信息來源：安全牛

根據一份新的報告指出，評估 IT 安全計劃的價值通常很困難，因為 “脫節(jié)的” (disconnected) 安全專業(yè)人員會根據關鍵績效指標 (KPI) 工作，而關鍵績效指標不能很好地轉換成業(yè)務術語。該報告警告道這種情況正在使安全從業(yè)人員邊緣化并質疑自己的專業(yè)價值，導致他們的倦怠。

在 Thycotic-Sapio 網絡安全團隊的《成功指南》(Guide To Success) 里，來自五個國家（包括澳大利亞和新西蘭）的 565 位 IT 決策者中，有 44％ 的受訪者表示，他們對組織機構中其他部門對 “成功” 定義并不太清楚，而有 43％ 的人表示沒有人向他們傳達總業(yè)務目標。

報告指出，安全團隊 “每天專注于應對直接威脅和事件，導致他們與業(yè)務脫節(jié)”，只有 21% 的 IT 決策者認為他們的角色或團隊 “始終符合業(yè)務目標”。

預算和戰(zhàn)略實踐迫使 IT 從業(yè)者在宣傳他們的成就時嚴重依賴他們過去的成就——48% 的人在宣傳過去的成功和投資回報率。

約有 44% 的人依賴其對于生產率和效率的改善，而 40% 的人則宣傳他們在提升合規(guī)性和降低罰款風險方面的價值。并且有 40% 的人認為，他們致力于保護客戶數(shù)據，證明在安全方面支出的合理性。

大約有 89% 的人用自己的 KPI 衡量他們的成功——然而，盡管有這些技術細節(jié)和其支持帶來的營收效益，很多安全從業(yè)人員仍然努力在其過去的方案和他們帶來的業(yè)務受益之間建立聯(lián)系。

事實上，45% 的受訪者表示，他們無法知道過去的安全措施對公司產生了什么影響。52% 的人很難將他們的安全計劃和內部 KPI 與企業(yè)的總體目標保持一致。

Thycotic 的首席安全科學家和 CISO Joseph Carson 表示：IT 安全專業(yè)人員工作具有響應的特性，導致他們會不斷地回顧過去的成就來證明自己的價值，而這與組織機構的現(xiàn)狀和成功沒有任何關系。

這種脫節(jié)不可避免地使他們處于不利地位，讓他們難以在執(zhí)行董事會或其他部門的同事面前留下積極的印象。

這種持續(xù)的困擾對 CISO 的身心健康產生了不利的影響，他們和其他安全從業(yè)人員一樣，面臨著精力枯竭和任期太短而無法做出有意義的改變的現(xiàn)實問題。

在壓力倍增的時候獨自前行

足足有 42% 的受訪者表示，越來越多的合規(guī)和監(jiān)管要求已成為他們工作中帶來最大壓力的部分，而 45% 的受訪者表示，長時間工作和業(yè)務導致的倦怠和壓力，關乎員工的去留。

40% 的受訪者認為，缺乏高層領導的支持是影響員工去留的另一個關鍵因素——這支持了安全人員必須得到上級的積極支持，以提高他們的工作滿意度和留任意愿的觀點。

事實上，當被問及 “成功” 在他們看來是什么樣子的時候，澳大利亞受訪者最可能將達到董事會的績效目標列為最重要的因素——有 50% 的受訪者將其列為最重要的因素，遠高于全球 40% 的平均水平。

然而，被公司重視也同樣重要，45% 的受訪者說這種價值感能夠幫助他們平衡工作壓力。

Carson 表示，制定全公司范圍的網絡安全計劃是彌合這些文化差異的寶貴方法。

各組織機構應任命精通技術并善于溝通技的網絡安全代表，以加強跨部門合作，對任何異?；顒舆M行及時預警。這樣做有兩個好處，一是能夠更積極主動地保障IT安全，二是減少安全問題對業(yè)務的潛在影響。