Delinea公布了一项针对2,000多名IT安全决策者(ITSDM)的全球调查结果,揭示了网络安全职能与更广泛业务之间不一致的影响。
当被问及董事会和最高管理层对整个组织网络安全的理解时,只有39%的受访者认为其企业的领导层对网络安全作为业务推动者的作用有充分的理解。超过三分之一(36%)的受访者认为其仅在合规性和监管要求方面才被视为重要,而17%的受访者表示这不被视为业务优先事项。
对于89%的受访者组织来说,业务和安全目标之间的脱节似乎至少造成了一个负面后果,超过四分之一(26%)的受访者还表示,这导致其企业成功的网络攻击数量增加。
目标不一致对网络安全的影响是广泛的,因为这会导致投资延迟(35%)、战略决策制定延迟(34%)和不必要的支出增加(27%)。
对个人本身也有影响。31%的受访者表示,在压力方面影响了整个安全团队。此外,全球经济的不确定性使情况变得更糟。一半的受访者(48%)表示,越来越难以实现使网络安全与更广泛的业务目标保持一致。
结构化流程是调整目标的关键。调查显示,大多数安全团队(62%)定期与最高级别的业务伙伴会面。此外,54%的企业还在业务职能中嵌入了安全团队成员。然而,研究表明仍有改进的空间。因为只有不到一半的组织(48%)制定了促进协调的政策和程序,另有三分之一的受访者(33%)表示协调是临时的,只在“需要时才会发生”。
该报告还表明,用于衡量和证明网络安全所提供价值的指标仍然与技术或基于活动的数据严格相关。例如,被阻止的攻击次数(31%)被认为是最重要的成功衡量标准,其次是满足合规性目标(29%)和降低安全事件成本(29%)。
Delinea首席安全科学家兼首席信息安全顾问Joseph Carson表示:网络安全可以成为一个巨大的业务推动因素。但这项研究表明,在转变思维方式方面,董事会层面仍有一些工作要做。高管们在考虑网络安全问题时,不仅要考虑满足合规要求或保护企业,还要考虑网络安全在更具战略意义的层面上所能带来的价值。”
建立业务技能组合可能会提供更好的协调途径,但受访者将技术技能列为网络安全领导者最有价值的技能。这些被评为高于沟通、协作、商业智慧和人员管理等技能。
将近三分之一(31%)的受访者认为,向董事会和最高管理层提出业务案例是其自身技能方面的差距,而30%的受访者认为沟通技巧是需要改进的领域。
调整目标还包括审查报告路线和首席执行官级别的可见性。然而,Delinea调查表明,人们对报告结构的改变兴趣不大,因为只有27%的ITSDMS认为首席信息安全官或最高级的网络安全领导者应该向首席执行官报告,以更好地将网络安全与企业的总体目标保持一致。
Carson表示:“网络安全与业务目标之间的一致性对于成功至关重要。这项研究清楚地强调了当团队目标不完全同步时的负面后果。确保跨业务功能的共同协议至关重要,指标具有真正的价值,不仅可以衡量安全活动,还可以证明对业务成果的影响。沟通是关键,虽然强大的技术技能仍然很重要,但安全领导者需要比以往任何时候都更频繁地沟通、影响和展示其为业务成果增加的价值的能力。展示这种技能组合并且与企业有着相同最终目标的安全领导者是一股不可忽视的力量。”