首席信息安全官对其安全状况的信心如何?

世界各地的首席信息安全官在2021年接受了远程工作方式，许多人如今感觉对环境的控制能力更强：48%的受访者认为他们所在的公司在未来一年内面临遭受重大网络攻击的风险，而去年高达64%。

但是，认为已经为网络攻击做好准备与做好准备的结果是截然不同的。首席信息安全官日益增强的信心可能是成功克服重大突发事件(例如新冠疫情)的结果，但并不是风险防范水平的切实变化。这份调查报告表明，50%的首席信息安全官仍然认为他们所在的公司没有准备好应对网络攻击，56%的受访者认为人为错误是最大的网络漏洞，既定的远程工作模式和辞职潮给企业的信息保护带来了新的挑战。

该报告审查了来自不同行业的大中型企业的1400多名首席信息安全官的全球第三方调查反馈结果。在2022年第一季度进行的调查过程中，来自14个国家/地区市场的100名首席信息安全官接受了调查，这些国家和地区其中包括美国、加拿大、英国、法国、德国、意大利、西班牙、瑞典、荷兰、阿联酋、沙特阿拉伯、澳大利亚、日本以及新加坡。

该调查探讨了三个关键领域：首席信息安全官每天应对的威胁风险和网络攻击类型、员工和企业对于网络安全的准备程度，以及在企业准备重新开设企业办公室时支持混合劳动力的影响。它还揭示了首席信息安全官在其角色、他们在企业高管中的地位以及他们在团队的业务期望方面遇到的挑战。

Proofpoint公司副总裁兼全球常驻首席信息安全官Lucia Milică评论说，“备受瞩目的网络攻击扰乱和破坏了供应链，如今已经成为头条新闻，并推动产生了新的网络安全立法，2021年对世界各地的首席信息安全官来说是另一个充满挑战的时期。随着他们适应新的工作方式，令人鼓舞的是，他们现在似乎对自己的安全态势更有信心。

随着新冠疫情对安全团队的影响逐渐消退，我们发布的2022年报告揭示了一个紧迫的问题。随着员工离职或选择不重返工作岗位，安全团队现在正在管理大量信息和内部威胁。”

首席信息安全官面临的主要挑战

首席信息安全官对自己的网络安全状况更有信心：在经历了两年前所未有的破坏之后，首席信息安全官现在感觉对运营环境的控制能力更强：48%的首席信息安全官认为他们的企业在未来一年内可能面临遭受重大网络攻击的风险，而去年有64%的人这样认为。

首席信息安全官对针对其企业的最重大威胁缺乏共识：在今年，内部威胁(无论是疏忽、意外还是网络犯罪)以31%位居榜首，而紧随其后的是DDoS攻击、商业电子邮件泄露和云帐户泄露(Office365或G套件帐户被泄露)，均为30%。尽管勒索软件攻击事件占据了最近的头条新闻，但仍只占28%。

企业的网络安全准备情况有所改善，仍然是一个关键问题：对新冠疫情发生之后工作环境的日益适应也让首席信息安全官感觉更有能力应对网络威胁。虽然66%的受访者认为他们没有为2021年的针对性攻击做好准备，但今年这一比例已降到50%。

员工的安全意识如今正在提高，但网络防御的技能水平仍然不够：虽然60%的受访者认为他们的员工了解在保护企业免受网络威胁方面的作用，但56%的受访者仍然认为人为错误成为他们所在企业最大的网络漏洞。去年，在接受调查的全球首席信息安全官中，只有一半的受访者表示增加了对员工进行网络安全培训的频率。

长期混合工作和辞职潮使保护数据成为首席信息安全官面临的一项新挑战：员工现在在任何工作地点都形成了防御边界，51%的首席信息安全官表示在过去一年月中看到有针对性的网络攻击有所增加。一半的受访者表示，员工过渡的增加意味着保护数据已成为一项日益严峻的挑战，对信息保护的投资是未来两年的首要任务。当被问及员工最有可能导致数据泄露的原因时，首席信息安全官将受损的内部攻击列为最有可能的媒介，一些员工无意中暴露了他们的凭据，从而使网络犯罪分子能够访问敏感数据。

勒索软件攻击的头条新闻显著地提高了企业高管的网络风险意识，并推动了战略转变：最近备受瞩目的攻击事件将防止勒索软件推到了企业的首要议程，58%的受访者表示他们购买了网络保险，五分之三的受访者表示注重预防胜于检测和应对策略。然而，尽管赎金数额不断增长，但大约42%的首席信息安全官承认他们没有制定赎金支付政策。

尽管首席信息安全官感到面临的压力略小，但由于网络风险令企业领导者担忧，而董事会的支持仍然不稳定：49%的首席信息安全官认为企业董事会对其角色的期望过高，低于去年的57%。然而，与企业董事会不一致的看法有所增加，全球只有21%的首席信息安全官表示企业董事会在网络安全问题上与他们意见一致。在考虑网络风险时，全球首席信息安全官将重大停机、运营中断和对业务估值的影响列为企业董事会最关心的问题。

Proofpoint公司网络安全战略执行副总裁Ryan Kalember说，“在花费两年时间加强防御以支持混合工作之后，首席信息安全官不得不优先处理针对当今分布式、依赖云计算服务的劳动力的网络威胁。因此，他们的重点已经转向防止最有可能的网络攻击，例如商业电子邮件泄露、勒索软件、内部威胁和DDoS。

总体而言，首席信息安全官似乎将2022年视为风暴过后的一个平静期，但可能陷入了一种错误的安全感。随着地缘政治紧张局势加剧和以人为中心的网络攻击不断增加，在网络安全海洋再次变得波涛汹涌之前，必须弥补用户意识、准备和预防方面的差距。”