Splunk 报告：首席信息安全官在全球高管层和董事会中的影响力日益增强

旧金山 – 2025 年 2 月 6 日 – 网络安全和可观测性领域的领导者 Splunk 携手牛津经济研究院，于今日发布了《2025 年首席信息安全官报告》。这份全球性研究报告详细阐述了首席信息安全官及其董事会的目标、优先事项和商业战略。

首席信息安全官在高管层中地位的提升意味着他们将更多地参与董事会事务。这不仅能够直接与首席执行官沟通，还拥有制定企业战略决策的权力。尤其值得注意的是，如今有 82% 的受访首席信息安全官表示直接向首席执行官汇报工作，这一比例较 2023 年的 47% 有了显著增长。此外，还有 83% 的首席信息安全官会定期或频繁地参加董事会会议。尽管有 60% 的首席信息安全官认为，具有网络安全背景的董事会成员对安全决策的影响会更为显著，但只有 29% 的首席信息安全官表示他们的董事会中至少拥有一名具备网络安全专业知识的成员。

Splunk 首席信息安全官 Michael Fanning 表示：“随着网络安全在推动企业成功方面变得越来越重要，首席信息安全官及其董事会有了更多机会来弥合差距、实现更紧密的协作，并更好地相互理解，从而推动数字韧性。对于首席信息安全官来说，这意味着要了解 IT 环境之外的业务，并找到新的方法向董事会传达安全计划的投资回报率 (ROI)。而对于董事会成员而言，这意味着要致力于建立以安全为先的文化，并在影响企业风险和治理的决策中，将首席信息安全官视为主要利益相关者进行商讨。要将各方聚集在一起，我们需要对董事会进行网络安全细节方面的培训，同时首席信息安全官也需要了解业务的相关语言和需求，使安全成为业务的推动力。”

“若要在高等教育机构中领导和管理网络安全与隐私项目，需要与从董事会成员到隐私负责人、员工、教师和学生等各方进行强有力的协作和沟通，以确保安全能够融入进组织的方方面面，”伊利诺伊大学芝加哥分校首席信息安全与隐私官 Shefali Mookencherry说道。“随着首席信息安全官的角色变得越来越复杂，对企业越来越重要，首席信息安全官必须能够在安全需求、业务目标及企业文化之间取得平衡，并阐明安全投资的价值。通过在各部门和利益相关者之间建立牢固的关系，首席信息安全官将能够提供指导和领导力，从而推进网络安全与隐私项目的发展。”

首席信息安全官与董事会紧密协作的影响力

同时兼具首席信息安全官背景的董事会成员表示，他们与安全团队的关系更加紧密，对组织的安全状况也更加有信心。与其他董事会成员相比，他们对自己没有为保护组织做足够工作的担心程度较低（37% 对比 62% 的调查平均值）。董事会受访者表示，首席信息安全官与董事会在以下领域合作极好甚至优秀：

• 设定并达成一致的战略网络安全目标（拥有首席信息安全官的董事会为 80%，没有首席信息安全官的董事会为 27%）
• 沟通重要事件进展、安全目标达成情况及记录计划（拥有首席信息安全官的董事会为 60%，没有首席信息安全官的董事会为 16%）
• 为达成目标提供足够的预算（拥有首席信息安全官的董事会为 50%，没有首席信息安全官的董事会为 24%）

与董事会关系良好的首席信息安全官，通常在组织内部也拥有更好的合作关系。他们与 IT 运营部门（82% 对比其他首席信息安全官的 69%）和工程部门（74% 对比其他首席信息安全官的 63%）的合作尤为紧密。与董事会关系良好的首席信息安全官也更有可能具备推动使用生成式人工智能 (AI) 应用案例的能力，例如创建威胁检测规则（43% 对比其他首席信息安全官的 31%）、分析数据源（45% 对比其他首席信息安全官的 28%）、事件响应和取证调查（42% 对比其他首席信息安全官的 29%）及主动式狩猎威胁（46% 对比其他首席信息安全官的 28%）。

