高德納：CISOs 在平衡安全與業務目標方面面臨挑戰

根據高德納分析師的一項研究顯示，全球安全領導者表示，他們正在努力平衡適當保護數據的需求與最大化利用數據實現業務目標的需求之間的關係。研究發現，只有 14% 的網絡安全領導者能夠很好地處理這兩方面。

在 2024 年夏季對 318 名高級安全領導者進行的調查中發現，35% 的人對保護數據資產有信心，21% 的人有信心能夠利用數據實現業務目標。而能夠同時做到這兩點的比例僅爲七分之一。

高德納研究高級專家 Nathan Parks 表示，這顯然是一個需要解決的問題。

他說："當只有 14% 的 SRM 領導者能夠在支持業務目標的同時保護數據時，許多組織可能面臨網絡威脅、監管處罰和運營效率低下的風險增加，最終危及其競爭優勢和利益相關者的信任。"

基於這些發現，高德納爲安全領導者制定了五點檢查清單，以便更好地將業務需求與嚴格的數據安全要求相協調，併成功實現有效的數據保護和業務賦能目標：

CISOs 應該通過與企業各個部門的終端用戶共同創建數據安全政策和標準，以減少與治理相關的業務摩擦；

他們應該通過與企業的其他內部職能部門更好地合作，識別重疊領域和潛在協同效應，來協調數據安全相關的治理工作；

他們應該明確識別和界定企業在處理以前未知或意外的數據安全風險時必須絕對滿足的不可協商的網絡安全要求；

在生成式 AI (GenAI) 和相關決策方面，他們應該謹慎地定義適當的高級護欄，使利益相關者能夠在設定的參數範圍內進行實驗；

最後，他們應該與企業的數據和分析團隊合作，確保董事會層面對數據安全級別的認可。

韌性之路直通董事會

高德納的最後一點，即與核心工作不在網絡安全領域的高層領導建立更有效的工作關係，這一直是許多安全領導者的心頭之痛，他們經常感嘆態度的分歧。

這一點在思科旗下安全分析和可觀察性專家 Splunk 最近發佈的一項研究中得到了突顯。該研究調查了包括英國和美國在內的 10 個國家的首席信息安全官 (CISOs)。Splunk 發現，CISOs 越來越多地參與董事會，但突顯了他們與其他董事會成員之間優先事項的巨大差距。

例如，Splunk 表示，在採用新興技術（如 GenAI）方面，52% 的 CISOs 將其視爲優先事項，而其他董事會成員僅爲 33%；在提升或再培訓網絡安全員工方面，51% 的 CISOs 認爲這是優先事項，而董事會成員則爲 27%；在爲收入增長計劃做貢獻方面，36% 的 CISOs 表示他們將其列爲優先事項，而董事會成員則爲 24%。

雖然完整報告比這些統計數據表明的更加微妙，但研究還顯示，只有 29% 的 CISOs 認爲他們獲得了有效工作所需的預算，而 41% 的董事會成員認爲安全預算完全足夠。