安全预算反应不当影响CISO的投资能力

关键要点

CISO面临的挑战：尽管安全预算有所增加，但是不切实际的期望妨碍了业务关键的安全投资。安全预算增长：61的安全领导者报告称，他们的安全预算有所增加，但大多数CISO仍然受到预算持有者期望的困扰。信息安全在董事会的关注度不足：只有9的CISO表示信息安全在董事会的会议议程中总是位于前三个优先级中。

来源：Shutterstock / Kenchiro168

不切实际的安全支出预期给CISO带来困扰，尽管预算有所增加。这是根据风险和网络安全解决方案提供商BSS的新研究得出的结果，该研究调查了150位安全领导者。研究发现，尽管大多数CISO都经历了显著的安全资金增加，但预算持有者的不切实际期望导致大笔资金用于关注度高的事件，而非战略性的、以业务为中心的安全投资。报告指出，这一缺乏理解的情况表明，信息安全需要得到更多关注，特别是在董事会上。

根据早于BSS研究发布的信息安全成熟度报告，在182名受调研的安全领导者中，只有略超过一半的领导者的预算较去年有所增加，尽管相比于前一年的报告，增幅通常较小。报告指出，促使支出增加的主要因素包括网络威胁形势的演变39、跟上同行21以及在招聘和培训上的投资18。

白鲸加速器下载链接

CISO在高调网络事件后预算显著增长

总体而言，BSS调查显示61的安全领导者的安全预算有所增加，其中预算在50万到100万英镑之间的CISO的调查结果最高73。大多数CISO报告称预算增加在10到30之间。或许最具象征意义的是，78的CISO表示在高调的网络事件，如数据泄露和勒索软件攻击后获得了额外预算，标志着组织对信息安全态度的变化。

然而，针对增加预算的快速反应导致超过一半55的CISO需要将资金转向解决媒体报道的问题，而不是作出更多的战术性商业决策，BSS表示。这通常反映了预算持有者对商业威胁理解不全面的症状，BSS的董事Chris Wilkinson表示：“我们的研究显示，整个商业领域对当前威胁形势的理解存在明显不足，以及预算应如何支出的重大问题。”

信息安全未能成为董事会优先事项，CISO在董事会中缺乏声音

报告指出，这一问题因安全问题通常不在董事会的优先议程上而加剧。只有9的CISO表示信息安全在董事会会议议程的前三个优先事项中，且不到四分之一22的CISO积极参与业务战略和决策过程。

BSS建议CISO利用对安全的高度关注来扭转这种局面。“这是安全领导者教育董事会关于最关键威胁及其未能解决时对业务潜在影响的绝佳机会，”报告指出。

以富有成效的方式与董事会沟通网络安全对CISO来说是一个重大挑战，若未能有效做到这一点，可能导致领导层之间的困惑、失望及缺乏凝聚力。CISO在与董事会沟通时常犯的错误包括使用过于专业的安全术语、关注错误的威胁影响、未准备好回答潜在问题，以及依赖现成的网络风险报告。

今年3月，英国国家网络安全中心NCSC发布了董事会网络安全工具包，该工具包包含帮助董事会成员更有效理解和管理网络风险的资源。