Gartner2021网络安全与风险管理调查报告：88%的董事会将网络安全视为商业风险

近日，美国高德纳（Gartner）公司发布一项关于董事会与网络安全的调查。这项新调查中发现，88%的董事会（BoD）认为网络安全是一种商业风险，而不是技术风险。然而，只有12%的董事会成立了一个专门的“董事会网络安全委员会”。

高德纳公司杰出的研究副总裁Paul Proctor表示，现在是时候让除了IT部门以外的高管来承担保护企业安全的责任了。纵观2021年的情况，网络出现大量勒索软件和供应链攻击，其中许多是针对运营和关键任务环境的，这给大家敲响一个警钟。安全是一个商业问题，而不仅仅是IT部门要解决的另一个问题。

高德纳公司的分析师在“高德纳安全与风险管理美洲峰会上”提出了将网络安全作为一项商业决策的必要性。首席信息官（CIO）与首席信息安全官（CISO）必须重新平衡网络安全的责任。

高德纳表示，即使企业领导人意识到，确实需要保护企业免受不断变化的新威胁，但网络安全的责任主要由IT领导层来承担。高德纳的这项调查发现，在85%的企业中，首席信息官、首席信息安全官或同等职位的人，是负责网络安全的最高负责人。只有10%的企业组织，要求非IT高级管理人员承担网络安全责任（见图1）。

图1：企业组织中对网络安全负责的最高级别人员

资料来源：Gartner（2021 年 11 月）

副总裁Proctor还表示，IT和安全领导者，往往被认为是保护企业免受威胁的最终权威。然而，企业领导人每天都在不咨询首席信息官或首席信息安全官的情况下做出决定，这会影响了企业组织的安全。

首席信息官与首席信息安全官必须重新平衡网络安全的责任，以便与业务和企业领导人共同管理。高德纳建议，IT部门、安全领导者应与高管和董事会合作，建立治理机制，为影响企业网络安全的商业决策分担责任。

高德纳表示，最近的研究发现，66%的首席信息官打算在未来一年增加网络安全投资。然而，根据高德纳预测显示，网络安全支出的整体增长将在2023年之前放缓。

随着安全预算的缩减，首席信息官和首席信息安全官需要与行政领导层密切合作，在商业背景下重新规划网络安全投资。例如，首席信息官可以向企业领导提供一系列的保护方案，并清楚地列出每个选择的成本和风险。

Proctor表示，首席信息官和首席信息安全官，必须利用他们的专业知识来提高投资和风险的透明度，以推动整个企业的安全责任共享。

这项2021年高德纳全球安全和风险管理治理的调查，时间是在2021年4月至5月，针对北美、欧洲、中东和非洲、亚太和拉丁美洲的615名受访者展开。这些企业至少有100名员工，年总收入为5000万美元。

参考资料：

https://www.gartner.com/en/newsroom/press-releases/2021-11-18-gartner-survey-finds-88-percent-of-boards-of-directors-view-cybersecurity-as-a-business-risk