CIO調查 | 2018年企業資訊保安狀況概觀

　　本文轉載自" FreeBuf.COM",編譯：clouds
　　每年，資訊長(CIO)官網都會發起名為“State of the CIO”的CIO現狀調查，今年的調查報告已經出爐，這些調查資料將幫助你窺悉CIO角色在今天商業環境中的演變趨勢，有助於你瞭解2018下半年的企業資訊化發展態勢並確定自身企業相關議程。

　　此次的CIO現狀調查涉及範圍廣泛，內容多樣，但今天我們要重點來關注的是2018年到現在為止的一些企業IT安全狀況，由於安全導致的違規成本不斷升高，而且資訊保安已逐漸成為各大公司企業戰略中的關鍵部份，是企業關乎全域性發展中不可忽視的問題。那麼在企業資訊化發展中，到底誰來負責資訊保安?負責資訊保安的人主要向誰彙報對誰負責?還有一個實質的問題是，資訊保安負責人手中多少預算才合理?針對這些安全相關問題，我們也圍繞企業資訊保安職位的發展定位，作了一個名為-The state of IT security 2018 的調查，希望結合State of the CIO的調查報告，釐清企業資訊保安規劃和發展思路，起到一些借鑑作用。

　　企業中到底誰來負責資訊保安?

　　檢視一家公司是否確實重視某事的最好方法之一，就是看看他們負責這件事的人對公司來說有多重要。從確切的資訊化任職頭銜上來說，可能會讓人造成一些混淆，有首席安全官(CSO)，也有首席資訊保安官(CISO)等，而且這些任職描述也可能因公司而異，就比如說首席安全官(CSO)負責的會有物理安全和數字資訊保安的工作。

　　按照這種安全職位的任職方式來看，在我們調查的公司中結果有些混亂，有25%的公司擁有CISO，11%的公司擁有CSO，17%的公司安全高管中還兼任另一職位頭銜，這也就意味著有近一半的公司沒有專職管理人員來負責企業的資訊保安工作。

　　首席安全官(CSO)負責整個機構的安全執行狀態，既包括物理安全又包括數字資訊保安。CSO負責監控、協調公司內部的安全工作，包括資訊科技、人力資源、通訊、合規性、裝置管理以及其他組織，CSO還要負責制訂安全措施和安全標準。CSO需要經常舉辦或參加相關領域的活動，如參與跟業務連續性、損失預防、詐騙預防和保護隱私等相關議題的活動。 首席資訊保安官即CISO，負責整個機構的安全策略。

　　資訊長(又稱CIO，是Chief Information Officer的縮寫)中文意思是資訊長或資訊主管，是負責一個公司資訊科技和系統所有領域的高階官員。他們透過指導對資訊科技的利用來支援公司的目標。他們具備技術和業務過程兩方面的知識，具有多功能的概念，常常是將組織的技術調配戰略與業務戰略緊密結合在一起的最佳人選。CIO原指政府管理部門中的資訊長，隨著資訊系統由後方 辦公室的輔助工具發展到直接參與企業的有力手段，CIO在企業中應運而生，成為舉足輕重的人物。美國企業的首席資訊經理相當於副總經理直接對最高決策者負責。

　　負責資訊保安的人向誰彙報工作?

　　當然，熟諳公司文化的人都會了解，通常個人在公司的內部影響力，很大程度上取決於自身向誰彙報工作而定，由此，我們就這個問題，分別向設有CSO和CISO的公司進行了一些調查，但結果卻各有不同。

　　在設定有CSO的公司裡，大約有一半公司的CSO直接向CEO或COO彙報工作，而有將近四分之一公司的CSO直接對公司CIO高管負責;而對設定有CISO的公司裡，這種工作負責制幾乎是相反的，有接近一半公司的CISO受CIO高管負責領導，有四分之一公司的CISO受公司其它高管負責領導。根據這種調查情況來看，至少從目前來看，似乎CSO是個更具威望的職位。而且在這兩個職位之上，有時還會存在一些其它的隱形潛在領導，比如部門CIO和資產防損的CFO等。

　　資訊保安負責人如何來規劃企業資訊保安發展道路?

