当今企业面临的安全风险越来越大,据2010年CSO(首席安全执行官)状态调查报告显示,各种规模的企业开始迅速上线先进的安全解决方案,但即便如此,企业仍然有更多的工作要做,最显著是安全考评和宣传工作。下面一起来看看本次调查问卷的结果。
1、根据每一项描述,给你的组织打分(使用百分数打分,越高表示越吻合该项描述)。
花点时间反省以下以上内容,对你的工作将有莫大的帮助。
从上表可以看出,6年前,受访者所在公司对安全风险管理普遍不重视,缺乏安全策略,CSO和安全培训,时至今日情况有所不同了,根据调查报告可看出,今年许多公司都建立了安全计划,包括策略,人事和培训。
除了互联网市场外,这十年还有什么技术能在企业中如此快速地得到普及?以前谈论安全总是挂在嘴上,没有实际行动,如果不是近年不断发生的攻击事件,可能还未推动企业下定决心在安全方面加大投入,但今天的CSO仍然需要更多的动力,才能推进安全建设工作。
上表显示的2010年结果并非偶然,这是这些年来每个领域进步的一种表现。
2、根据每一项描述,给你的组织打分(使用百分数打分,越高表示越吻合该项描述)。
上面这两个问题前面已经回答过,很多人都认为大公司在安全方面一定比小公司做得好,但事实恰恰相反,从这个现象我们真的应该好好反思。
我们去年就注意到存在这个现象了,但今年仍然存在有点超乎现象,在去年的调查中,我们希望藉此确定大型企业是否会过渡依赖过程,很多人都认为大型组织更倾向于精细化,一定会有专门负责安全的责任人,一定会有专门的安全培训,而很多小公司的管理人员和员工通常都会这样描述自己的职责“…,以及其它必要的职责”,充分展现小公司一人多职的现象。
但事实就是事实,位于印度Gurgaon Genpact公司的CSO Brian Connor简单明确地解释了这一现象,他认为这是因为安全管理人员与员工缺乏沟通造成的。
那该怎么办呢?弗吉尼亚社区学院系统的CSO Jason Richards开了一剂良方,定期组织所有人员参与演练,数据和场景全部模拟真实环境,这比辛辛苦苦创作内部简报有效得多。
3、在你的安全预算过程中使用了下列哪些方法?
(受访者可以选择多个选项作答)
从上面的表格可以清晰看出,使用常见的财务方法做预算的时候越来越少。
这些方法都是标准的,但用在安全预算方面是出了名的困难,例如,年度亏损预期是某个行业的专用术语,放在另一个行业就显得站不住脚。
Richards最后也放弃了这些方法,他说:“我认为将这些方法用在安全预算领域不是不可能,但的确有难度,一开始人们可能会使用它们,但后来发现很笨重就会渐渐放弃”。
但如果一点也不用这些正规的方法也会让人感到不安,Harland Clarke控股公司的CSO John Petrie说:“虽然这里列出的方法没有哪一个能完美体现安全的价值,但它们仍然是衡量安全价值的基础”。
Petrie在一封邮件中表示,衡量安全的价值除了衡量数据的价值外,还应该包括企业的营收(或损失),安全事故响应成本,风险,声誉或其它方面,这些都不容易用具体的数字来衡量,现在我们正在开发一套全新的整体的衡量安全价值的方法,当然也包括了传统的TCO,ROI和EVA方法。
他举了一个例子,如果仅凭TCO和ROI就象领导推荐数据泄漏保护解决方案,肯定会遭到拒绝,但如果结合它能有效阻止员工泄漏机密数据或知识产权,效果就不一样了,他说:“这样就扩大了其价值,因此关于成本的讨论就少了,更多的是关注可接受的风险了”。
4、与过去12个月相比,你的整体安全预算有何变化?
上涨了:34%
持平:52%
降低了:14%
不确定:9%
这个趋势很正常,安全预算一直处于缓慢增长的态势。
5、过去的12个月中,你组织的领导是否给风险管理寄予了更多的价值?
寄予了更多的价值:54%
没有变化:40%
寄予了更少的价值:6%
这个结果也很正常,会有越来越多的管理者重视安全。
6、你的组织是否使用了正式的风险管理过程或方法?
2009 年
是的:46%
没有:57%
2010年
是的:57%
没有:43%
可以看出,很多企业开始采纳正式的企业风险管理(ERM)方法,ERM可能取代上面介绍的财务预算方法。
Security Risk Management公司的总裁Jeff Spivey在4月召开的CSO大会上做了ERM相关的报告,他表示企业在ERM方面投入越多,得到的回报也越大,因此制定一套完善的ERM计划并付诸实践,远比工作在EVA或以成本为基础的评估方式上更有效。
7、在过去12个月中,在调整安全制度方面花的时间有何变化?
增长了:56%
没有变化:42%
减少了:2%
可以看出,花在制度调整方面的时间呈持续上升的趋势。因此在制度建设方面建立一个明确有效的计划显得迫在眉睫。
关于本次调查和受访者
本次CSO状态调查是在线进行的,从中抽取了合格的样本进行统计,总共有227位安全专家参与了本次调查,他们来自各个行业,包括政府和非盈利组织(26%),金融服务(22%),高科技/电信/公用事业(15%),制造业(12%)和医疗保健(9%)等。调查报告包括信息安全,隐私,欺诈保护,调查,审计,人员安全等很多方面的内容。
原文出处:www.computerworld.com/s/article/9178655/State_of_the_CSO_2010_Progress_and_peril
