教育、领导及预算不足成企业维护网络安全最大障碍

Sophos涵盖900名亚太及日本区业务决策人的大型调查揭示,企业文化及员工教育对成功推行网络安全措施非常重要

2019 年 9月 2日 - 全球网络及端点安全领导厂商Sophos (LSE: SOPH) 发表最新研究报告《亚太及日本区网络安全的未来-文化、效率、警觉性》 (The Future of Cybersecurity in Asia Pacific and Japan – Culture, Efficiency, Awareness) ,披露企业对网络安全的投资有效与否,除了取决于购入的技术及企业文化、员工教育和成交路径 (path-to-purchase) 的作用也举足轻重。

亚太及日本区企业未能跟上网络安全发展步伐

大部分亚太及日本区 (66%) 业务决策人认为缺乏安全专门知识是其公司的一大挑战,另有67%表示难以招聘具备相关技能的人才。这种现象可归咎于企业一般的网络安全体制,它们普遍视防护工作为IT员工的额外职责。

另外还存在着一个更广泛的问题,员工的态度和表现也影响着企业网络安全。事实上,有85%的亚太及日本区企业指出,提高员工以至管理层的网络安全意识以及加强相关教育为接下来24个月的最大挑战。

预算及企业架构至关重要

综观所有市场,只有34%的企业设有网络安全专用预算,其余绝大多数公司将相关预算纳入更广泛的IT预算或其他部门支出。企业的IT安全架构也不尽相同 ── 有三分之一受访企业设有专责的首席信息安全官 (CISO) ,另外三分之一由IT主管负责网络安全,剩余的则交由其他管理高层,例如首席技术官 (CTO) 负责。多数企业均继续由内部处理大部分网络安全工作,而在如渗透测试和培训几个方面,外包成为一种更常见的形式。

改变即将来临

有超过五成亚太及日本区企业会定期大幅改动网络安全策略。此外,大部分 (82%) 区内企业计划于12个月内进行变更,当中有一半预期会更多采用外部的安全合作伙伴。除了由于整体安全态势转变,科技与产品的发展、法规要求和新型攻击的出现也是更新安全策略的主要原因。

Sophos首席研究科学家Chester Wisniewski表示:“大家都知道网络安全问题十分棘手。Sophos这项调查突出了不断变化的安全态势所带来的持续挑战,以及通过永无止境的技能探索和最佳实践帮助企业克服这些挑战。‘安全’真正意味着什么?归根究底,安全就是能够管理风险。为有效做到这点,IT主管必须确定关键领域—那些团队能够对保护企业、员工及公司受托的数据产生巨大影响的地方。”

他补充:“我们的研究突显了企业在物色网络安全专才和保持与时俱进时所面临的挑战,更发现受访的决策者不仅欠缺对安全风险的可见性,还高估了自身保护企业的能力。例如平均有三分之一的受访者认为其企业曾于去年遭入侵,但有轶事证据显示该数字应接近100%。当今的安全团队必须积极主动应对当前的网络威胁,因而需要使用工具能有效侦测可疑活动,且能访问安全知识网络的工具,引导他们采取适当的方式纠正问题。”