在大多数方面,安全性很古老,但在别人中很年轻。作为一个企业纪律,在地下室多年来不幸的是,安全性不幸的是。
如今,随着各组织开始应对各种各样的风险,《2010年国家安全报告》显示,这些组织正在迅速采用更成熟的安全观点。当然,还有更多的工作要做——最突出的是在安全度量和意识程序领域。
让我们看看数字。
1.每句话如何描述你的组织?(同意或非常同意每种说法的比例。)
2004 |
2010 |
|
高级管理层已经建立了安全政策和审计程序 |
23% |
81% |
高级管理层将安全领袖视为战略和永久的角色 |
17% |
72% |
安全被视为对业务至关重要,而不是开销费用 |
25% |
66% |
安全注意事项是公司业务流程的常规部分 |
28% |
63% |
所有员工都接受了所有安全政策的培训 |
38% |
78% |
所有员工都知道安全政策违约的制裁和后果 |
42% |
63% |
组织中的所有管理人员都了解安全的角色和责任 |
45% |
44% |
所有员工都认为安全成为日常责任的一部分 |
38% |
40% |
花一点时间来反思上图图表中反映的巨大进步。
六年前,受访者报告了他们公司内的安全风险管理普遍认为。政策未定义。安全领导者是缺陷的。训练很小。
今天几乎每个分数都有不同的情况;2010年受访者表明,在大多数公司,包括政策,人员和培训,安全方案在大多数公司都有很好地建立。
除互联网营销之外,还有其他企业纪律享受在同一十年期间的信誉如此迅速,普遍地升级吗?落入啦啦队角色的风险,这是值得注意的。目前的事件显然是一个巨大的驾驶因素,但今天的安全领导人仍然应该得到拍拍的支持,以帮助为今天的威胁进行合适的组织反应。
2010年的这些数字并非侥幸。多年来,各个领域的进步都在稳步上升。
话虽如此,那些上升趋势突出了近期两个问题的缺乏进展。(有关详细信息,请参阅下一个图表。)
***
2.每个陈述如何描述您的组织?(与每个陈述同意或强烈同意的百分比。通过公司规模,从上面的图1中突破2010年的数据)
在大公司 |
在小公司 |
|
组织中的所有管理人员都了解安全的角色和责任 |
39% |
53% |
所有员工都认为安全成为日常责任的一部分 |
33% |
44% |
此图表在第一个图表中指出的两个滞后问题上会更详细地进行更详细的详细信息。在大多数意识问题中,大公司往往比小公司更好得分。然而,在这两个 - 缺乏总体进展的地方 - 较小的公司实际上报告了比较大的弟兄更高的分数。
我们首先在去年注意到这种差距,今年它仍然存在。在去年的调查写作中,我们想知道这是否表明较大的公司过于依赖过程。一个更大的组织自然趋向于专业化,这不差,但它可以导致斯科夫平,即它。小型公司的员工和管理人员可能更有可能将其工作描述视为结束,“必要时的结局。”
这可能是真的。但是有了这些数据,一位CSO给出了一个简单而清晰的解释:“我认为这都是因为安全管理未能与他们的听众充分沟通,”总部位于印度古尔冈的Genpact的CSO Brian Connor说。
那么该怎么做呢?弗吉尼亚州社区学院系统的首席信息官杰森·理查兹(Jason Richards)指出量身打造更好的意识程序.这意味着使用学员每天处理的特定数据或资产的练习和示例。这比创建一份适合所有人的通讯和海报要多得多。
另一方面,数据表明毯子方法根本不是很有效。
***
3.下列哪一种方法和计算方法适用于安全预算过程?
