被動保安策略令資安主管備受挑戰！僅 51% 企業部署全公司 IT 保安策略

現今資安方案部署策略往往較為被動，很多時都是問題發生後才考慮相關防禦工作！原來有關情況除了香港企業之外，全球企業亦有類似情況。根據 F5 Networks 今日發表的一份全球調查報告，探討資訊保安主管 (CISO) 角色的本質，以及世界各地機構為了應付不斷變化的網絡威脅而採取的 IT 保安措施。報告指出，隨著 IT 保安日漸成為企業關注重點，CISO 在公司內的影響力亦日益提高；然而，許多機構內的保安策略仍然以被動式 (reactive) 為主，亦未能與業務功能緊密配合。

這次研究由 Ponemon Institute 進行，訪問遍佈美國、英國、德國、巴西、墨西哥、印度和中國這七個國家內合共 184 家企業內負責 IT 保安的高層專業人員。主要研究撮要：

-CISO 權責日益增大，雖然不同機構內 CISO 於高級管理層中的影響力各有不同，但大多數 CISO 在公司網絡風險方面都舉足輕重，而且影響力與日俱增。68% 受訪者表示 CISO 在所有 IT 保安支出方面都有最終決定權，而略低比率 (64%) 的受訪者表示 CISO 對公司內所有保安方面的開支都有直接影響力及決定權。87% 受訪者評論了其公司在 IT 保安方面的預算，18% 表示有關預算已經大幅增加，29% 表示有所提升，而 40% 維持不變。

-企業各部門未能緊密配合業務：擁有覆蓋全公司的 IT 保安策略仍然十分罕見。58% 受訪者表示其公司的 IT 保安是獨立的功能，只有 22% 的受訪者表示 IT 保安已與其他業務團隊融合，而 45% 表示公司沒有明確界定保安方面的責任。75% 受訪者表示，由於 IT 保安沒有融入其他業務功能，因此或多或少出現了各自為政的問題，36% 表示對 IT 保安戰術和策略產生了顯著影響，39% 認為有一些影響。

-對保安是業務重點的意識仍為被動：68% 受訪者相信其機構視保安為業務重點，然而，只有 51% 表示其機構已制定了 IT 保安策略，其中只有 43% 表示這些策略獲得其他最高層行政管理人員審核、通過和支持。這次研究結果反映企業大多是被動引發保安措施的變更，而促使其他高級行政主管注意這問題的兩類最普遍事故包括重要數據外洩 (45%) 及網絡保安漏洞 (43%)。

-危機促使行政管理層重視 CISO：68% 受訪者表示 CISO 會直接與高級行政管理人員溝通，但很少會就針對機構的全部威脅進行策略性商討。46% 表示只有在出現重要數據外洩及重大網絡攻擊時才會與 CEO 及董事會溝通，而只有 19% 會向 CEO 和董事會匯報所有數據外洩事故。

-AI 是解決人才短缺的潛在方案：CISO 繼續面對著 IT 保安人才短缺的困境。在未來兩年，IT 保安的職位數量將會從 19 人增加至 32 名全時間 (或同等) 員工，而近半 (42%) 受訪者感到現時人手不足。58% 表示他們難以物色到合資格的 IT 保安人才，而最大的挑戰是識別和招聘合資格人選 (56%)，以及無法提供符合市場水平的薪酬 (48%)。這些挑戰促使企業尋找其他解決方案，半數受訪者相信電腦學習和人工智能 (AI) 可應對人手短缺的問題，而 70% 相信這些科技在未來兩年內將會對其 IT 保安措施十分重要。