用数字说话——2018年安全行业现状

每一年，CIO网站都会进行“CIO现状”调查，今年自然也不例外。通过本次公布的结果，您将能够了解CIO们应如何在当下的商业环境当中继续发展，并确定2018年年内的议程。

此次全面调查涉及众多广泛的主题。不过在本文当中，我们将关注重点放在安全层面。考虑到违规损失越来越高，而安全亦成为技术战略当中重要的组成部分，我们自然有理由考量以下几个全局性问题——IT安全由谁负责、向谁报告、又掌握着多少预算？

下面，让我们一同从数字当中寻找答案。

谁在负责？

要了解一家企业对于某项任务究竟有多么关注，最好的方法之一就是看看负责这件事的高管到底拥有怎样的地位。然而，这方面目前的职位安排确实令人有些迷糊——您可能拥有自己的首席安全官（CSO）、首席信息安全官（CISO）以及其它变体，而他们的工作描述也因企业不同而存在巨大差异。其中，CSO很有可能同时兼顾着企业内的物理安全与信息安全事务。

从这个角度来看，我们调查的企业在安全管理方面拥有多种具体实现方式。25%的受访企业拥有CISO，11%拥有CSO，17%拥有另一位头衔不同的高层安全管理人员——这意味着近一半的企业还没有为安全团队任命任何高层管理人员。

谁负责管理安全负责人？

当然，任何参与过企业内部“斗争”的朋友都很清楚，公司之内的影响力通常直接体现在每位员工的报告对象方面。我们向各家拥有CSO及CISO的企业进行了求证，了解这类职务需要向谁报告，并发现这两种职务设置在报告路径方面也存在着显着差异。

在拥有CSO的组织当中，约有半数直接向CEO或者COO报告; 而四分之一则直接向企业内的高层CIO报告。在CISO一边，报告结构则几乎完全颠倒过来：约有半数接受高层CIO的领导，四分之一与企业运营高层对接。这似乎表明CSO这一头衔的职务定位更高——至少目前看来是如此。（此外，这两个职位也有可能受到其它几种职务的监管，包括部门内CIO与CFO——CFO可能会以防损职权方式介入。）

他们有哪些计划？

为了尽可能提高效果，安全工作必须自起步阶段就被融入战略当中。这一点对于大多数IT高管而言并不算什么秘密。我们向各受访企业询问了其IT安全战略与整体IT战略之间的整合情况，超过半数（54%）的受访企业表示二者“紧密集成”，这意味着“IT安全战略成为整体IT战略与路线图的重要组成部分。”另有10%表示“IT安全投资通常直接反映现有IT安全挑战或事件。”

参与此次调查的IT领导者们则清醒地意识到上述整合目标还没有真正实现。在被问及未来三年IT安全战略将如何与IT战略进行整合时，82%的受访者表示二者将紧密集成，但只有2%表示二者可能无法集成。

CEO是否支持安全事务？

事实上，信息安全专业人士很少抱怨高层管理人员在安全问题方面抱持的消极态度; 但随着网络攻击活动的日益加剧，越来越多的CEO们终于开始意识到自己的工作与安全事件间存在紧密的潜在关联。事实上，Foley & Lardner LLP技术事务与外包业务合伙人Matthew Karlyn在2015年的休斯顿CIO Perspectives大会上向与会者们表示：“整个高管层与董事会如今都面临着巨大的安全压力。”

也许正因为如此，当我们向CIO询问其CEO在未来一年中的首要任务是什么时，才会有36%的受访者在前三大任务当中提出“改进IT与数据安全水平以避免网络攻击”——这一比例远超其它观点。

关注流程，而非关注工具

再来看一项似乎与CEO们关注网络攻击这一倾向相冲突的数据：只有28%的受访企业表示“安全/风险管理”属于一项能够推动IT投资的技术创新，而其它受访者则强调资金正在流向其它非安全方向。

不过在询问有哪些业务计划有望推动IT投资时，情况又有所不同：31%的受访者表示“提高网络安全保护”，另有19%的受访者表示“满足合规性要求（GDPR等）”——而且GDPR等法令的合规工作往往被纳入最高级别安全高管的职责范围。这里传达出的信息也许是，高管人员实际上是将安全视为一种整体性的业务考量方式——而非单纯购买并安装一套软件或者工具。

他们打算提供多少预算？

2015年，IDC公司提出将企业IT预算总额的13.7%作为安全支出是一种比较理想的作法。但过去几年以来，网络安全挑战变得日益严峻，这意味着IT安全支出将大幅增加，且提升速度可能远超企业内的其它预算类型。

尽管如此，我们发现大多数受访企业在这方面的表现都不理想：超过半的企业仅利用IT预算中的不足10%作为信息安全资金。四分之一的企业则将目标设定在10%到20%范围内。

企业是否在招聘相关人才？

通过上述数据点，大家一定认为信息安全已经成为利润丰厚、对IT专业新手们而言极具吸引力的职业区划。我们向受访企业们就此进行了求证，答案也确实没有令人失望。受访企业表示，在预计招聘难度最高的技能组合当中，安全与风险管理位列榜首——39%的受访者对此表示认同。因此如果大家有意将网络安全作为自己人生的奋斗目标，那么现在是时候行动起来了。而在另一方面，如果您是用人单位一方……呃，只能祝好运啦。