9月24日，安永發布《2021安永全球信息安全調查報告》（以下簡稱“報告”）。報告顯示，在1400多名首席信息安全官和高級安全主管中，55%的受訪者稱在其職業生涯中，如今是網絡安全最受重視的階段。

　　不過，盡管超七成受訪者認為過去12個月里破壞性網絡攻擊數量持續上升，仍有56%的受訪者表示管理層制定緊急戰略決策時不會或很晚才會咨詢網絡安全團隊。

　　文 / 樊文揚

　　9月24日，安永發布《2021安永全球信息安全調查報告》（以下簡稱“報告”）。報告顯示，在1400多名首席信息安全官和高級安全主管中，55%的受訪者稱在其職業生涯中，如今是網絡安全最受重視的階段。

　　不過，盡管超七成受訪者認為過去12個月里破壞性網絡攻擊數量持續上升，仍有56%的受訪者表示管理層制定緊急戰略決策時不會或很晚才會咨詢網絡安全團隊。

　　過半受訪者：如今是網絡安全最受重視的階段

　　自2020年新冠疫情爆發以來，長期遠程工作數量不斷增加，高破壞性、高復雜度的全球網絡攻擊增長迅速，企業急需應對更加嚴峻的網絡安全環境。辦公場景的迅速變革推動了云計算等技術的廣泛普及，然而也留下了諸多未能解決的網絡安全漏洞。

　　上述報告以3月至5月針對來自1010家企業的1400多名首席信息安全官和高級安全主管展開的調查為基礎，探討了網絡安全職能部門在成為業務發展推動力和業務戰略合作伙伴過程中所面臨的挑戰與解決措施。

　　報告顯示，77%的受訪者認為，在過去12個月里破壞性網絡攻擊數量持續上升，相較于去年持有此觀點的人數上升了18%。盡管如此，網絡安全也仍然被很多企業所輕視，56%的受訪者表示管理層制定緊急戰略決策時不會或很晚才會咨詢網絡安全團隊，43%表示其對能否控制住本可以避免的網絡威脅十分擔憂。

　　“現實情況就是，當下的威脅數量已遠甚以往。”安永美洲區網絡安全咨詢業務主管合伙人戴夫·伯格（Dave Burg）表示，“這種現象的出現是受到勒索軟件商業模式的推動，而事實也證明了這種模式非常有效。”

　　據今年6月安恒信息威脅情報中心獵影實驗室發布的《2021年上半年全球勒索軟件趨勢報告》顯示，據不完全統計，2021年上半年至少發生了1200起勒索軟件攻擊事件，而2020年已知公布的數量約為1420起，同時平均贖金自去年的四十萬美元提高到今年的八十萬美元。

　　隨著全球網絡攻擊呈現新形式、新特征，網絡安全從業人員也對其應對風險的能力持保守態度。報告數據表明，33%的受訪者有信心確保供應鏈具備嚴密防御攻擊者及從攻擊中恢復的能力，35%能確保第三方及時披露其遭受的攻擊，47%稱其了解并能夠預測攻擊者使用的新策略。

　　面對網絡安全風險不斷增長的態勢，企業也開始重視網絡安全職能部門的保護能力。55%的受訪者稱在其職業生涯中，如今是網絡安全最受重視的階段，57%則認為危機能為網絡安全職能部門提供發展機會。此外，約39%的企業已將網絡安全列入季度董事會議程，相較于2020年這一比例上升了10%。

　　“多頭監管”帶來更嚴峻的合規挑戰

　　首席信息安全官和高級安全主管作為“業務增長和戰略合作伙伴的推動者”，在新冠肺炎疫情引發的一系列網絡威脅事件中，還存在制約其行動的三大挑戰。

　　第一，當下的網絡安全部門資金與需求仍存在較大差距，主要體現為預算與需求不同步和因成本削減降低了安全抵御能力。報告顯示，調查中的受訪企業去年平均收入約110億美元，每年在網絡安全方面的平均支出為528萬美元，僅占收入的0.05%。

　　同時，企業在該方面預算不足且不靈活可能降低其網絡安全防御能力。約39%受訪者認為網絡安全支出沒有充分計入戰略投資成本；36%的受訪者表示，如果不在網絡安全防御方面適當投資，企業遲早會遭受本可以避免的重大破壞；另有39%則指出其企業網絡安全預算低于過去12個月應對新挑戰所需的預算。

　　在企業急于尋求業務轉型，不斷縮緊網絡安全預算的情況下，約56%預算不足的企業不得不重新調整其網絡安全要求，而44%的受訪者也只能通過優化舊架構和舊系統以削減成本。

　　第二，“多頭監管”為企業帶來了更嚴峻的合規挑戰。首先，面對全球越發復雜的監管合規要求，企業需投入更多的資源與時間，近一半受訪者稱確保合規壓力很大，近六成受訪者預測監管在未來幾年將更趨多樣化；其次，首席信息安全官在預算層面對合規較多持悲觀態度，35%受訪者認為合規有利于企業推動正確的關注重點與行動，而認為能通過監管向董事會成功申請到額外預算的人不足五分之一，相較于去年有所下降。

　　第三，網絡安全管理人員與其他職能之間的關系有待改善。作為需在投資決策最初階段提供咨詢建議的部門人員，首席信息安全官與業務高層關系薄弱，58%受訪者指出企業有時在實施新技術時未留出足夠時間進行網絡安全評估或監督，81%的企業繞過網絡安全流程，在新業務的規劃階段未咨詢網絡安全團隊。

　　此外，41%、28%的受訪者分別認為其與市場營銷職能部門、業務方的關系亟需進一步改善與鞏固，相較去年這一比例均有所提高。事實上，網絡安全部門與業務線、市場營銷部門等離自身所在的規劃周期較近的部門關系是消極的，意味著其在需要建立穩固關系的地方，關系卻最為脆弱。

　　建議：加強合作、招攬人才、建立聯系

　　報告指出，首席信息安全官應在企業中扮演更具戰略性和商業意義的角色，將團隊重塑為企業轉型的推動者。為了讓這一職能部門的貢獻得到廣泛認可，報告從核心業務、人才畫像、利益關系三個角度提出了解決措施，以提高在企業中的地位。

　　一是重新評估首席信息安全官與業務的一致性，把握“最真實的情況”。網絡安全團隊應更多重視過去較為薄弱的網絡安全要素，加強與利益相關者的合作，確保與核心業務目標保持一致，并評估其業務合作伙伴對安全服務的性能和交付的滿意度。

　　二是以求真務實的態度審視首席信息安全官的人才畫像。為應對復雜的網絡攻擊，首席信息安全官需要全能復合型專業人士的支持，既要具備先進的技術技能，還要有建立跨部門協作的能力以發現新興威脅和防御系統的漏洞和缺陷。因此，要在理解每個學科自身優劣勢的基礎上，建立一個各學科百花齊放的團隊。

　　三是與新的利益相關者建立聯系，將自身置于四個關鍵利益相關者的中心位置。從前首席信息安全官主要堅持在轉型和產品開發生命周期的初期就嵌入網絡安全的原則，如今則需引導四個方面的關鍵利益。其一側重報告和問責制，其二側重認證、鑒證以及監管要求映射，其三提高標準和增強測試，最后注重認證和持續測試。