1. 当下的网络安全部门资金与需求仍存在较大差距
尽管网络攻击威胁日益严峻,但相对于整体信息技术支出,网络安全预算仍与需求存在较大差距。我们的调查数据还表明,即使需要 敏捷应对疫情时代的波动性和未来被破坏的可能性,预算分配流程仍在很大程度上缺乏灵活性 。
预算与需求不同步
在撰写本调查报告期间,安永对三位网络安全团队负责人进行了定性访谈,并调查了1,010位高级网络安全专业人士。受访企业去年平均收入约为110亿美元,而每年在网络安全方面的平均支出仅为 528万美元,仅占收入的0.05%。
这种情况在不同行业之间也存在差异。举个极端的例子,在受到高度监管的金融服务与科技、媒体和电信 (TMT) 行业,受访者去年 在网络安全领域的平均支出分别为943万美元和962万美元;而另一方面,能源公司的平均支出仅为217万美元。我们调查也发现不同规模的公司间也会存在差异,也有规模很小的公司支出比例很大。
我们的调查中,有一个问题涉及到预算的规划和分配。约有六成 (61%) 的受访者表示,网络安全预算是公司大项支出(如信息技 术)的组成部分,19%的受访者表示该预算是固定的,并且会周期性地进行确认。超过三分之一 (37%) 的受访者表示,网络安全成 本由整个企业分摊,但只有15%是动态分摊的,这取决于资源的使用情况。
换言之,很少有企业将其安全预算设定为经营所需的可变和或有成本。事实上,面对特定且快速发展的经营计划,首席信息安全官可 能难以扩展其职能。
成本削减产生新的脆弱性
首席信息安全官敏锐地意识到了企业因预算不足且不灵活而面临的脆弱性。
每10个受访者中就有4个 (39%) 表示,网络安全支出没有充分计入 战略投资成本(如信息技术供应链转型)。超过三分之一 (36%) 的受访者表示,如果不在网络安全防御方面适当投资,企业遭受重大破坏只会是时间问题,而这本可以避免。
鉴于企业在面临业务中断的情况下急于寻求业务转型,可以预计, 随着企业加大对发展的投资,网络安全预算不足这个问题将会加 剧。39%的受访者表示其企业网络安全预算低于过去12个月应对新挑战所需的预算。
预算限制的一个不可避免的结果就是,首席信息安全官将需要做出艰难的决定:逐步减少本应在危机到来前就已启动的战略活动。超 过一半 (56%) 预算不足的企业表示,他们不得不重新调整其网络安全要求。 44% 的受访者表示,他们不得不通过优化旧架构和旧系统以削减成本。
然而,少数企业确实对网络安全资金采取了更具战略性的方法。全球领先的保险公司Assicurazioni Generali集团首席安全官Remo Marini表示,Assicurazioni Generali公司采取了基于风险的方法为网络安全提供资金。“我们在安全、业务价值和降低风险这三方面的投资之间建立了直接关联,”他称,“我们的预算反映了复杂的规划活动,从对战略进行定义开始(通常为期三年),并收集所有内部和外部利益相关者提供的信息和意见。”
2. “多头监管”为企业带来了更加严峻的合规挑战
全球合规环境正变得越来越复杂,各地管理体制分为区域和国家层 面。某些行业(特别是金融服务业)企业还必须应对特定行业的监 管。
安永欧洲、中东、印度及非洲区网络安全咨询业务主管合伙人Mike Maddison认为,监管问题正在变得愈加严峻。“如果贵企业是国际 组织,那么应对这些互为重合又时有冲突的监管规定将极具挑战性,尤其在数据变得无所不在并且全球流动的情况下。”
监管合规需要企业投入更多的资源与时间
首席信息安全官为了满足监管合规要求,需要投入比以往更多的时间。一半 (49%) 的受访者称,确保合规可能是工作中压力最大的 部分。约六成受访者(57%)预测,监管在未来几年将变得更加多样化。若首席信息安全官无法获取所需的资源,合规对其造成的压 力是可想而知的。
“随着本地和国际监管机构的监管力度不断加大,监管议程正变得日益紧凑,”Assicurazioni Generali集团首席安全官Marini称,“法规数量的激增给企业带来了挑战,尤其是对国际化企业而言。标准化和通用的框架会更加有效率。”
另外需要关注的是,美国司法部已将勒索软件攻击提升到与恐怖主义同等的优先级,并正在通过华盛顿的一个工作小组协调调查 。 在本报告撰写期间,尚不清楚该小组将会为遭遇网络攻击的私营企业提供哪些资源和帮助。
在预算层面,合规应当成为首席信息安全官的“朋友”
