在過去十年中，如果你詢問信息安全專業人士在工作中遇到的最大挑戰時，通常情況下，你會聽到他們說其業務領導沒有提供他們所需要的支持以及空間來保護企業。其中一個原因在于缺乏預算，另一個原因可能是，安全并沒有得到應有的重視。

BH咨詢公司首席執行官Brian Honan表示，“毫無疑問，大部分安全團隊通常感覺自己陷入困境。“很多企業認為網絡安全是一個IT問題，而不是一個商業問題。當你考慮業務對IT的依賴性，特別是對這些系統上存儲的信息的重要性時，企業需要意識到網絡安全是一個真正的商業問題。”

但是，說服企業相信這一點是IT安全領導者的責任，他們需要說服企業管理層投資于安全性。IT安全市場研究公司Securosis分析師Mike Rothman表示：“我不認為安全障礙在于‘缺乏來自業務高管的安全領導’，業務領導通常會根據業務的最佳利益來分配資源。如果安全團隊無法讓高管投資于安全，那么就是他們的責任，而不是業務領導的責任。”

很多人也同意這種說法，在很多情況下，缺乏安全領導是首席安全官的責任。Honan表示：“首席安全官聲稱缺乏安全領導，而這正在導致他們的安全項目失敗。根據定義，首席安全官是負責企業的安全領導，他們需要負責確保高級業務人員以及每個用戶了解信息安全的重要性。如果首席安全官發現企業沒有響應其領導，那么，這意味著這不是合適的安全官人選，或者這個企業可能不適合這個安全官。”

業務領導對安全問題充耳不聞

可以肯定的是，一些業務領導對安全風險管理充耳不聞。這個問題的部分原因可能在于層級結構。最近，451集團的安全分析師Javvad Malik進行了一項研究調查，驚訝的發現，首席信息安全官都認為他們沒能管理起企業的信息安全風險，而且這并不完全是他們的錯。Malik表示：“調查結果發現，安全領導(包括首席安全官或首席信息安全官或者安全主管)都沒能夠有效管理企業內的安全性。首先，這些人在很多情況下都不是真正的C級領導，他們通常需要報告給首席信息官或者首席財務官。”

這很糟糕，因為這意味著通常首席信息安全官在董事會沒有一席之地，而當報告給首席信息官時，信息安全和IT項目直接存在強烈的利益沖突。

不過，在對首席安全官的現狀調查中，46%的安全決策者認為他們在過去一年中已經投入了很多到風險管理中，而61%預計企業領導在未來一年將會更加重視風險管理。調查結果顯示，較大的企業更重視風險管理。

更重要的是，近四分之三的受訪安全從業人員花更多的事件來與高級管理人員和其他高層決策者討論安全相關的事項，而79%表示在未來三年他們花在這方面的時間將會增加。

現在，趁著企業高管開始重視風險管理，安全管理人員可以利用這個機會來建立信譽。“安全可以幫助企業達到其目標，構建信譽并不像是玩‘四眼天雞’的游戲，應該意識到并不是所有事物都是工作重點。企業應該看看具體問題，確定其對企業的潛在影響，以及需要怎么做來解決問題，是否這是值得處理的問題。”

這也是首席安全官發揮作用的地方，幫助企業決定哪個領域需要努力以及降低風險。