首席信息安全官在高管層面上得到了前所未有的關注，這種情況會持續(xù)下去嗎?

幾十年以來，首席信息安全官和頂層高管之間的關系一直是若即若離。本世紀初，在911事件和紅色代碼、尼姆達等知名蠕蟲出現(xiàn)后，網(wǎng)絡安全從以前忽隱忽現(xiàn)的邊緣突然跳到了董事會的中心位置上。

[[156102]]

然而，隨著時間推移，圍繞著網(wǎng)絡安全的興趣和緊迫感減弱了。2003年，人們的關注再次被點燃，當時，許多企業(yè)按照塞班斯法案的要求，逐步完善防御機制(Sarbanes Oxley Act，在世通等公司破產(chǎn)造成巨大經(jīng)濟損失后，美國對上市公司要求強制實行此法案)。

從那時開始，高管層和董事會給予網(wǎng)絡安全的關注始終不穩(wěn)定：一波高調(diào)的攻擊事件會占據(jù)新聞頭條，董事會對網(wǎng)絡安全的關注會提升一段時間，但隨著事件塵埃落定，這種興趣就會消退。

幸運的是，情況可能已經(jīng)改變。目前，董事會對網(wǎng)絡安全保持高度關注，而且很有可能跟進，讓網(wǎng)絡安全在今后一段時間內(nèi)繼續(xù)成為公司的高優(yōu)先級的高優(yōu)先級事項。原因在于，網(wǎng)絡攻擊事件連續(xù)發(fā)生，而數(shù)據(jù)泄露事件幾乎已成常態(tài)。

媒體最近的調(diào)查顯示，只有25%的首席信息安全官會向董事們做年度安全匯報，而30%的受訪者稱公司的安全高管每季度都會做安全匯報。也就是說，大約55%的受訪者每年都至少向董事會匯報一次。并不令人驚訝的是，公司規(guī)模越大，網(wǎng)絡安全就越受到重視：只有18%的小企業(yè)表示，安全高管會對董事會進行安全建議，而該數(shù)字在大企業(yè)中為33%。

對于董事會對安全事務的參與程度而言，美國的表現(xiàn)比全球平均水平更加優(yōu)秀。普華永道2016年全球信息安全現(xiàn)狀調(diào)研報告中稱，董事會參與安全事務的企業(yè)比例已經(jīng)下滑到了45%，但這比起該報告上一年給出的數(shù)字而言已經(jīng)提升顯著。各個分項數(shù)據(jù)在2016/2015年的對比為：參與安全預算的董事會占46%/40%，參與全局安全策略的占45%/42%，參與安全策略的占41%/36%，參與安全技術的占32%/25%。

分析和診斷安全公司Niara董事會成員、Venrock公司風投家道格·杜力(Doug Dooley)稱：“網(wǎng)絡安全已經(jīng)從普通大眾的輿論認知和華爾街的金融沖擊走入了董事會，成為公司重要的風險要素。所有董事會成員都應當對于解決企業(yè)安全風險和威脅有所理解。”

“網(wǎng)絡安全已經(jīng)從普通大眾的輿論認知和華爾街的金融沖擊走入了董事會，成為公司重要的風險要素”

——Venrock公司風投家道格·杜力“隨著軟件的發(fā)展，各行業(yè)的企業(yè)乃至整個世界都在數(shù)字化，與此同時，威脅向量和黑客利用的漏洞也在發(fā)展。我相信，網(wǎng)絡安全的定位和投資必將成為公司高層重要的審計要素。”

NSS Labs公司首席執(zhí)行官維克拉姆·帕塔科(Vikram Phatak)稱：“董事會監(jiān)察的作用在于，高管能夠?qū)ξ磥碛绊懝緫?zhàn)略的事務有所認知。因此，董事會參與意味著高管能夠?qū)⒕W(wǎng)絡安全視為需要平衡的長期戰(zhàn)略性目標之一，并為其賦予相應的價值。”

如今很少有人會質(zhì)疑這一點，但既然它在過去的幾十年里一直成立，為什么董事會卻選擇在當前開始重視此事呢?很多受訪者相信，在過去，除了監(jiān)管合規(guī)以及隱私風險的強制要求之外，信息安全僅僅被視為能夠被解決的安全風險，而不是和網(wǎng)絡罪犯之間的超級大戰(zhàn)。Northside Hospital的信息技術安全經(jīng)理馬丁·費雪(Martin Fisher)說：“我懷疑，很多董事會認為信息安全只是一個技術問題，會迅速消失。他們沒有將其看做是將會長期存在的商業(yè)風險。”

董事會對網(wǎng)絡安全的關注這次會持續(xù)得更長一些嗎?很多人都這樣認為。費雪說：“我認為網(wǎng)絡安全問題已經(jīng)進入了董事會層面，而且還將持續(xù)很長一段時間。隨著數(shù)據(jù)泄露事件繼續(xù)發(fā)生，董事會成員理解到網(wǎng)絡安全是一個必須監(jiān)控的問題，就像他們必須處理的其它主要風險一樣。”