首席信息安全官在高管层面上得到了前所未有的关注,这种情况会持续下去吗?
几十年以来,首席信息安全官和顶层高管之间的关系一直是若即若离。本世纪初,在911事件和红色代码、尼姆达等知名蠕虫出现后,网络安全从以前忽隐忽现的边缘突然跳到了董事会的中心位置上。
然而,随着时间推移,围绕着网络安全的兴趣和紧迫感减弱了。2003年,人们的关注再次被点燃,当时,许多企业按照塞班斯法案的要求,逐步完善防御机制(Sarbanes Oxley Act,在世通等公司破产造成巨大经济损失后,美国对上市公司要求强制实行此法案)。
从那时开始,高管层和董事会给予网络安全的关注始终不稳定:一波高调的攻击事件会占据新闻头条,董事会对网络安全的关注会提升一段时间,但随着事件尘埃落定,这种兴趣就会消退。
幸运的是,情况可能已经改变。目前,董事会对网络安全保持高度关注,而且很有可能跟进,让网络安全在今后一段时间内继续成为公司的高优先级的高优先级事项。原因在于,网络攻击事件连续发生,而数据泄露事件几乎已成常态。
媒体最近的调查显示,只有25%的首席信息安全官会向董事们做年度安全汇报,而30%的受访者称公司的安全高管每季度都会做安全汇报。也就是说,大约55%的受访者每年都至少向董事会汇报一次。并不令人惊讶的是,公司规模越大,网络安全就越受到重视:只有18%的小企业表示,安全高管会对董事会进行安全建议,而该数字在大企业中为33%。
对于董事会对安全事务的参与程度而言,美国的表现比全球平均水平更加优秀。普华永道2016年全球信息安全现状调研报告中称,董事会参与安全事务的企业比例已经下滑到了45%,但这比起该报告上一年给出的数字而言已经提升显著。各个分项数据在2016/2015年的对比为:参与安全预算的董事会占46%/40%,参与全局安全策略的占45%/42%,参与安全策略的占41%/36%,参与安全技术的占32%/25%。
分析和诊断安全公司Niara董事会成员、Venrock公司风投家道格·杜力(Doug Dooley)称:“网络安全已经从普通大众的舆论认知和华尔街的金融冲击走入了董事会,成为公司重要的风险要素。所有董事会成员都应当对于解决企业安全风险和威胁有所理解。”
“网络安全已经从普通大众的舆论认知和华尔街的金融冲击走入了董事会,成为公司重要的风险要素”
——Venrock公司风投家道格·杜力“随着软件的发展,各行业的企业乃至整个世界都在数字化,与此同时,威胁向量和黑客利用的漏洞也在发展。我相信,网络安全的定位和投资必将成为公司高层重要的审计要素。”
NSS Labs公司首席执行官维克拉姆·帕塔科(Vikram Phatak)称:“董事会监察的作用在于,高管能够对未来影响公司战略的事务有所认知。因此,董事会参与意味着高管能够将网络安全视为需要平衡的长期战略性目标之一,并为其赋予相应的价值。”
如今很少有人会质疑这一点,但既然它在过去的几十年里一直成立,为什么董事会却选择在当前开始重视此事呢?很多受访者相信,在过去,除了监管合规以及隐私风险的强制要求之外,信息安全仅仅被视为能够被解决的安全风险,而不是和网络罪犯之间的超级大战。Northside Hospital的信息技术安全经理马丁·费雪(Martin Fisher)说:“我怀疑,很多董事会认为信息安全只是一个技术问题,会迅速消失。他们没有将其看做是将会长期存在的商业风险。”
董事会对网络安全的关注这次会持续得更长一些吗?很多人都这样认为。费雪说:“我认为网络安全问题已经进入了董事会层面,而且还将持续很长一段时间。随着数据泄露事件继续发生,董事会成员理解到网络安全是一个必须监控的问题,就像他们必须处理的其它主要风险一样。”