F5 Networks 發表全球調查報告,探討資訊保安主管(CISO)角色的本質,以及世界各地機構為了應付網絡威脅而採取的 IT 保安措施。報告指出,隨著 IT 保安日漸成為企業關注重點,CISO 在公司內的影響力亦日益提高;然而,許多機構內的保安策略仍然以被動式(reactive)為主,亦未能與業務功能緊密配合。
這次研究訪問遍佈美國、英國、德國、巴西、墨西哥、印度和中國這七個國家內合共 184 家企業內負責 IT 保安的高層專業人員。結果發現,大部分企業的 IT 策略並不覆蓋全公司,58% 受訪者表示其公司的 IT 保安是獨立的功能,只有 22% 的受訪者表示 IT 保安已與其他業務團隊融合,而 45% 表示公司沒有明確界定保安方面的責任。75% 受訪者表示,由於 IT 保安沒有融入其他業務功能,因此或多或少出現了各自為政的問題,36% 表示對 IT 保安戰術和策略產生了顯著影響,39% 認為有一些影響。
除此之外,調查發現不少企業的保安意識是「見了鬼才怕黑」。68% 受訪者相信其機構視保安為業務重點,但只有51% 表示其機構已制定了 IT 保安策略,其中只有 43% 表示這些策略獲得其他最高層行政管理人員審核、通過和支持。這次研究結果反映企業大多是被動引發保安措施的變更,而促使其他高級行政主管注意這問題的兩類最普遍事故包括重要數據外洩(45%)及網絡保安漏洞(43%)。
68% 受訪者亦表示,CISO 會直接與高級行政管理人員溝通,但很少會就針對機構的全部威脅進行策略性商討。46% 表示只有在出現重要數據外洩及重大網絡攻擊時才會與 CEO 及董事會溝通,而只有 19% 會向 CEO 和董事會匯報所有數據外洩事故。
