C級高管普遍看重網路安全但他們卻沒有做好準備

IBM 新近釋出的報告指出了一個問題：高管關心網路安全，但他們未必真的做好了響應網路威脅的準備。

IBM 釋出的報告《C 級高管眼中的網路安全》採集了700位非 CSO 的 C 級高官對網路安全的態度，分析了安全趨勢。報告中稱，儘管C級高管普遍將網路威脅視為主要問題之一，但他們未必真的做好了響應網路威脅的準備。

投票結果顯示，包括 CEO 、CIO 、CTO 在內，超過94％的 C 級高管相信自家企業將在未來兩年內遭遇安全事件。將近三分之二（65％）的受訪者表示，他們的網路安全計劃十分完備，然而與此同時，僅有17％的人士稱對企業網路威脅響應能力有信心。

IBM Security 高階安全顧問黛娜·凱莉（Diana Kelley）說：“C 級高官知道安全的重要性，但他們並不總是能夠參與到下一步過程中來”。

IBM 的報告提到了一種名為自信悖論的趨勢：高管對網路安全能力的估計與實際情況並不匹配，具體情況根據高管擔任的職位而有所不同。

“如果你離安全遠一點，可能會感覺更加舒服。如果你是頂級高管，很可能會想聽到粉飾太平的報告。”

由於公司報告制度存在的問題，除首席資訊保安官（CISO）之外的 C 級高管往往並不瞭解網路安全的新近趨勢。

這項研究指出了合作方面的斷層：69％的 C 級高管暗示自家企業制訂的安全計劃無法幫助 C 級高管們之間有效合作。

三分之二的受訪者相信，要想改善網路安全，就應當分享更多資訊。然而，當被問到是否願意給他人分享此類資訊時，僅有三分之一的受訪者表示自己對此已做好準備。

“他們知道應該分享資料，但他們很擔心，不願意真的將資料共享出來”。

安全領域仍舊存在量化難題。“我們如何將風險暴露量化，並向董事會上報？高管可能在資訊彙總板上看到一片綠燈，但如果你揭開偽裝，處理細節會帶來一些挑戰。”

然而，採用正確的量化指標並不容易。凱莉建議採取更多安全措施，並進行更頻繁的監控，她認為距離上次入侵事件的天數等簡單的指標可能並不能滿足需求。

“上次入侵天數、打補丁所需時常等簡陋的上報機制並不完備，企業需要更加整體地瞭解風險狀況。”

科技能夠幫助提升可見性，加強控制，然而真正的安全是通過人員、流程和科技的組合實現的。

“科技在很多事情上能夠比人類做得更快更好，但人類才是與系統互動、編寫程式和策略的主體。如果你沒有部署正確的策略和人員來使用技術，那麼這些技術也不會奏效。”

本文轉自d1net（轉載）