IBM 新近发布的报告指出了一个问题：高管关心网络安全，但他们未必真的做好了响应网络威胁的准备。

IBM 发布的报告《C 级高管眼中的网络安全》采集了700位非 CSO 的 C 级高官对网络安全的态度，分析了安全趋势。报告中称，尽管C级高管普遍将网络威胁视为主要问题之一，但他们未必真的做好了响应网络威胁的准备。

投票结果显示，包括 CEO 、CIO 、CTO 在内，超过94％的 C 级高管相信自家企业将在未来两年内遭遇安全事件。将近三分之二（65％）的受访者表示，他们的网络安全计划十分完备，然而与此同时，仅有17％的人士称对企业网络威胁响应能力有信心。

IBM Security 高级安全顾问黛娜·凯莉（Diana Kelley）说：“C 级高官知道安全的重要性，但他们并不总是能够参与到下一步过程中来”。

IBM 的报告提到了一种名为自信悖论的趋势：高管对网络安全能力的估计与实际情况并不匹配，具体情况根据高管担任的职位而有所不同。

“如果你离安全远一点，可能会感觉更加舒服。如果你是顶级高管，很可能会想听到粉饰太平的报告。”

由于公司报告制度存在的问题，除首席信息安全官（CISO）之外的 C 级高管往往并不了解网络安全的新近趋势。

这项研究指出了合作方面的断层：69％的 C 级高管暗示自家企业制订的安全计划无法帮助 C 级高管们之间有效合作。

三分之二的受访者相信，要想改善网络安全，就应当分享更多信息。然而，当被问到是否愿意给他人分享此类信息时，仅有三分之一的受访者表示自己对此已做好准备。

“他们知道应该分享数据，但他们很担心，不愿意真的将数据共享出来”。

安全领域仍旧存在量化难题。“我们如何将风险暴露量化，并向董事会上报？高管可能在信息汇总板上看到一片绿灯，但如果你揭开伪装，处理细节会带来一些挑战。”

然而，采用正确的量化指标并不容易。凯莉建议采取更多安全措施，并进行更频繁的监控，她认为距离上次入侵事件的天数等简单的指标可能并不能满足需求。

“上次入侵天数、打补丁所需时常等简陋的上报机制并不完备，企业需要更加整体地了解风险状况。”

科技能够帮助提升可见性，加强控制，然而真正的安全是通过人员、流程和科技的组合实现的。

“科技在很多事情上能够比人类做得更快更好，但人类才是与系统交互、编写程序和策略的主体。如果你没有部署正确的策略和人员来使用技术，那么这些技术也不会奏效。”