消除首席信息安全官与董事会之间的分歧：优先事项、技能和成功衡量标准

尽管首席信息安全官和董事会在安全优先事项上达成更紧密的共识，但仍然存在着分歧。首席信息安全官与董事会之间在首要安全优先事项上的最大分歧包括： 

• 采用新兴技术进行创新（52% 的首席信息安全官认为这是优先事项，而在董事会成员中这一比例为 33%）
• 提升或重新培训安全部门员工的技能（51% 的首席信息安全官认为这是优先事项，而在董事会成员中这一比例为 27%）
• 推动收入增长方案（36% 的首席信息安全官认为这是优先事项，而在董事会成员中这一比例为 24%）

董事会对首席信息安全官寄予厚望，希望他们能掌握新技能，成为更好的商业领袖。然而，学习新技能却让首席信息安全官的工作更加复杂。有 53% 的人表示，自他们担任这一职位以来，他们的职责和工作期望变得更加难以达成。当被问及首席信息安全官应培养哪些技能时，在重要性方面存在的最大分歧包括：

• 商业敏锐度（55% 的董事会成员认为其重要，而首席信息安全官中这一比例为 40%）
• 情商（45% 的董事会成员认为其重要，而首席信息安全官中这一比例为 35%）
• 沟通能力（52% 的董事会成员认为其重要，而首席信息安全官中这一比例为 47%）
• 法规与合规知识（44% 的董事会成员认为其重要，而首席信息安全官中这一比例为 57%）

尽管董事会和首席信息安全官在核心网络安全关键绩效指标 (KPI) 上达成一致，但有 79% 的首席信息安全官表示，他们安全团队的 KPI 在近年来发生了显著变化。有 46% 的首席信息安全官认为，达到安全里程碑是他们成功的标志，而只有 19% 的董事会受访者持相同观点。

保持合规对业务至关重要

监管环境变得更加复杂、广泛且具有惩罚性。这要求员工更快地报告事件，并且将更多的责任直接落在了首席信息安全官身上。尽管保持合规对业务而言至关重要，但只有 15% 的首席信息安全官将合规状态列为首要绩效指标，而董事会成员的比例为 45%，存在显著分歧。有 21% 的首席信息安全官透露，他们曾迫于压力而不敢报告合规问题。然而，59% 的人员表示，如果他们的组织忽视合规要求，他们将进行举报。

削减预算带来的严重后果

网络预算方面反映出了差异和不协调。相比于 41% 的董事会成员认为网络安全预算充足，仅有 29% 的首席信息安全官表示他们获得了用于网络安全计划和实现安全目标的适当预算。64% 的首席信息安全官透露，当前面临的威胁和监管环境使他们担心自己做得还不够。有 18% 的首席信息安全官表示，由于过去 12 个月的预算削减，他们无法支持某项商业计划，而 64% 的人表示，正是这种支持不足导致了网络攻击的发生。首席信息安全官还报告称，减少安全解决方案和工具 (50%)、冻结安全人员招聘 (40%) 及减少或取消安全培训 (36%) 是最主要的成本节约措施。有 94% 的首席信息安全官报告称他们曾遭受过破坏性网络攻击，其中有 55% 的人表示他们至少遭受过几次，还有 27% 的人表示他们遭受过许多次这样的攻击。

要下载《2025 年首席信息安全官报告》，请访问 Splunk 官网。

研究方法

这项全球调研于 2024 年 6 月至 7 月间与牛津经济研究院合作进行。该报告调查了 600 名受访者（500 名首席信息安全官、首席安全官或同等安全负责人，以及 100 名董事会成员）。受访者类别包括自称为董事会成员的首席信息安全官。调研对象来自 10 个国家/地区：澳大利亚、法国、德国、意大利、印度、日本、新西兰、新加坡、英国和美国。他们涵盖了 16 个行业：农业、商业服务、建筑/工程、教育、能源与公用事业、金融服务、政府、医疗保健、生命科学、信息服务、技术、制造、零售、消费品、电信及媒体与通信。牛津经济研究院还与首席信息安全官和董事会成员进行了八次深入访谈，以获取更深入的定性见解。