近日，美國高德納（Gartner）公司發(fā)布一項關(guān)于董事會與網(wǎng)絡(luò)安全的調(diào)查。這項新調(diào)查中發(fā)現(xiàn)，88%的董事會（BoD）認(rèn)為網(wǎng)絡(luò)安全是一種商業(yè)風(fēng)險，而不是技術(shù)風(fēng)險。然而，只有12%的董事會成立了一個專門的“董事會網(wǎng)絡(luò)安全委員會”。

高德納公司杰出的研究副總裁Paul Proctor表示，現(xiàn)在是時候讓除了IT部門以外的高管來承擔(dān)保護(hù)企業(yè)安全的責(zé)任了。縱觀2021年的情況，網(wǎng)絡(luò)出現(xiàn)大量勒索軟件和供應(yīng)鏈攻擊，其中許多是針對運營和關(guān)鍵任務(wù)環(huán)境的，這給大家敲響一個警鐘。安全是一個商業(yè)問題，而不僅僅是IT部門要解決的另一個問題。

高德納公司的分析師在“高德納安全與風(fēng)險管理美洲峰會上”提出了將網(wǎng)絡(luò)安全作為一項商業(yè)決策的必要性。首席信息官（CIO）與首席信息安全官（CISO）必須重新平衡網(wǎng)絡(luò)安全的責(zé)任。

高德納表示，即使企業(yè)領(lǐng)導(dǎo)人意識到，確實需要保護(hù)企業(yè)免受不斷變化的新威脅，但網(wǎng)絡(luò)安全的責(zé)任主要由IT領(lǐng)導(dǎo)層來承擔(dān)。高德納的這項調(diào)查發(fā)現(xiàn)，在85%的企業(yè)中，首席信息官、首席信息安全官或同等職位的人，是負(fù)責(zé)網(wǎng)絡(luò)安全的最高負(fù)責(zé)人。只有10%的企業(yè)組織，要求非IT高級管理人員承擔(dān)網(wǎng)絡(luò)安全責(zé)任（見圖1）。

圖1：企業(yè)組織中對網(wǎng)絡(luò)安全負(fù)責(zé)的最高級別人員

資料來源：Gartner（2021 年 11 月）

副總裁Proctor還表示，IT和安全領(lǐng)導(dǎo)者，往往被認(rèn)為是保護(hù)企業(yè)免受威脅的最終權(quán)威。然而，企業(yè)領(lǐng)導(dǎo)人每天都在不咨詢首席信息官或首席信息安全官的情況下做出決定，這會影響了企業(yè)組織的安全。

首席信息官與首席信息安全官必須重新平衡網(wǎng)絡(luò)安全的責(zé)任，以便與業(yè)務(wù)和企業(yè)領(lǐng)導(dǎo)人共同管理。高德納建議，IT部門、安全領(lǐng)導(dǎo)者應(yīng)與高管和董事會合作，建立治理機制，為影響企業(yè)網(wǎng)絡(luò)安全的商業(yè)決策分擔(dān)責(zé)任。

高德納表示，最近的研究發(fā)現(xiàn)，66%的首席信息官打算在未來一年增加網(wǎng)絡(luò)安全投資。然而，根據(jù)高德納預(yù)測顯示，網(wǎng)絡(luò)安全支出的整體增長將在2023年之前放緩。

隨著安全預(yù)算的縮減，首席信息官和首席信息安全官需要與行政領(lǐng)導(dǎo)層密切合作，在商業(yè)背景下重新規(guī)劃網(wǎng)絡(luò)安全投資。例如，首席信息官可以向企業(yè)領(lǐng)導(dǎo)提供一系列的保護(hù)方案，并清楚地列出每個選擇的成本和風(fēng)險。

Proctor表示，首席信息官和首席信息安全官，必須利用他們的專業(yè)知識來提高投資和風(fēng)險的透明度，以推動整個企業(yè)的安全責(zé)任共享。

這項2021年高德納全球安全和風(fēng)險管理治理的調(diào)查，時間是在2021年4月至5月，針對北美、歐洲、中東和非洲、亞太和拉丁美洲的615名受訪者展開。這些企業(yè)至少有100名員工，年總收入為5000萬美元。

參考資料：

https://www.gartner.com/en/newsroom/press-releases/2021-11-18-gartner-survey-finds-88-percent-of-boards-of-directors-view-cybersecurity-as-a-business-risk

標(biāo)簽： 網(wǎng)絡(luò)安全 商業(yè)風(fēng)險