在過去十年中，如果你詢問信息安全專業(yè)人士在工作中遇到的最大挑戰(zhàn)時，通常情況下，你會聽到他們說其業(yè)務(wù)領(lǐng)導(dǎo)沒有提供他們所需要的支持以及空間來保護(hù)企業(yè)。其中一個原因在于缺乏預(yù)算，另一個原因可能是，安全并沒有得到應(yīng)有的重視。

[[114879]]

BH咨詢公司首席執(zhí)行官Brian Honan表示，“毫無疑問，大部分安全團(tuán)隊通常感覺自己陷入困境。“很多企業(yè)認(rèn)為網(wǎng)絡(luò)安全是一個IT問題，而不是一個商業(yè)問題。當(dāng)你考慮業(yè)務(wù)對IT的依賴性，特別是對這些系統(tǒng)上存儲的信息的重要性時，企業(yè)需要意識到網(wǎng)絡(luò)安全是一個真正的商業(yè)問題。”

但是，說服企業(yè)相信這一點是IT安全領(lǐng)導(dǎo)者的責(zé)任，他們需要說服企業(yè)管理層投資于安全性。IT安全市場研究公司Securosis分析師Mike Rothman表示：“我不認(rèn)為安全障礙在于‘缺乏來自業(yè)務(wù)高管的安全領(lǐng)導(dǎo)’，業(yè)務(wù)領(lǐng)導(dǎo)通常會根據(jù)業(yè)務(wù)的最佳利益來分配資源。如果安全團(tuán)隊無法讓高管投資于安全，那么就是他們的責(zé)任，而不是業(yè)務(wù)領(lǐng)導(dǎo)的責(zé)任。”

很多人也同意這種說法，在很多情況下，缺乏安全領(lǐng)導(dǎo)是首席安全官的責(zé)任。Honan表示：“首席安全官聲稱缺乏安全領(lǐng)導(dǎo)，而這正在導(dǎo)致他們的安全項目失敗。根據(jù)定義，首席安全官是負(fù)責(zé)企業(yè)的安全領(lǐng)導(dǎo)，他們需要負(fù)責(zé)確保高級業(yè)務(wù)人員以及每個用戶了解信息安全的重要性。如果首席安全官發(fā)現(xiàn)企業(yè)沒有響應(yīng)其領(lǐng)導(dǎo)，那么，這意味著這不是合適的安全官人選，或者這個企業(yè)可能不適合這個安全官。”

業(yè)務(wù)領(lǐng)導(dǎo)對安全問題充耳不聞

可以肯定的是，一些業(yè)務(wù)領(lǐng)導(dǎo)對安全風(fēng)險管理充耳不聞。這個問題的部分原因可能在于層級結(jié)構(gòu)。最近，451集團(tuán)的安全分析師Javvad Malik進(jìn)行了一項研究調(diào)查，驚訝的發(fā)現(xiàn)，首席信息安全官都認(rèn)為他們沒能管理起企業(yè)的信息安全風(fēng)險，而且這并不完全是他們的錯。Malik表示：“調(diào)查結(jié)果發(fā)現(xiàn)，安全領(lǐng)導(dǎo)(包括首席安全官或首席信息安全官或者安全主管)都沒能夠有效管理企業(yè)內(nèi)的安全性。首先，這些人在很多情況下都不是真正的C級領(lǐng)導(dǎo)，他們通常需要報告給首席信息官或者首席財務(wù)官。”

這很糟糕，因為這意味著通常首席信息安全官在董事會沒有一席之地，而當(dāng)報告給首席信息官時，信息安全和IT項目直接存在強(qiáng)烈的利益沖突。

不過，在對首席安全官的現(xiàn)狀調(diào)查中，46%的安全決策者認(rèn)為他們在過去一年中已經(jīng)投入了很多到風(fēng)險管理中，而61%預(yù)計企業(yè)領(lǐng)導(dǎo)在未來一年將會更加重視風(fēng)險管理。調(diào)查結(jié)果顯示，較大的企業(yè)更重視風(fēng)險管理。

更重要的是，近四分之三的受訪安全從業(yè)人員花更多的事件來與高級管理人員和其他高層決策者討論安全相關(guān)的事項，而79%表示在未來三年他們花在這方面的時間將會增加。

現(xiàn)在，趁著企業(yè)高管開始重視風(fēng)險管理，安全管理人員可以利用這個機(jī)會來建立信譽(yù)。“安全可以幫助企業(yè)達(dá)到其目標(biāo)，構(gòu)建信譽(yù)并不像是玩‘四眼天雞’的游戲，應(yīng)該意識到并不是所有事物都是工作重點。企業(yè)應(yīng)該看看具體問題，確定其對企業(yè)的潛在影響，以及需要怎么做來解決問題，是否這是值得處理的問題。”

這也是首席安全官發(fā)揮作用的地方，幫助企業(yè)決定哪個領(lǐng)域需要努力以及降低風(fēng)險。