網路安全仍被視為技術問題未能與業務關聯

網路安全目前已經成為各企業董事會的重要關注方向與議程核心，不過大多數首席資訊保安官（簡稱ciso）當下還是沒能在董事會內獲得席位。

根據本次isaca與rsa大會進行的乙份調查，82%的網路安全與資訊保安專家在訪問中宣稱其董事會成員重視或者非常重視網路安全問題，但只有七分之一（14%）ciso有資格直接向ceo遞交報告。

這種理念與行動之間的巨大差距廣泛存在於高管團隊當中。在本次調查當中，74%的受訪安全專家預計所在企業將在2023年當中遭遇網路攻擊，並有30%受訪者預計釣魚攻擊將以日常姿態出現，這份《isaca/rsa大會網路安全狀態調查報告》指出。

「雖然有跡象表明企業高管人員正越來越多地了解網路安全的重要性，但其中仍然存在著進一步改善的空間，」rsa大會主編jennifer lawinski表示。「大多數ciso仍然需要向cio報告，這意味著網路安全被視為一類技術問題而非業務問題。這次調查強調了資訊保安行業在未來實現順利發展所面臨的阻礙。」

網路安全技能層面的差距亦會對企業安全水平帶來威脅。在過去的2023年，受訪安全專家對自身團隊檢測並響應事故的能力抱有信心的比例為75%，這一數字較2023年調查得出的87%比例下滑12%。而在這75%受訪者中，60%承認其員工無法處理任何超出簡單網路安全事故之外的狀況。

除此之外，認為應聘者「具備聘用所要求之能力」的比例不超過一半的受訪者數量由去年的50%提公升至59%。其中27%的應聘者需要經過6個月的學習才能正式接手網路安全崗位，這一比例遠高於2023年的3%。

「對現有網路安全技能水平的信心缺失顯示出理想培訓方案的匱乏，」isaca首席知識官ron hale解釋稱。「能夠親自上手且基於技能的培訓機制對於彌合網路安全技能鴻溝並高效發展強大網路團隊而言非常重要。」

態勢感知能力薄弱

這份調查還強調稱，目前擔任網路安全或者資訊保安關鍵性角色的安全專家在態勢感知能力方面較為薄弱：

24%受訪者並不了解使用者憑證是否曾於2023年年內遭受竊取。

24%受訪者並不了解哪些惡意攻擊者曾侵入其企業。

23%受訪者並不了解其所在企業是否曾經經歷過高階持續性威脅（簡稱apt）攻擊。

20%受訪者並不了解是否有企業資產被劫持作為殭屍網路使用。

儘管存在上述問題，但此次接受調查的大部分ciso表示已經開始在企業的技術層面發揮作用，而且今年的報告亦顯示網路安全在企業中的受重視程度在逐步提公升。在此次調查中，61%的受訪者預計其網路安全預計將在2023年年內實現增長，而75%的受訪者表示其所在企業的網路安全戰略如今與業務發展目標保持一致。

網路安全仍被視為技術問題 未能與業務關聯