高德纳：CISOs 在平衡安全与业务目标方面面临挑战

根据高德纳分析师的一项研究显示，全球安全领导者表示，他们正在努力平衡适当保护数据的需求与最大化利用数据实现业务目标的需求之间的关系。研究发现，只有 14% 的网络安全领导者能够很好地处理这两方面。

在 2024 年夏季对 318 名高级安全领导者进行的调查中发现，35% 的人对保护数据资产有信心，21% 的人有信心能够利用数据实现业务目标。而能够同时做到这两点的比例仅为七分之一。

高德纳研究高级专家 Nathan Parks 表示，这显然是一个需要解决的问题。

他说："当只有 14% 的 SRM 领导者能够在支持业务目标的同时保护数据时，许多组织可能面临网络威胁、监管处罚和运营效率低下的风险增加，最终危及其竞争优势和利益相关者的信任。"

基于这些发现，高德纳为安全领导者制定了五点检查清单，以便更好地将业务需求与严格的数据安全要求相协调，并成功实现有效的数据保护和业务赋能目标：

CISOs 应该通过与企业各个部门的终端用户共同创建数据安全政策和标准，以减少与治理相关的业务摩擦；

他们应该通过与企业的其他内部职能部门更好地合作，识别重叠领域和潜在协同效应，来协调数据安全相关的治理工作；

他们应该明确识别和界定企业在处理以前未知或意外的数据安全风险时必须绝对满足的不可协商的网络安全要求；

在生成式 AI (GenAI) 和相关决策方面，他们应该谨慎地定义适当的高级护栏，使利益相关者能够在设定的参数范围内进行实验；

最后，他们应该与企业的数据和分析团队合作，确保董事会层面对数据安全级别的认可。

韧性之路直通董事会

高德纳的最后一点，即与核心工作不在网络安全领域的高层领导建立更有效的工作关系，这一直是许多安全领导者的心头之痛，他们经常感叹态度的分歧。

这一点在思科旗下安全分析和可观察性专家 Splunk 最近发布的一项研究中得到了突显。该研究调查了包括英国和美国在内的 10 个国家的首席信息安全官 (CISOs)。Splunk 发现，CISOs 越来越多地参与董事会，但突显了他们与其他董事会成员之间优先事项的巨大差距。

例如，Splunk 表示，在采用新兴技术（如 GenAI）方面，52% 的 CISOs 将其视为优先事项，而其他董事会成员仅为 33%；在提升或再培训网络安全员工方面，51% 的 CISOs 认为这是优先事项，而董事会成员则为 27%；在为收入增长计划做贡献方面，36% 的 CISOs 表示他们将其列为优先事项，而董事会成员则为 24%。

虽然完整报告比这些统计数据表明的更加微妙，但研究还显示，只有 29% 的 CISOs 认为他们获得了有效工作所需的预算，而 41% 的董事会成员认为安全预算完全足够。