專題與活動調研報告

資訊保安主管難取得董事會的信任?

趨勢科技 公佈研究指出,全球近八成(79%)的網絡資訊保安主管都會在董事會的壓力下而不敢直接點出其企業所面臨的資訊保安風險。

參考趨勢科技「首席資訊保安長的信任危機」報告:https://www.trendmicro.com/explore/thecisocredibilitygap/2608-tl-en-rpt

趨勢科技香港及澳門區顧問總監李浩然指出:「有超過半數的資訊保安主管表示,資訊保安是他們最大的業務風險,但他們卻無法用董事會能夠理解的語言向他們闡述這些風險。結果就是遭到忽略、貶低,甚至被視為嘮嗦。除非他們有辦法跟高層更有效溝通,否則企業的資訊保安韌性將受到影響。而解決這問題的第一步就是要能辨識整體受攻擊面的真正單一源頭。」

在所有承受董事會壓力的資訊保安主管中,有 43% 表示這是因為他們被視為不斷重複同一問題,另有 42% 表示被認為太過負面,有三分一(33%)表示他們直接遭到否定而沒有機會進一步解釋。

這點出了一個嚴重的信任危機,解釋了為何他們無法讓資訊保安風險與業務風險有更直接的連結。事實上,46% 的受訪者表示當他們能夠明確量化其網絡資訊保安策略的價值時,他們就會得到更多肯定。

而且這樣的做法還有其他好處,包括資訊保安主管將:

  • 被授予更多責任(45%)
  • 被視為更有價值的崗位(44%)
  • 獲得更多預算(43%)
  • 被納入高層決策圈(41%)

但目前資訊科技與業務領導人之間仍然存在著一些溝通障礙。

僅有半數(54%)受訪者相信他們的高級領導層完全了解其企業所面對的資訊保安風險,而這項數字從 2021 年(50%)至今幾乎沒有太大變化。超過三分一(34%)受訪者表示網絡資訊保安依然被視為一種資訊科技風險而非業務風險。

此外,80% 受訪者相信,唯有發生嚴重的資訊保安事件才會令董事會採取更果斷行動來對抗資訊保安風險。

異質資訊保安環境也會令挑戰更加嚴峻,專為不同攻擊面領域設計的單點產品只能顯示各種不連貫的資料,令資訊保安主管更難向董事會清楚展示資訊保安風險的全貌。

超過半數(58%)受訪者認為他們有必要提昇自己的資訊科技溝通技巧來矯正這情況。然而,一套整合式「攻擊面風險管理」(ASRM)平台就能省下大筆經費,只須使用一個高階主管儀表板就能呈現及提供一致又具說服力的風險啟示。

*本文配圖由AI生成。

TechApple.com 編輯部

堅持製作專業科技內容,全員擁有多種不同技術知識的特異科技媒體團隊。 電郵:editor@techapple.com