首席信息安全官对合规的看法发生了一些变化,这对他们与监管机构的关系产生了令人担忧的影响。去年进行 GISS 时,首席信息安全官对合规的作用仍持有乐观态度。今年,他们认识到监管合规在过去一年的变化,其监管体系不断完善,监管制度愈加严格,监管要求日益细化,其复杂性为其带来了压力与担忧。合规不再有利于 CISO,因为它用于证明预算合理性的程度不再像以前那样高。合规已变成不利他们。
此外,今年 CISO 对监管法规支持组织已经改进的网络安全标准的信心较低。
在今年的GISS调查报告中,35%的受访者认为合规有利于企业推动 正确的关注重点与行动,与此同时,认为能够通过监管向董事会成功申请到额外预算的受访者不到五分之一 (18%) ,这一比例略低 于2020年。
当然,并非所有网络安全团队主管都对监管持悲观态度。TikTok的 Roland Cloutier表示,监管至少占用了他50%或60%的时间,但总 体上他仍保持积极态度。“我们的战略安全计划是基于监管因素和消费者保护的下一代要求,这是件好事。我们使产品能更好地面向未来,这有助于我们创建领先的行业概念,即如何成为一家致力于保护全球用户安全和隐私的企业。”
3. 网络安全管理人员与其他职能之间的关系有待改善
为了管理战略转型带来的网络风险,首席信息安全官需要在投资决策的最初阶段提供咨询建议。但是,企业的网络安全部门和其他职能部门之间的关系缺乏积极性和稳定性,而这却对此类咨询至关重要。
首席信息安全官应与职能部门建立信任、共生的关系
长期以来,与业务高层的关系薄弱一直是首席信息安全官所担心的 问题,而我们今年的GISS调查报告发现该问题依然存在。根据调 查,网络安全经常缺席职能部门的重要对话。约六成(58%)受访 者表示,他们的企业有时在实施新技术时并未留出足够的时间进行 适当的网络安全评估或监督。
安永全球科技咨询业务主管合伙人Dan Higgins认为,首席信息安 全官在新技术和数据解决方案部署流程中参与较晚,这令人担忧。 他表示:“首席信息安全官必须在数字化转型的战略和解决方案架 构阶段占据一席之地,才能主动地解决和规避掉这些风险。
这种趋势或许受到了企业高层的影响。根据《安永2021年首席执 行官研究报告》,首席执行官已不再像2020年一样将网络安全列 为其最关心的问题。他们在2021年的重点已转向采用新技术带来的挑战。
“疫情期间的动态环境对速度提出了极高的要求,因而有的企业可能会质疑网络安全团队是否拥有恰当的技能,”Mike Maddison称, “企业文化是否正确?网络安全团队被视为阻碍力量还是提供有效解决方案的力量?如果企业对这些问题的回答存疑,企业其他部门就会在没有网络安全团队支持的情况下独自行动。”
在需要建立稳固关系的地方,关系却最为脆弱
这个问题在这样的职能部门最为严重:未来几个月将推出和扩展新 的基于云计算的技术,因此他们极有可能存在遭到黑客部署的勒索 软件攻击的巨大风险。
在今年的研究中,41%的受访者认为他们与市场营销职能部门的关系亟需进一步改善与巩固,相较于去年的36%,这一比例有所提 高。同时,28%的受访者表示他们与业务方的关系差强人意,而去年这一比例为23%。
调查结果表明,尽管在2020年有超过三分之一的受访者 (36%) 有信心在新业务的规划阶段咨询网络安全团队,但该数字在2021 年已降至19%。
网络安全部门与业务线、产品开发和市场营销部门的关系是消极的,而与风险、法律和信息技术部门的互动却是积极的。本质上,离你所在的规划周期越远,关系就会越积极,这就是问题所在。在最需要网络安全部门参与以支持增长的领域,却被相关方排除在外。
沟通出现问题
团队之间沟通不足窒碍工作进展。CISO 告诉我们,他们很难让同事从商业层面阐明网络安全咨询的需要。此外,业务人员可能认识到网络安全团队的传统优势,例如控制风险,但并不总是将网络安全团队视为战略合作伙伴。
澳大利亚 NBN Co 的首席安全官 Darren Kane 说:“在整个行业中,我看到了一种正面的思维转变,董事会认识到网络安全是一种风险。” 他接受了本报告的定性采访,但没有参加调查。他说:“但是,CISO 在打破沟通障碍方面仍有更多工作可以做,例如需要使用较少技术名词的语言让董事会更了解潜在的业务风险。”
不到一半的受访者 (44%) 相信他们的团队与同事有类似的表达方式,只有 26% 的受访者认为高层领导认同如此描述该职能。只有四分之一 (25%) 的受访者认为高级业务领导会将网络安全描述为与业务相关。
受访者认同,组织的其他人员更可能将网络安全描述为能用于保护业务和快速应对危机。虽然这些都是令人欣赏的特质,但网络安全人员仍需要增强沟通、说服和建立信任的能力,达致两方面的平衡。
