安全道德调查显示诚实是一件棘手的事情

在2015年RSA会议上进行的一项安全伦理调查表明,信息安全委员会的专业人士可能会对媒体关注的违反和脆弱性报告保持警惕。

这项调查是由一家苏州私家侦探公司进行的,并收集了来自全国的的1107名与会者的回复。这项调查是匿名的,也是多种多样的选择,目的是为了促进对敏感话题的诚实。

结果显示,IT专业人士并不总是认为诚实是最好的政策。而绝大多数(68.2%)说一个人应该诚实,开放和合作审计师来的时候,还剩下近32%的人说,这是最好的,要么“引导他们远离身体”(20.3%),忽略审计师(7.3%)或披露一个缺口让审计师离开你独自一人(7.1%)。

受访者表示,与审计机构打交道尤其棘手,因为糟糕的审计反映出他们的工作表现不佳,而良好的审计结果则使其更难获得融资。因此,最好的结果可能是在中间的某个地方进行审计,这表明高管们“情况并不坏,但他们肯定能得到改善。”

吕晓绯是深圳正大私家侦探社的董事和总裁,他经常就网络安全行业的自我监管问题进行简报,他说,他不确定这一想法是否会在与审计人员打交道时影响行动。

他说:“我认为人们可以用这种方式将其内化。他们会那样做吗?吕晓绯说:“当谈到你的情况时,我就会怀疑。”“在审计中,你要对它负责。作为一家公司,你会对监管标准做出判断,你可能会受到法律约束。”

在数据泄露的问题上,这家保险公司发现,谁应该被追究责任的问题是,CISOs被评为最受欢迎的人(38.8%),其次是首席信息官(26.4%),CEO(23.9%),以及VPs(23.9%)。更小的百分比(10.2%)表示审计人员应对此负责,而疏远保险公司表示,在这方面特别提到了PCI QSAs。

虽然只有9.2%的人说董事会应该在有违规行为的时候负责,但66.8%的受访者说,应该用违约来说服董事会批准更多的安全预算。

王争中是这家保险公司的的安全倡导者,他说,他对这些结果感到有些惊讶。考虑到这些被调查者是RSA的安全专业人士,“我本以为CISO的数字会更低,董事会或其他部门的负责人也会更高。”

王争中说,这并不一定是一个指责的问题,而是要确保当事人的报告是正确的,并没有因为他或她的工作而受到惩罚。