F5最新調查報告發現只有51%公司擁有涵蓋全組織的IT安全策略

(台灣，2017年9月20日) F5 Networks日前在新加坡國際網路週(Singapore International Cyber Week)發佈一份全球報告，針對今日演變中的威脅狀況深入探討資安長(CISO)的角色功能以及全球企業採取的資安措施。報告指出，IT安全性正加速成為企業的第一優先，CISO在公司內的影響力也因此水漲船高，然而許多企業的安全策略大致上仍維持被動回應，而且未能與商業功能相匹配。

這項報告是由Ponemon Institute負責執行，調查對象包括美國、英國、德國、巴西、墨西哥、印度和中國等七個國家184家公司的資深IT安全專業人員。

F5資安長Mike Convertino表示：「這項研究以獨特的觀點探討CISO在今日高挑戰環境的角色功能。很明顯的，CISO在安全事務的推動上以及他們在公司內擔任的領導角色已有了進步。然而，許多企業的IT安全性仍未能扮演必要的策略性主動角色以充分保護資產和防範日益複雜且頻繁的攻擊。」

關鍵調查結果

• CISO責任加重 – 雖然CISO在組織高層有著不同程度的影響性，不過大多數對於公司網路安全風險管理和影響力都呈現增加趨勢。68%受訪者表示CISO對於所有IT安全支出具有最終決定權，而64%對於公司所有安全支出擁有直接影響力和權限。87%受訪者表示IT安全預算顯著增加(18%)、部分增加(29%)或沒有改變(40%)。
• 資安與商業需求的對等性 – 能夠涵蓋整個公司的IT安全策略仍非常少見。58%受訪者指出IT安全性是一項獨立的功能，僅22%表示安全性和其他商業團隊相整合，而45%則表示他們的安全功能並沒有明確的責任定義。75%受訪者表示由於欠缺與商業功能之間的整合，因此資訊孤島問題對於IT安全戰術與策略形成顯著影響(36%)或部分影響(39%)。
• 被動認定安全是商業優先考量 – 60%受訪者相信他們公司將安全視為一項商業優先性，但僅有51%表示他們公司擁有IT安全策略，而其中只有43%表示他們的策略是由其他C-level主管審核、批示與支援。這項結果顯示安全計畫的改變大致上是被動的，而實質的資料外洩(45%)與網路安全攻擊(43%)是二種最會引起其他資深經營主管關注的事件。
• 危機提高CISO對經營領導層影響力 – 65%受訪者表示CISO直接與資深經營主管溝通意見，但極少針對組織面對的所有威脅進行策略討論。46%承認唯有當出現實質的資料外洩與網路攻擊時，才會涉及CEO和董事會的討論，只有19%向CEO和董事會報告所有資料外洩事件。
• 人工智慧是解決人員短缺問題的潛在方案 – IT安全人才短缺問題繼續困擾CISO。未來二年內，IT安全團隊的平均員額將從19增加到32全職人員，近一半(42%)受訪者認為他們現在的員額不足。58%表示在聘僱合格資安人員方面遭遇困難，最大的挑戰是發掘和招募合格員工(56%)，以及未能提供符合市場水準的薪資(48%)。這些挑戰促使公司向其他地方尋求解決方案，半數(50%)受訪者相信電腦學習與人工智慧可以解決人員短缺問題，而70%相信這些在未來二年將成為他們IT安全功能的重要技術。

參考資訊

• Mike Convertino blog and full report