安全形势永远都不是静态的。更聪明的网络犯罪分子,不断发展的恶意软件,更多的法规以及更高的财务和国家安全风险,迫使组织及其安全团队不断调整优先等级。
在对全球528名安全专业人员进行了调查后,IDG于今年下半年发布了《2019年安全优先等级研究》。该研究报告涵盖了网络安全支出、报告体系、技術采用以及所有这些背后的驱动因素,可帮助我们确定这些优先等级在未来12个月的变化情况。以下是该研究中主要内容和要点。
安全预算正在增加
几乎所有的企业都希望明年在安全性上投入更多的资金或保持不变,但是安全专业人员并不认为这是当务之急。对此,我们要感谢新的隐私和安全法规。2/3(66%)的受访者表示,合规性是安全支出的驱动因素。但是部分受访者(占27%)将合规性要求视为对战略计划的干扰。
只有4%的受访者预计他们的安全预算会下降,50%的受访者希望增加安全预算,46%的受访者则希望预算保持不变。安全预算的其他决定性因素包括最佳实践(73%)、对组织的安全事件的响应(39%)、董事会的授权以及另一家企业或业务伙伴对安全事件的响应(55%)。
研究人员指出,尽管发生了一系列的重大数据泄露事件,如First American Corporation泄露8.85亿条记录创下了历史新高,安全支出也随之出现了增长,但是今年的研究表明,这些事件对安全预算的影响较小。报告的作者称:“相反,到目前为止,最大的推动力是最佳实践和合规性要求。不过这两个答案都存在弊端。专家指出,即使是来自NIST和COBIT公认的最佳实践框架也存在局限性,并且在特殊情况下企业难以贯彻这些指导,以尽可能地获得最大成效。”
当务之急是保护敏感数据
欧盟的《通用数据保护条例》(GDPR)已于2018年5月生效,《加利福尼亚消费者隐私法案》(CCPA)也将在2020年1月1日生效。这两个法规以及其他一些现有或即将颁布的隐私条例已经引起了企业对保护个人身份信息(PII)的重视。IDG的研究也反映出了这一点,59%的受访者表示这是他们的首要任务。
59%这一比例的直接影响是使得个人身份信息也像其他资产一样受到了严格保护。安全意识培训(44%)被广泛认为是减少网络钓鱼和其他社会工程攻击的有效方法。其他被列为优先事项的受访者比例依次为升级IT和数据安全性以增强弹性(39%)、增强对外部威胁的理解(34%)、更好地利用数据和分析(24%)、降低IT安全基础结构复杂性(22%)。
员工被列入安全性投资范围,但还远远不够
该研究表明,1/4的安全支出将用于技术人员。这是最高的支出百分比,紧随其后的是工具和技术(23%)、基础设施和设备(22%)。只有11%的安全支出被用于云服务,12%被用于签约的服务。
近半数的中小企业缺少高级安全主管
尽管88%的大型企业拥有高级安全主管,但是在中小企业中这一比例只有51%。大部分大型企业将这些高级安全主管的职位设置为首席信息安全官或首席安全官职位的比例为74%,中小型企业则为28%。
高级安全主管通常向首席信息官报告(31%),但是也有一部分(22%)是直接向首席执行官报告,只有7%是直接向董事会报告。
零信任技术很热门,区块链技术遇冷
将近一半的受访者表示,他们正在积极研究零信任技术或正在关注该技术。36%的人说他们正在研究区块链,但50%的人表示他们对区块链技术没有兴趣。在该研究所列出的全部技术中,对区块链技术“无兴趣”的百分比最高。
该研究报告的作者称:“调查结果表明,人们对某些工具和方法的接受程度参差不齐,原因在于这些工具和方法被认为过新,或者是在某种意义上偏离了常规的安全性。这其中包括零信任技术、DevSecOps、欺骗技术和大数据分析,但是这些技术却是新兴的机器学习和人工智能应用的基础。”
Michael Nadeau是CSO在线的高级编辑。他是杂志、书籍和知识库出版商和编辑,帮助企业充分发挥其ERP系统的优势。
处于积极研发状态中的安全技术
Michael Nadeau
关注读览天下微信,
100万篇深度好文,
等你来看……
