企业内部，对信息安全提升影响最大的可能是C类管理人员或董事会成员(取决于企业规模)，但非执行级管理人员，有时是IT/安全人员在铺路。
 

　　无论是谁，每个企业需要有人取得安全预算，并将安全作为整个公司文化的一部分。但是，往往企业优先考虑安全有两种原因。

　　Rapid7安全信息副总裁Josh Feinblum表示，“关心安全的企业要么具备一支进步的领导团队，或公司经历重大事件。”

　　许多情形下，这就是原因所在。没有人比事件的影响更大。虽然许多高管希望趋势发生转变。Feinblum表示，目前的现状更为被动。

　　肯定有公司专注安全，确保不发生灾难或缺乏监管驱动程序，但他表示，这经常是因为其它企业有要求。

　　因此，安全团队长期以来提倡提升安全。Feinblum表示，最大的问题在于将双因素验证部署到位。 与其购买各种品牌各种功能的防火墙，不如针对数据中心内部设计的所有内部系统。此外，网络分段、修复或漏洞管理存在大量问题。

　　有时，是内部在驱动企业安全提升，而不是外部力量，尤其并购与收购。Feinblum表示，“如果能在接下来6个月解决问题，便将完成交易。”

　　“所有问题的根源在于缺乏治理。这是管理问题，而非技术问题”

　　ISSA高级成员、ISACA董事会成员Darrell Drystek

　　Feinblum表示，企业内部，关注安全的管理团队影响最大。如果缺乏这样的团队，那么这场战斗将艰辛无比。如果管理团队认为安全不重要，那么安全将失去优先级。

　　为了提升企业安全，需要强有力的声音支持安全、首席信息安全官或高管级安全人员。Feinblum表示，“精明的团队会问坏人如何操作，以及如何加以阻止。”

　　出于这个原因，小企业面临的挑战更大。Tycoon的首席技术官Travis Rosiek表示，“他们人手不足，预算十分有限。他们通常通过外包的形式执行IT工作和安全。优先考虑的是正常运行系统。”

　　一个人同时负责管理IT和安全，不同方面几乎不具备降低风险必需的深厚专业知识。

　　Rosiek表示，“小公司高管的工作是控制预算。安全是IT预算的一部分。IT预算非常少，而其中的安全预算可想而知，少之甚少。”

　　但小企业在某些方面具有优势。Rosiek表示，IT和安全团队通常强有力且相互依存。当出现危机或可疑事件，他们通常会联合解决。协作非常好。

　　随着越来越多的公司开始理解到任何人都可能成为目标后，董事会更多参与其中。Rosiek表示，“仍有大量公司认为威胁针对不同的企业，而不是自己。”

　　这些日渐成熟的进步企业将任命首席信息安全官或首席信息官。Rosiek表示，“从成熟的角度看，当首席信息安全官直接向首席信息官汇报工作，并且董事会有支持的人，这些企业肯定优先考虑安全。”

　　另一方面，首席信息安全官处于三级或四级以下，并且没有知名度，那么获得预算的挑战巨大。这就是为什么真正想提升安全的人需要与风险责任人直接沟通。

　　ISSA高级成员、ISACA董事会成员和DDDrystek咨询公司所有者Darrell Drystek表示，“无论是《财富》500强企业、中型企业或中小型企业，风险责任人必须确定可接受或可承受的风险。”

　　Drystek指出，“人们希望感到安全，但少数人真正思考安全问题。作为安全人员，必须将问题简化，向大众普及数据的价值所在。”

　　“当谈及资金，大多数业务总监从未想过忽略风险，但数据缺乏连贯性。”

　　这就是为什么需要与风险责任人直接沟通。明白风险直接与业务有直接关系的企业正通过复杂的安全项目为此铺路。

　　《财富》500强企业中，沟通结果到达董事会之前，通常需要通过非常严格的结构层。这些正式非正式的沟通层通常允许安全团队将信息将适当传递。

　　Drystek表示，“我看中数据质量(完整性和可用性)。安全风险即是商业风险。合规是安全的弱项，在这里，安全成为保险问题。”

　　Drystek表示，“对于中小型企业，要与所有者沟通。要引起所有者注意相对比较困难，除非你正确，无可挑剔。数据质量和保护商业计划是门路。”

　　数次遭遇数据丢失与盗窃是懒惰和冷漠所致。Drystek表示，“所有这些问题的根源就是缺乏治理。这是管理问题，而非技术问题。管理人员必须给企业定基调。”

　　Vectra Networks的首席执行官Hitesh Sheth表示，大型企业中，首席信息安全官通常负责驱动策略和预算，他们通常有一个团队。

　　Sheth表示，这种情况在500强企业中司空见惯。首席信息安全官参与度较高，董事会也会参与其中。IT成为董事会常规话题。

　　当越来越多的利益相关者参与其中，就制造了更多预算空间，以及更强有力的对话。这迫使每个人考虑更宽泛的问题。若是厂商，会有更多利益相关者。

　　灵活性最强、且能平衡可用预算与迅速行动能力的企业为全球2000强企业。

　　Sheth表示，“这些企业规模大小适当。他们行动迅速并与时俱进。他们自己研究。首席信息安全官与大型团队共同推动安全发展。”

　　无论企业规模大小，当利益相关者给予情感上的支持，影响便最大。因为提升安全需克服的最大障碍是对有关安全限制条件的感知，安全领导层需建立关系，从而获得利益相关者的情感支持。

(责任编辑：宋编辑)