(1)資安長職責的轉變包括支持銷售
SC Media在2023年8月10日報導,資訊安全長越來越覺得自己需要參與銷售,確保公司產品或服務的網路安全。參與銷售的看法,讓資安長不再只是高階安全主管、制定公司政策與程序的傳統角色。有一份調查顯示,傳統長字輩主管的職責正在轉變。
Checkmarx在三月時對200位資安長與高階經理人做了一份調查,有84%的資安長曾參與銷售相關事宜。更高比例的資安長(96%)告訴Checkmarx說,潛在的買家越來越會詢問正確的問題:你的產品或服務安全嗎?
銀行與金融服務業的網路安全專業人士是被召喚最多的,這一行裡有50%的資安長說,他們做採購決定時會強烈考慮應用程式安全(AppSec),而在工業和製造業考慮的比例為24%。
當問及參與銷售事務的頻率時,45.5%的資安長說「很經常」,38%說「經常」。
Checkmarx的執行長Sandeep Johri說,資安長傳統上對其組織的風險管理之關注,被視為拖垮業務而非讓企業成長的重要推手。但是Checkmarx的調查顯示,應用程式安全正成為帶動銷售的重要要素。
除了銷售以外,超過四分之三 (77%)的資安長說,他們組織業務之運作至少有一半仰賴於他們負責確保安全的應用程式。
過半受訪者(51%)說,相較去年,應用程式安全在今年對公司執行長或董事會而言是最大的優先事項,同時有73%說,他們2023年的應用程式安全預算有增加。
資料來源:https://www.scmagazine.com/news/shift-in-ciso-duties-include-sales-pitch-support
(2)BSS調查裡資安長說,安全預算提升但實際上並不奏效
BSS在2023年六月公布了一份新研究,內容是調查150位安全領導人。資安長在安全預算上有所增加,但爭取到了預算,期待卻不切實際-錢花在熱門議題,未必是策略、以企業為中心的安全防禦投資。
而在BSS報告之前,還有一份Information Security Maturity Report,針對的是182位安全領導人,其中僅過半的人表示,他們的預算比去年有增加,但是增加幅度若比較前一年,其實是較低的。造成支出增加的關鍵要素是,網路威脅局勢的演變(39%)、跟上同業(21%),以及投資人才招聘與訓練(18%)。
BSS的調查"'How CISOs can succeed in a challenging landscape"顯示,61%的安全領導人看到他們的安全預算增加,年度安全預算有增加的資安長中,以50至100萬英鎊安全預算一組最多,為73%。大多數資安長說增加幅度平均在10至30%。或許最顯著的是,有78%的資安長說,在發生引發關注的資安事故(比如資料外洩或勒索軟體)後,他們會獲得額外的預算,這象徵著對組織資訊安全態度的轉變。
然而,下意識地增加預算,讓過半(55%)資安長必須將資金用到媒體報導的議題上,而不是更策略性的企業決策。這通常象徵對執行單位有不切實際的期望,因為並不完全理解對企業的威脅。BSS的總監Chris Wilkinson說,「我們的研究顯示,很多企業其實不瞭解當前的威脅局勢、預算應該用到哪。」
這個問題甚至還在擴大,因為事實上安全常不夠重要到進入董事會議程。僅9%的資安長說,資訊安全經常是董事會會議上前三重要的議題,而不到四分之一(22%)的資安長能主動參與企業策略與決策流程。
以有生產力的方式向董事會談網路安全,對資安長是一大挑戰,但不能有效做到,就會引發董事、安全部門與組織其他單位之間的混淆及歧異。資安長在向董事會報告時常會犯的錯誤,包括使用過度技術性的安全詞彙、關注於錯誤的威脅影響、未能對潛在問題做好準備,以及依賴馬上可用的網路風險報告。
資料來源:https://www.csoonline.com/article/3700073/security-budget-hikes-are-missing-the-mark-cisos-say.html
沒有留言:
張貼留言