根据一份新的报告指出,评估 IT 安全计划的价值通常很困难,因为 “脱节的” (disconnected) 安全专业人员会根据关键绩效指标 (KPI) 工作,而关键绩效指标不能很好地转换成业务术语。该报告警告道这种情况正在使安全从业人员边缘化并质疑自己的专业价值,导致他们的倦怠。
在 Thycotic-Sapio 网络安全团队的《成功指南》(Guide To Success) 里,来自五个国家(包括澳大利亚和新西兰)的 565 位 IT 决策者中,有 44% 的受访者表示,他们对组织机构中其他部门对 “成功” 定义并不太清楚,而有 43% 的人表示没有人向他们传达总业务目标。
报告指出,安全团队 “每天专注于应对直接威胁和事件,导致他们与业务脱节”,只有 21% 的 IT 决策者认为他们的角色或团队 “始终符合业务目标”。
预算和战略实践迫使 IT 从业者在宣传他们的成就时严重依赖他们过去的成就——48% 的人在宣传过去的成功和投资回报率。
约有 44% 的人依赖其对于生产率和效率的改善,而 40% 的人则宣传他们在提升合规性和降低罚款风险方面的价值。并且有 40% 的人认为,他们致力于保护客户数据,证明在安全方面支出的合理性。
大约有 89% 的人用自己的 KPI 衡量他们的成功——然而,尽管有这些技术细节和其支持带来的营收效益,很多安全从业人员仍然努力在其过去的方案和他们带来的业务受益之间建立联系。
事实上,45% 的受访者表示,他们无法知道过去的安全措施对公司产生了什么影响。52% 的人很难将他们的安全计划和内部 KPI 与企业的总体目标保持一致。
Thycotic 的首席安全科学家和 CISO Joseph Carson 表示:IT 安全专业人员工作具有响应的特性,导致他们会不断地回顾过去的成就来证明自己的价值,而这与组织机构的现状和成功没有任何关系。
这种脱节不可避免地使他们处于不利地位,让他们难以在执行董事会或其他部门的同事面前留下积极的印象。
这种持续的困扰对 CISO 的身心健康产生了不利的影响,他们和其他安全从业人员一样,面临着精力枯竭和任期太短而无法做出有意义的改变的现实问题。
在压力倍增的时候独自前行
足足有 42% 的受访者表示,越来越多的合规和监管要求已成为他们工作中带来最大压力的部分,而 45% 的受访者表示,长时间工作和业务导致的倦怠和压力,关乎员工的去留。
40% 的受访者认为,缺乏高层领导的支持是影响员工去留的另一个关键因素——这支持了安全人员必须得到上级的积极支持,以提高他们的工作满意度和留任意愿的观点。
事实上,当被问及 “成功” 在他们看来是什么样子的时候,澳大利亚受访者最可能将达到董事会的绩效目标列为最重要的因素——有 50% 的受访者将其列为最重要的因素,远高于全球 40% 的平均水平。
然而,被公司重视也同样重要,45% 的受访者说这种价值感能够帮助他们平衡工作压力。
Carson 表示,制定全公司范围的网络安全计划是弥合这些文化差异的宝贵方法。
各组织机构应任命精通技术并善于沟通技的网络安全代表,以加强跨部门合作,对任何异常活动进行及时预警。这样做有两个好处,一是能够更积极主动地保障IT安全,二是减少安全问题对业务的潜在影响。
Thycotic-Sapio 网络安全团队发布的《成功指南》:
相关阅读