2008 |
2010 |
|
投资回报 |
46% |
34% |
总拥有成本 |
39% |
32% |
年预期损失 |
14% |
13% |
净现值 |
N/A |
10% |
经济附加值 |
16% |
9% |
没有正式的方法论 |
42% |
51% |
(受访者可以选择多个答案。)
它很容易查看此图表,表明使用特定普通财务方法的缓慢沉降,并说这是另一个进展的进展。
这些方法是商业标准语言.然而,它们是出了名的难以满怀信心地应用于安全领域。例如,一个行业的年度预期损失(许多计算中的关键数据点)对另一个行业的公司来说可能是可疑的。
“我认为他们很难在安全领域使用。人们可能会开始使用它们,但是,理查兹说,然后找到他们笨重的”并放弃他们。
因此,我们将停止呼吁增加经济增值(EVA)的下降(EVA)向后向后迈出一步。但是,“无正式金融方法论”的顽固持续存在仍然令人不安。如果调查中规定的那些不起作用,如果它希望实现长期成功,则需要开发可靠的替代品。John Petrie,Ciso在Harland Clarke Holdings,虽然这里列出的方法都没有捕获安全价值,但它们可能是拼件拼凑的开始。
Petrie在一封电子邮件回复中写道,计算安全价值“包含的数据远不止这类数据”。它还包括收入数字(或损失)、事件响应成本(每记录成本)和风险——声誉或其他——这些都不容易计算。我认为人们正在开发新的、全面的方式来传达安全价值,”Petrie说,“并使用新的测量方法,除了传统的总拥有成本(TCO)、投资回报率(ROI)和经济增加值(EVA)来支持这一声明。例如,仅使用TCO或ROI,就很难将部署数据泄漏保护解决方案卖给领导层。”但当它与阻止员工无意中发送机密数据或知识产权他说,它“成为一个更强大的价值表。它变得不那么成本讨论和更多的”可接受的风险“讨论。”
***
4.与过去12个月相比,您的整体安全预算如何变化?
增加:34%
保持不变:52%
减少:14%
不确定:9%
抛开长期图片一会儿,近期持久的是什么?对于大多数安全部门,稳定的资源或谦虚的上升。这并不奇怪,因为它反映了世界经济的一般方向。
***
5.在过去的12个月里,您的组织领导层对风险管理的重视程度是高了还是低了?
价值54%
没有变化40%
较少值6%
受访者还表示,他们所在组织的领导层在过去12个月里更加重视风险管理,至少没有降低风险管理的价值。这延续了过去几年的总体趋势,尽管回答“更多价值”的比例在几年前达到了峰值(2006年调查中为69%)。
***
6.您的组织是否使用了包含多种风险的正式的企业风险管理过程或方法?
2009年2010年
是46%57%
没有57%43%
正式的企业风险管理(ERM)的兴起超出了除最乐观的预测之外的所有预测。ERM实际上可能是上述日渐式微的财务方法的替代品。
安全风险管理总裁Jeff Spivey在4月份的CSO Perspectives会议上报告公司具有可观的EMR努力的公司可以得到更好的信用评级。更好的信用评级使公司能够以较低的利率借钱。
CSO不应该抓住该事实,因为它直接命中企业底线。此时,制定全方位的ERM计划并与您的同事合作成熟,该计划可能比求解EVA或基于成本的会计的详细信息更高的优先级。
***
7.在过去的12个月中,如何在法规合规性上进行改变的时间?
增加了56%
不改变42%
下降了2%
对法规合规的时间持续上升。随着这些需求的增长,必须建立明确,有效的遵守遵守性方案的必要性。
关于调查对象和受访者:
CSO的调查状态是在线管理的一个合格样本的CSO的观众。调查结果基于227名安全专业人士的回应。
受访者代表了广泛的行业,包括政府和非营利组织(26%),金融服务(22%),高科技/电信/公用事业(15%),制造业(12%),医疗保健(9%)等。
受访者表示,他们参与了许多与安全相关的职责,包括信息安全、隐私、欺诈保护、调查、审计、人员安全等。
这篇题为《2010年中央so状况:进步与危险》的文章最初由方案 .