在2016/2015年的對比為:參與安全預算的董事會占46%/40%,參與全局安全策略的占45%/42%,參與安全策略的占41%/36%,參與安全技術的占32%/25%。
分析和診斷安全公司Niara董事會成員、Venrock公司風投家道格·杜力(Doug Dooley)稱:“網(wǎng)絡安全已經(jīng)從普通大眾的輿論認知和華爾街的金融沖擊走入了董事會,成為公司重要的風險要素。所有董事會成員都應當對于解決企業(yè)安全風險和威脅有所理解。”
“網(wǎng)絡安全已經(jīng)從普通大眾的輿論認知和華爾街的金融沖擊走入了董事會,成為公司重要的風險要素”
——Venrock公司風投家道格·杜力“隨著軟件的發(fā)展,各行業(yè)的企業(yè)乃至整個世界都在數(shù)字化,與此同時,威脅向量和黑客利用的漏洞也在發(fā)展。我相信,網(wǎng)絡安全的定位和投資必將成為公司高層重要的審計要素。”
NSS Labs公司首席執(zhí)行官維克拉姆·帕塔科(Vikram Phatak)稱:“董事會監(jiān)察的作用在于,高管能夠?qū)ξ磥碛绊懝緫?zhàn)略的事務有所認知。因此,董事會參與意味著高管能夠?qū)⒕W(wǎng)絡安全視為需要平衡的長期戰(zhàn)略性目標之一,并為其賦予相應的價值。”
如今很少有人會質(zhì)疑這一點,但既然它在過去的幾十年里一直成立,為什么董事會卻選擇在當前開始重視此事呢?很多受訪者相信,在過去,除了監(jiān)管合規(guī)以及隱私風險的強制要求之外,信息安全僅僅被視為能夠被解決的安全風險,而不是和網(wǎng)絡罪犯之間的超級大戰(zhàn)。Northside Hospital的信息技術安全經(jīng)理馬丁·費雪(Martin Fisher)說:“我懷疑,很多董事會認為信息安全只是一個技術問題,會迅速消失。他們沒有將其看做是將會長期存在的商業(yè)風險。”
董事會對網(wǎng)絡安全的關注這次會持續(xù)得更長一些嗎?很多人都這樣認為。費雪說:“我認為網(wǎng)絡安全問題已經(jīng)進入了董事會層面,而且還將持續(xù)很長一段時間。隨著數(shù)據(jù)泄露事件繼續(xù)發(fā)生,董事會成員理解到網(wǎng)絡安全是一個必須監(jiān)控的問題,就像他們必須處理的其它主要風險一樣。”