一项由Ponemon Institute波耐蒙研究所与Fidelis Cybersecurity公司合作进行的调查研究报告着重强调了一些关于网络安全状态的相关数据。这份网络安全管理调查报告通过研究数据结果发现，在决策和预算管理者与实施和管理安全措施者之间存在着一个令人不安的差距。

波耐蒙研究所调查了超过650名董事会成员和IT安全专家，包括CIO、CTO、CISO以及其他安全专家，以获悉网络安全知识水平的视角，以及董事会成员的参与情况。董事会成员是对网络安全成果最终负责的，但是在管理企业的网络安全态势方面，似乎许多董事会成员缺乏基本的做出正确的决策所必备的知识。

Fidelis公司在新闻发布会上解释说，网络安全对董事会来说是一个重要问题，但是许多董事会成员缺乏适当应对挑战的必备知识，甚至在数据泄露攻击发生时都不能察觉。使差距更进一步加大的是，IT安全专家对董事会理解企业所面对的网络安全风险方面缺乏信心，这导致了董事会成员与IT安全专家之间的信任和沟通失效。

报告中的一些重要结论包括：

缺乏关键的网络安全知识

76%的被调查者表示，由董事会审查或批准安全策略和安全事件响应计划。然而，只有41%的董事会成员声称自己具有网络安全方面的专业知识，有26%的董事会成员表示他们有很少的或丝毫没有网络安全知识。

对破坏性活动有限

59%的受访的董事会成员认为他们企业的网络安全管理措施十分有效，但只有18%的IT安全专家同意对此表示同意。波耐蒙研究所与Fidelis公司发现网络安全问题属于65%的受访的董事会成员的议事日程内，但是大部分的董事会成员并没有意识到威胁活动，或者并不清楚是否他们的企业过去曾经遭受了数据泄露攻击。

董事会成员与IT安全专家之间缺乏信任

70%的董事会成员认为他们了解企业所面临的网络安全风险，但是只有60%的IT安全专家对此表示同意。董事会成员与IT安全专家之间的认识差距表明，决策者与管理网络安全实施者之间相互缺乏信任和信心。

Target攻击事件是一个分水岭

据报道称，65%的董事会成员和67%的IT安全专家认为Target数据泄露攻击事件已严重影响了董事会对网络安全管理的参与程度。虽然它看似是每周的重要的数据泄露事件，但Target攻击事件具有一些特殊性，导致网络安全管理方式产生了一些变化。

美国证交会将大大提升董事会参与度

只有5%的董事会成员和2%的IT安全专家表示，他们实际上确实遵循了美国证交会准则，向股东披露了重大的安全漏洞。超过70%的受访的董事会成员以及超过80%的受访的IT安全专家认为，美国证交会将使准则可以授权，这将大大改变董事会在网络安全管理方面的参与程度。

波耐蒙研究所的主席和创始人Larry博士表示，随着网络攻击事件的波及广度与严重性持续升级，网络安全越来越成为董事会层面的重要问题。这些调查数据表明董事会成员已经意识到了网络安全的重要性，但仍然存在着许多不确定性和混乱。许多董事会成员缺乏安全问题和安全风险方面的专业知识，甚至不知道自己企业出现了什么问题，这让我十分震惊。由于对这些安全问题的不了解，就不可能在有效解决所出现的安全问题时，合理的预估企业的安全策略和安全事件响应计划。

过去几年发生了许多网络攻击事件，我们也进行了大量的调查。看起来企业越来越意识到、越来越关注网络安全问题，为防护网络安全投入了更多的资金和资源。然而，在某种程度上看起来我们取得了很小的进步，每一次新的数据攻击都是一个新的“叫醒电话”，但又常常是被忽视的。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)