CIO(信息安全官)们都很头疼的一件事是如何能让老板为保护企业信息安全这点事掏钱买单,但是当你把下面这些数据交到老板面前的时候,小编保证老板们都会乖乖掏钱滴。
1
数据泄露事件仍在不断出现
你可能无法阻止对基础设施的所有攻击。这就是为什么必须确定已出现的数据泄露事件并尽快修复漏洞的原因。在这方面,事情似乎基本上没有什么改善。Ponemon的《2017年数据泄露成本》研究发现,企业平均可在191天内发现数据泄露事件。这数字可能听起来令人十分震惊——超过六个月!然而这已经比2016年略有好转,2016年为201天。
2
政府监管逐渐受到认可
在企业中,通常很少有人对政府的法规有好感。但Thales的《2018年数据威胁报告》称,在保护敏感数据方面,企业还是对监管机构表示认可的。据Thales的调查显示,全球64%的受访者(其中有74%的受访者在美国境内)认为在确保数据安全方面遵守合规要求是“非常”或“极为”有效的方式。这也许就解释了个中原因。《2018年IDG安全优先事项研究》显示,69%的企业认为合规性要求会推动支出。
3
遵守GDPR需要付出巨额费用
也就是说,合规性的费用是昂贵的,特别是在所有数据法规的始祖——欧盟《通用数据保护条例》(GDPR)出现之后。在2017年,普华永道对在欧盟开展业务的美国、英国和日本企业中300名技术高管进行的一项调查中发现,几乎所有人(88%)都表示其所在企业在为遵守2018年5月实施的GDPR的准备过程中花费了超过100万美元。40%的受访者表示他们的花费高达1000万美元甚至更多。所有这些支出对某些人来说是好事。该调查还显示,69%的高管计划雇用外部技术公司来帮助他们遵守这些法规。
4
安全性是否独立?
你的企业是否在高级管理层中设有安全主管,如果有,那么他们需要向谁报告?这个问题不仅涉及高层级的办公室政治,还涉及到谁在企业里做什么,以及他们如何合作这一核心。例如,在《2018年IDG安全优先级研究》中,75%的受访企业将安全和IT团队划归同一部门,25%的企业拥有独立的安全部门。但是,如果一家企业拥有专职的首席安全官或首席信息安全官,那么他们更有可能将安全问题分散到这些企业的单独部门中。调查显示,在这种企业中,40%的时间会出现上述情况。
5
工业控制系统易受攻击
工业控制系统,尤其是为制造工厂和核电站等各种智能设备提供智能的专用计算机硬软件,对于黑客来说一直是具有诱惑力的目标。根据《2017年关于工业网络安全的业务优势报告》,54%的企业在过去12个月内出现过工业控制系统安全事故,其中16%出现过三次或更多。
那么可能的原因是什么呢?没有将足够的注意力放在到底该控制哪些人能够访问这些关键系统。该报告发现,55%的抽样企业允许外部各方(如合作伙伴或服务提供商)访问其工业控制网络。
6
物联网系统也是如此
接入互联网的工业控制系统代表了物联网的第一波浪潮。如今那里已经拥有数以百万计的物联网设备,这意味着你需要保护这些对黑客来说极具诱惑力的庞大攻击面。在物联网安全方面,Trustwave公布的2018年报告给出了一些令人沮丧的数字:
● 64%的受访企业已部署了物联网设备,另有20%的受访企业计划在明年部署这些设备
● 但只有28%的企业认为他们的物联网安全策略“非常重要”,超过三分之一的企业认为只是有点重要,或者根本不重要
考虑到这两个事实,你还会对61%的受访者遇到过物联网安全事件而感到震惊吗?
让我们欣慰的是通过下面这组调查数据我们能看出很多企业的改变,希望下一个改变的会是你的老板。《2018年IDG安全优先事项研究》显示推动安全支出的因素都有如下。(受访者可以选择多个因素,这就是为什么这些因素加起来会超过100%。)
● 74%:最佳实践
● 69%:合规要求
● 36%:对自己企业中发生的安全事件做出响应
● 33%:董事会授权
● 29%:对发生在其他企业中的安全事件做出响应