美国知名服务可靠性评估机构波耐蒙研究所为服务提供商埃森哲所做的一项研究表明:对安全采取积极主动的方法,方法公司更有可能实现安全目标。该研究将公司分为两类:跨越式公司和稳态公司。前者重在创新发展,后者层次更严,机制更传统。研究发现,成功的公司更重视网络安全,拥有更深入和周密的安全策略和措施,聘请专职CISO,更倾向于向CEO和董事会报告安全事件。“跨越式发展的公司更有可能拥有正式批准的安全策略,并且更有可能成为公司安全计划的主要驱动力,”该研究称。他们使用风险管理技术来确定他们的安全策略,并将物理集成与逻辑安全系统相结合。”在Leapfrog公司,与安全相关的职责和权限被明确定义。员工不仅需要了解安全要求,而且有责任遵守安全程序。相比之下,所谓的稳态公司往往更多地依赖程序而不是战略来推动他们的安全需求。“安全工作主要集中在处理外部威胁上,重点是预防而不是检测或遏制。”这几个特征无助于帮助公司显着提高其自身安全态势的有效性。“对于落后的企业,埃森哲建议从设立实权的全职CISO入手,辅之以拨出专项安全预算,扩充安全团队,确保尽可能少的死角。公司的网络安全防御。”信息安全被视为优先事项,并使他们的安全目标与业务目标保持一致。他们将安全视为实现业务目标的推动因素,并且能够在特殊情况下安全阻碍业务目标(有时业务需求高于安全需求)时进行适当调整。“
