高管与网络安全的紧密关系

关键要点

• 随着网络安全日益重要，首席信息安全官（CISO）在董事会中的影响力不断增强。
• 调查显示，82%的CISO现在直接向首席执行官汇报，83%的CISO经常出席董事会会议。
• 具备网络安全背景的董事会成员对于公司安全措施的信任度更高。
• 尽管CISO与董事会在安全优先事项上日益一致，但仍存在优先级差异。
• 预算问题仍然是CISO和董事会之间的一大矛盾。

近年来，CISO常常感觉到董事会并未给予他们足够重视。然而，根据Splunk的一项调查，这一关键问题正在发生变化，82%的CISO现在直接向首席执行官汇报，而这一比例在2023年仅为47%。

根据Splunk的报告，该调查涵盖了500名CISO、首席安全官及类似安全职务的高管，以及100名董事会成员，发现83%的CISO现在经常 or大部分时间出席董事会会议。

在企业安全中，拥有具备网络安全背景的董事会成员至关重要，60%的受访者对此表示认可。然而，只有29%的CISO表示他们所在公司的董事会有具备网络安全专长的成员，这意味着还有很长的路要走。

研究显示，拥有CISO背景的董事会成员与安全团队关系更为密切，对公司安全措施的信任程度更高，且表达出“不够保护公司”的担忧的比例低于37%。

另外，强大的董事会关系能够促进公司内部更好的合作，数据显示，与董事会关系良好的CISO在与IT运营和工程团队的合作上表现得更加出色（74%对比63%）。

良好的董事会关系不仅可以促进合作，还能令CISO在生成性人工智能的应用案例中拥有更多机会，比如威胁检测规则的创建（43%对比31%）、数据源的分析（45%对比28%）、事件响应及取证调查（42%对比29%）及主动威胁搜索（46%对比28%）。

尽管董事会访问增加，分歧依旧存在

尽管CISO和董事会在安全优先事项上逐渐趋同，但仍存在差距。CISO与董事会之间在以下优先事项上存在最大分歧：

• 新兴技术创新（52%的CISO认为这很重要，但只有33%的董事会成员同意）
• 安全人员的技能提升或再培训（51%的CISO，27%的董事会成员）
• 对营收增长项目的贡献（36%的CISO，24%的董事会成员）

尽管董事会成员和CISO对关键网络安全KPI的重要性意见一致，但79%的CISO表示其安全团队的KPI在近年来发生了显著变化。对于46%的CISO来说，达到安全里程碑是衡量成功的相关标准，但只有19%的董事会成员持相同观点。

尽管合规性对公司至关重要，只有15%的CISO表示合规性是最重要的绩效指标，而董事会成员对此的关注达到了45%。20%的CISO宣称他们曾受到压力，要求不报告合规问题。然而，在这种背景下，有59%的CISO承认，如果公司忽视合规要求，他们会积极举报。

关于安全预算的争议

不一致的支持和差异也体现在网络安全预算上。

仅有29%的CISO表示他们拥有足够的预算来实施网络安全项目并实现安全目标，41%的董事会成员认为网络安全预算适当。

与此同时，64%的CISO对在当前威胁环境和监管环境下无法做到足够的事情感到担忧。此外，18%的CISO表示，在过去12个月中，由于预算削减未能支持某个商业项目，导致64%的案例中出现了成功的攻击。

CISO提到的其它主要削减成本措施包括：减少安全解决方案和工具（50%），冻结招聘（40%），以及减少或完全暂停安全培训（36%）。

几乎所有CISO（94%）都曾经遭遇过破坏性的网络攻击。其中大部分（55%）表示他们至少受到影响几次，另外27%则表示多次成为目标。