美国著名服务可靠性评估权威机构波耐蒙研究所(Ponemon Institute)为服务提供商埃森哲咨询公司所做的一项研究表明:对安全采取积极主动态度和方法的公司更容易实现安全目标。
研究把公司分为两类:跨越式公司和稳态式公司,前者注重创新和发展,后者等级更加严格,机制较为传统。研究发现,成功的公司对待网络安全更为严肃,拥有更深入彻底的安全战略与措施,聘用专职首席信息安全官(CISO),也更倾向于向首席执行官(CEO)和董事会报告安全事件。
研究报告称:“跨越式的公司更可能有正式批准的安全战略,这一安全战略也更有可能成为该公司安全项目的主要驱动力。他们采用风险管理技术确定他们的安全战略,并将物理和逻辑安全系统集成到一起。”
在跨越式的公司中,与安全相关联的职责与权限都有清晰的定义。员工不仅仅要清楚安全需求,还负有遵循安全规程的责任。”
与之相反,所谓的稳态型公司更倾向于依赖规程而不是战略来驱动他们的安全需求。“安全工作主要放在应付外部威胁上,且更强调预防而非检测或遏制。这几点特征对于公司在自身安全态势实效上取得显著改善没有任何帮助。”
对那些落后的公司,埃森哲建议先从设立有实权的专职CISO开始,并辅以分配专用安全预算和扩展安全团队来保证公司网络安全防御中尽量不留死角。
“跨越式公司更倾向于将信息安全视为优先事务,并将它们的安全目标与业务目标整合统一起来。他们把安全看作达成业务目标的推进器,且能够在例外情况下(有时候业务需求会超越安全需求)当安全阻碍了业务目标时进行适当的调整适应。”