首席信息安全官在高管層面上得到了前所未有的關(guān)注，這種情況會持續(xù)下去嗎?

幾十年以來，首席信息安全官和頂層高管之間的關(guān)系一直是若即若離。本世紀(jì)初，在911事件和紅色代碼、尼姆達(dá)等知名蠕蟲出現(xiàn)后，網(wǎng)絡(luò)安全從以前忽隱忽現(xiàn)的邊緣突然跳到了董事會的中心位置上。

[[156102]]

然而，隨著時間推移，圍繞著網(wǎng)絡(luò)安全的興趣和緊迫感減弱了。2003年，人們的關(guān)注再次被點燃，當(dāng)時，許多企業(yè)按照塞班斯法案的要求，逐步完善防御機(jī)制(Sarbanes Oxley Act，在世通等公司破產(chǎn)造成巨大經(jīng)濟(jì)損失后，美國對上市公司要求強(qiáng)制實行此法案)。

從那時開始，高管層和董事會給予網(wǎng)絡(luò)安全的關(guān)注始終不穩(wěn)定：一波高調(diào)的攻擊事件會占據(jù)新聞頭條，董事會對網(wǎng)絡(luò)安全的關(guān)注會提升一段時間，但隨著事件塵埃落定，這種興趣就會消退。

幸運(yùn)的是，情況可能已經(jīng)改變。目前，董事會對網(wǎng)絡(luò)安全保持高度關(guān)注，而且很有可能跟進(jìn)，讓網(wǎng)絡(luò)安全在今后一段時間內(nèi)繼續(xù)成為公司的高優(yōu)先級的高優(yōu)先級事項。原因在于，網(wǎng)絡(luò)攻擊事件連續(xù)發(fā)生，而數(shù)據(jù)泄露事件幾乎已成常態(tài)。

媒體最近的調(diào)查顯示，只有25%的首席信息安全官會向董事們做年度安全匯報，而30%的受訪者稱公司的安全高管每季度都會做安全匯報。也就是說，大約55%的受訪者每年都至少向董事會匯報一次。并不令人驚訝的是，公司規(guī)模越大，網(wǎng)絡(luò)安全就越受到重視：只有18%的小企業(yè)表示，安全高管會對董事會進(jìn)行安全建議，而該數(shù)字在大企業(yè)中為33%。

對于董事會對安全事務(wù)的參與程度而言，美國的表現(xiàn)比全球平均水平更加優(yōu)秀。普華永道2016年全球信息安全現(xiàn)狀調(diào)研報告中稱，董事會參與安全事務(wù)的企業(yè)比例已經(jīng)下滑到了45%，但這比起該報告上一年給出的數(shù)字而言已經(jīng)提升顯著。各個分項數(shù)據(jù)在2016/2015年的對比為：參與安全預(yù)算的董事會占46%/40%，參與全局安全策略的占45%/42%，參與安全策略的占41%/36%，參與安全技術(shù)的占32%/25%。

分析和診斷安全公司Niara董事會成員、Venrock公司風(fēng)投家道格·杜力(Doug Dooley)稱：“網(wǎng)絡(luò)安全已經(jīng)從普通大眾的輿論認(rèn)知和華爾街的金融沖擊走入了董事會，成為公司重要的風(fēng)險要素。所有董事會成員都應(yīng)當(dāng)對于解決企業(yè)安全風(fēng)險和威脅有所理解。”

“網(wǎng)絡(luò)安全已經(jīng)從普通大眾的輿論認(rèn)知和華爾街的金融沖擊走入了董事會，成為公司重要的風(fēng)險要素”

——Venrock公司風(fēng)投家道格·杜力“隨著軟件的發(fā)展，各行業(yè)的企業(yè)乃至整個世界都在數(shù)字化，與此同時，威脅向量和黑客利用的漏洞也在發(fā)展。我相信，網(wǎng)絡(luò)安全的定位和投資必將成為公司高層重要的審計要素。”

NSS Labs公司首席執(zhí)行官維克拉姆·帕塔科(Vikram Phatak)稱：“董事會監(jiān)察的作用在于，高管能夠?qū)ξ磥碛绊懝緫?zhàn)略的事務(wù)有所認(rèn)知。因此，董事會參與意味著高管能夠?qū)⒕W(wǎng)絡(luò)安全視為需要平衡的長期戰(zhàn)略性目標(biāo)之一，并為其賦予相應(yīng)的價值。”

如今很少有人會質(zhì)疑這一點，但既然它在過去的幾十年里一直成立，為什么董事會卻選擇在當(dāng)前開始重視此事呢?很多受訪者相信，在過去，除了監(jiān)管合規(guī)以及隱私風(fēng)險的強(qiáng)制要求之外，信息安全僅僅被視為能夠被解決的安全風(fēng)險，而不是和網(wǎng)絡(luò)罪犯之間的超級大戰(zhàn)。Northside Hospital的信息技術(shù)安全經(jīng)理馬丁·費(fèi)雪(Martin Fisher)說：“我懷疑，很多董事會認(rèn)為信息安全只是一個技術(shù)問題，會迅速消失。他們沒有將其看做是將會長期存在的商業(yè)風(fēng)險。”

董事會對網(wǎng)絡(luò)安全的關(guān)注這次會持續(xù)得更長一些嗎?很多人都這樣認(rèn)為。費(fèi)雪說：“我認(rèn)為網(wǎng)絡(luò)安全問題已經(jīng)進(jìn)入了董事會層面，而且還將持續(xù)很長一段時間。隨著數(shù)據(jù)泄露事件繼續(xù)發(fā)生，董事會成員理解到網(wǎng)絡(luò)安全是一個必須監(jiān)控的問題，就像他們必須處理的其它主要風(fēng)險一樣。”