首席信息安全官對其安全狀況的信心如何?
世界各地的首席信息安全官在2021年接受了遠程工作方式,許多人如今感覺對環境的控制能力更強:48%的受訪者認為他們所在的公司在未來一年內面臨遭受重大網絡攻擊的風險,而去年高達64%。
但是,認為已經為網絡攻擊做好準備與做好準備的結果是截然不同的。首席信息安全官日益增強的信心可能是成功克服重大突發事件(例如新冠疫情)的結果,但并不是風險防范水平的切實變化。這份調查報告表明,50%的首席信息安全官仍然認為他們所在的公司沒有準備好應對網絡攻擊,56%的受訪者認為人為錯誤是最大的網絡漏洞,既定的遠程工作模式和辭職潮給企業的信息保護帶來了新的挑戰。
該報告審查了來自不同行業的大中型企業的1400多名首席信息安全官的全球第三方調查反饋結果。在2022年第一季度進行的調查過程中,來自14個國家/地區市場的100名首席信息安全官接受了調查,這些國家和地區其中包括美國、加拿大、英國、法國、德國、意大利、西班牙、瑞典、荷蘭、阿聯酋、沙特阿拉伯、澳大利亞、日本以及新加坡。
該調查探討了三個關鍵領域:首席信息安全官每天應對的威脅風險和網絡攻擊類型、員工和企業對于網絡安全的準備程度,以及在企業準備重新開設企業辦公室時支持混合勞動力的影響。它還揭示了首席信息安全官在其角色、他們在企業高管中的地位以及他們在團隊的業務期望方面遇到的挑戰。
Proofpoint公司副總裁兼全球常駐首席信息安全官Lucia Milic?評論說,“備受矚目的網絡攻擊擾亂和破壞了供應鏈,如今已經成為頭條新聞,并推動產生了新的網絡安全立法,2021年對世界各地的首席信息安全官來說是另一個充滿挑戰的時期。隨著他們適應新的工作方式,令人鼓舞的是,他們現在似乎對自己的安全態勢更有信心。
隨著新冠疫情對安全團隊的影響逐漸消退,我們發布的2022年報告揭示了一個緊迫的問題。隨著員工離職或選擇不重返工作崗位,安全團隊現在正在管理大量信息和內部威脅。”
首席信息安全官面臨的主要挑戰
首席信息安全官對自己的網絡安全狀況更有信心:在經歷了兩年前所未有的破壞之后,首席信息安全官現在感覺對運營環境的控制能力更強:48%的首席信息安全官認為他們的企業在未來一年內可能面臨遭受重大網絡攻擊的風險,而去年有64%的人這樣認為。
首席信息安全官對針對其企業的最重大威脅缺乏共識:在今年,內部威脅(無論是疏忽、意外還是網絡犯罪)以31%位居榜首,而緊隨其后的是DDoS攻擊、商業電子郵件泄露和云帳戶泄露(Office365或G套件帳戶被泄露),均為30%。盡管勒索軟件攻擊事件占據了最近的頭條新聞,但仍只占28%。
企業的網絡安全準備情況有所改善,仍然是一個關鍵問題:對新冠疫情發生之后工作環境的日益適應也讓首席信息安全官感覺更有能力應對網絡威脅。雖然66%的受訪者認為他們沒有為2021年的針對性攻擊做好準備,但今年這一比例已降到50%。
員工的安全意識如今正在提高,但網絡防御的技能水平仍然不夠:雖然60%的受訪者認為他們的員工了解在保護企業免受網絡威脅方面的作用,但56%的受訪者仍然認為人為錯誤成為他們所在企業最大的網絡漏洞。去年,在接受調查的全球首席信息安全官中,只有一半的受訪者表示增加了對員工進行網絡安全培訓的頻率。
長期混合工作和辭職潮使保護數據成為首席信息安全官面臨的一項新挑戰:員工現在在任何工作地點都形成了防御邊界,51%的首席信息安全官表示在過去一年月中看到有針對性的網絡攻擊有所增加。一半的受訪者表示,員工過渡的增加意味著保護數據已成為一項日益嚴峻的挑戰,對信息保護的投資是未來兩年的首要任務。當被問及員工最有可能導致數據泄露的原因時,首席信息安全官將受損的內部攻擊列為最有可能的媒介,一些員工無意中暴露了他們的憑據,從而使網絡犯罪分子能夠訪問敏感數據。
勒索軟件攻擊的頭條新聞顯著地提高了企業高管的網絡風險意識,并推動了戰略轉變:最近備受矚目的攻擊事件將防止勒索軟件推到了企業的首要議程,58%的受訪者表示他們購買了網絡保險,五分之三的受訪者表示注重預防勝于檢測和應對策略。然而,盡管贖金數額不斷增長,但大約42%的首席信息安全官承認他們沒有制定贖金支付政策。
盡管首席信息安全官感到面臨的壓力略小,但由于網絡風險令企業領導者擔憂,而董事會的支持仍然不穩定:49%的首席信息安全官認為企業董事會對其角色的期望過高,低于去年的57%。然而,與企業董事會不一致的看法有所增加,全球只有21%的首席信息安全官表示企業董事會在網絡安全問題上與他們意見一致。在考慮網絡風險時,全球首席信息安全官將重大停機、運營中斷和對業務估值的影響列為企業董事會最關心的問題。
Proofpoint公司網絡安全戰略執行副總裁Ryan Kalember說,“在花費兩年時間加強防御以支持混合工作之后,首席信息安全官不得不優先處理針對當今分布式、依賴云計算服務的勞動力的網絡威脅。因此,他們的重點已經轉向防止最有可能的網絡攻擊,例如商業電子郵件泄露、勒索軟件、內部威脅和DDoS。
總體而言,首席信息安全官似乎將2022年視為風暴過后的一個平靜期,但可能陷入了一種錯誤的安全感。隨著地緣政治緊張局勢加劇和以人為中心的網絡攻擊不斷增加,在網絡安全海洋再次變得波濤洶涌之前,必須彌補用戶意識、準備和預防方面的差距。”
