“缺乏网络安全意识和消极对待网络安全风险会有两种后果：一是麻烦正在向你走来，二是你已经处于麻烦之中，却不知道。”

伦敦大学金史密斯学院的一个研究团队受企业安全与系统管理初创公司Tanium和纳斯达克委托，进行了对企业网络安全脆弱性的量化调查。

该调查先是定义了7项企业固有安全挑战，然后针对1530名非高管级负责人(NED)、首席信息安全官(CISO)和首席信息官(CIO)进行了问卷调查。受访人分别来自美国、英国、德国、北欧国家和日本。7项企业安全挑战包括：网络素养、风险胃纳、威胁情报、立法与监管、网络弹性、响应、行为。(http://t.im/139w9)

调查分析的结论一点也不出网络安全界人士的意外：只有10%的受访企业安全风险级别较低，绝大多数企业(80%)的安全风险级别可被视为“中级”。

报告细节也揭示了相似的内容。比如说，安全风险最高企业的NED中只有13%会经常了解网络安全立法和监管相关事务，8%会关注当前威胁。而安全风险极低企业的NED们100%关注网络安全立法和监管信息，96%经常关心当前威胁。这一现象与企业和安全界间较差的信息交换紧密相关，与糟糕的安全态势也脱不了干系。

然而，知道有问题和知道该怎么解决问题，是两码事。

真正的难点，在于让企业承认自己需要了解安全。伦敦大学金史密斯学院管理研究所创新主任克里斯·布劳尔博士坦陈了这一难题：“这些认为自己不太懂‘网络’的NED有明显的顾虑说出来。他们中大多数都不是数字时代土生土长的数字土著，且自满傲气的文化颇为流行——‘这是那帮技术宅考虑的底层问题’，对专家建议也过分依赖。”

Tanium共同创始人兼CEO奥利安·欣达维在这一基本问题上持相同观点：在数据安全事件问题上，企业自认为的和实际的应对能力之间存在令人担忧的差距；企业高管层也普遍缺乏问责。这意味着，某些掌握着我们最宝贵数据的世界级大型网络，比它们的管理者认为的要更易被攻破。

该调查报告最主要的结论是：企业需要创建一种开放的氛围。董事会需要知道该问什么问题来了解公司网络安全状态。另外，还可以通过内部或外部的详细报告来确保负责人们具备提供足够监管的能力。董事会成员需要学习怎么像了解财务问题一样询问安全问题，某些情况下，专门负责网络的董事会成员应该接受扩展性培训。

怎么创立开放的氛围也是个问题。总的来说，公司不想弄懂安全，这是公司花钱雇来CIO和CISO干的事。CISO总是那个了解并设法解决这类问题的人，而现实是：安全人员要学会与公司沟通而不是反过来，才是开放氛围创立的解决之道。