网络世界很危险。每周甚至有时每天冒出的新闻都在提醒我们，数据泄露对企业造成的灾难性影响。除了信息本身的丢失或损坏，客户信任的损失还会导致他们把业务带离到别的公司。在这个由信息驱动的经济环境中，比以往任何时候都更加清晰明了的是，精益求精的安全战略势在必行。这使得波耐蒙研究所Ponemon Institute最近的研究成果变得更加令人震惊。

　　上月发布的《不确定安全战略的风险》调查报告表明，许多中小企业根本不清楚他们的安全战略和所面临的威胁。本次调查共收到来自主管中小企业安全和风险管理的个体约2,070份回应。受访者包括首席信息官CIO或企业IT主管， IT安全主管，风险管理负责人，首席财务官，首席执行官以及首席营运人员。首席信息官CIO或企业IT主管在总样本中占比61%。来看看调查结果。

　　三分之一的受访者承认他们不知道在过去的一年他们的公司是否经历了网络攻击。这种知识的缺乏等同于下一步“行动情报”的缺乏。这些受访者声称，为了纠正这一情况，他们将在未来三年投资于大数据分析和网络流量智能分析技术。

　　最高级职务的受访者们对于他们的公司面临的网络威胁了解最少。这种不确定性表明，一个人越是每天处理安全问题，其对风险普遍性的认知越低。根据研究结果，58%受访者说管理层并不认为网络攻击是一个严重的风险。

　　受访者预计中断正常业务的成本要高于IT资产和基础设施损失或失窃造成的费用。这与波耐蒙Ponemon的其他研究所关于知识产权盗窃在网络犯罪中有最高昂代价的研究调查结果恰恰相反。在这项研究中，受访者似乎无法确定丢失或被盗信息资产的实际成本。

　　受访者表示公司发放的移动设备以及自带移动设备( BYOD )比运行云应用和IT基础设施服务有更大的安全问题。但是，这些疑虑不能被广泛采纳或作用于移动设备，特别是个人设备。为了降低这些自带移动设备BYOD的风险 ，受访者声称他们的公司将投资于服务移动应用程序和终端管理的Web应用防火墙之类的保护措施。

　　特定行业中受访者对自己网络安全意识和战略的信心度似乎是近似的。例如，金融服务受访者对此有深刻的理解和认识，这可以归因于他们经常接触大量数据保护法规。毫不奇怪的是，技术领域的安全意识更强，很可能要感谢在这些公司中的IT专业专家们。零售，教育和研究，娱乐业表现出了最低水平的安全意识水平。

　　受访者表示，首席信息安全官和高级管理人员很少参与IT安全决策设定或优先级设置。32%的受访者表示他们公司的CIO负责设定优先级; 31 %的人说没有哪个部门承担该项责任。

　　因此，当中小企业的网络安全不是优先事项而且似乎没有人了解甚至知道是不是有一个相关计划的时候，会发生什么？该研究表明，这会成为一个恶性循环。“对这些问题如何影响一个公司安全态势的模糊不清可能导致安全策略的次优决策。”作者指出。而且即使董事和高级管理层已经开始展现出对网络安全和风险的更大兴趣，但如果IT主管不利用可获得的最佳信息来做出决定，对投资于正确专业知识和技术的业务支持将会变得更加困难。

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。