　　為了實現效率最大化原則，安全需要從一開始就要融入整合到企業的規劃戰略中去。對於大多數公司的IT高管來說，這是公司資訊化發展中最根本的事。我們針對IT安全規劃和IT戰略結合度的調查發現，有接近54%的受訪公司表示其已進行了“高度整合”，這也側面表明，IT安全規劃已經逐漸成為IT戰略發展中的重要部分。但也有近10%的公司表示，他們的安全投資或響應僅限於對當前出現的安全事件或挑戰進行部署。

　　接受調查訪問的公司IT高管深知這方面還存在很多不足之處，所以在我們問到，三年後如何整合IT安全戰略與IT戰略時，有82%的公司IT高管表示，會把這兩者“緊密整合”，而僅有2%的公司IT高管表示不會整合整合。

　　公司CEO應該為企業安全做些什麼?

　　對於資訊保安方面的專業技術人員來說，抱怨高管人員對安全的鬆懈態度已經司空見慣，但隨著網路攻擊的增加，作為公司CEO的執行長們也會慢慢開始瞭解到，他們的工作與安全事件的潛在後果密切相關。在2015年的休斯頓CIO Perspectives會議上，Foley&Lardner LLP技術事務與外包業務合夥人Matthew Karlyn就表示，在這個數字經濟驅動的利益環境下，資料洩露事件都會在各個公司不同程度的潛在或發生，公司必須提前做好準備，以最大限度地減少對資產、員工和客戶的影響， “The entire C-suite and board is on the hot seat for security these days”(整個公司高層和董事會都需要著重考慮安全問題)。

　　針對這個問題，我們向受訪公司CIO詢問，公司CEO在來年的首要任務是什麼?在排名前三的選項中，有36%的CIO表示，公司CEO在來年可能會提升企業IT和資料安全架構以防止網路攻擊，這是這些CIO給出的最多選項。

　　資訊保安處理需要流程化

　　在一項可能與公司CEO避免網路攻擊的關注點有所衝突的資料抽樣調查中，有28%的受訪公司表示，“安全/風險管理”只是一項推動IT部門投資的技術舉措，而其餘受訪者則強調企業資金可以向其它非安全業務方面傾斜。

　　但當我們深入問到會有什麼樣的業務計劃會推動企業IT投資時，得到了一些不同的回應：31%的人表示“增加網路安全保護”，另外19%表示可以用“滿足合規要求(如GDPR等)” –而這種遵守GDPR等規則的方法，又通常屬於高階別安全管理人員的許可權範圍。這些不同的聲音表明，公司管理人員在企業整體戰略規劃中，確實應該將安全視為其中的一部份進行通盤考慮，而不僅僅是把安全簡單地看成是購買安裝一套安全軟體的方式。

　　公司IT安全規劃需要花費多少錢?

　　在2015年，IDC調查表示公司IT預算的13.7%是最理想最合理的資訊保安支出數額，但最近幾年，網路安全挑戰日益嚴峻，這也意味著IT安全支出只會大幅增加，公司其它方面的預算也會有所調整。

　　儘管如此，我們大多數受訪公司還是達不到這個理想的安全支出預算：有超過一半受訪公司聲稱，只有不到10%的花費用於資訊保安，而僅有四分之一的公司安全支出在10%到20%的範圍內。

　　公司最希望招聘什麼樣的安全人才?

　　這些調查資料會讓大家覺得，資訊保安是一個非常極具前景的領域，尤其對於那些想要涉足這個領域的資訊保安專家來說，你的選擇非常明智。經過調查我們發現，很多公司在適當的安全技能組合中，最急切最希望招聘的是那些具備安全和風險管理技能的專家型人才，有大約39%的受訪公司都選擇了這型別人才。在最希望招聘的top5職位中，分別為安全/風險管理人才、業務情報和資料分析專家、雲整合專家、應用程式研發、企業管理軟體研發。從這一點來說，安全小白們，成為高帥富的路，為你們指明瞭，好好學習，歷精技藝吧。