注重網(wǎng)絡安全的企業(yè)最容易獲得成功

2015-05-21 09:57:39 安全牛　點擊量：評論 (0)

美國著名服務可靠性評估權威機構波耐蒙研究所（Ponemon Institute）為服務提供商埃森哲咨詢公司所做的一項研究表明：對安全采取積極主動態(tài)度和方法的公司更容易實現(xiàn)安全目標。研究把公司分為兩類：跨越式公司和

美國著名服務可靠性評估權威機構波耐蒙研究所（Ponemon Institute）為服務提供商埃森哲咨詢公司所做的一項研究表明：對安全采取積極主動態(tài)度和方法的公司更容易實現(xiàn)安全目標。

研究把公司分為兩類：跨越式公司和穩(wěn)態(tài)式公司，前者注重創(chuàng)新和發(fā)展，后者等級更加嚴格，機制較為傳統(tǒng)。研究發(fā)現(xiàn)，成功的公司對待網(wǎng)絡安全更為嚴肅，擁有更深入徹底的安全戰(zhàn)略與措施，聘用專職首席信息安全官（CISO），也更傾向于向首席執(zhí)行官（CEO）和董事會報告安全事件。

研究報告稱：“跨越式的公司更可能有正式批準的安全戰(zhàn)略，這一安全戰(zhàn)略也更有可能成為該公司安全項目的主要驅動力。他們采用風險管理技術確定他們的安全戰(zhàn)略，并將物理和邏輯安全系統(tǒng)集成到一起。”

在跨越式的公司中，與安全相關聯(lián)的職責與權限都有清晰的定義。員工不僅僅要清楚安全需求，還負有遵循安全規(guī)程的責任。”

與之相反，所謂的穩(wěn)態(tài)型公司更傾向于依賴規(guī)程而不是戰(zhàn)略來驅動他們的安全需求。“安全工作主要放在應付外部威脅上，且更強調預防而非檢測或遏制。這幾點特征對于公司在自身安全態(tài)勢實效上取得顯著改善沒有任何幫助。”

對那些落后的公司，埃森哲建議先從設立有實權的專職CISO開始，并輔以分配專用安全預算和擴展安全團隊來保證公司網(wǎng)絡安全防御中盡量不留死角。

“跨越式公司更傾向于將信息安全視為優(yōu)先事務，并將它們的安全目標與業(yè)務目標整合統(tǒng)一起來。他們把安全看作達成業(yè)務目標的推進器，且能夠在例外情況下（有時候業(yè)務需求會超越安全需求）當安全阻礙了業(yè)務目標時進行適當?shù)恼{整適應。”