作為ESG和信息系統(tǒng)安全協(xié)會(ISSA)最近發(fā)表的一篇題為《網(wǎng)絡(luò)安全專家的生活和時代》的研究報告的一部分,343名信息安全專業(yè)人士作為受訪者被要求確定其組織在過去幾年中采取的網(wǎng)絡(luò)安全行動。這份清單可以為企業(yè)了解2018年的網(wǎng)絡(luò)安全趨勢和應(yīng)對即將到來的網(wǎng)絡(luò)安全威脅提供一個良好的參考依據(jù)。
在報告中,一些回應(yīng)率最高的條目如下:
52%的組織采用了部分或全部NIST網(wǎng)絡(luò)安全框架 (CSF)
如果您沒有注意到這一點,您會驚訝地發(fā)現(xiàn),NIST CSF已經(jīng)成為許多行業(yè)的標(biāo)準(zhǔn)風(fēng)險管理工具,并且已經(jīng)演變成為制定網(wǎng)絡(luò)保險的基準(zhǔn)指標(biāo)。1.1版草案最近出版了,承諾給網(wǎng)絡(luò)供應(yīng)鏈帶來更為清晰、通用的語言和可擴展性。
最后,CSF很可能會與主管機構(gòu)委員會(COSO)風(fēng)險管理框架(第二部分)相輔相成,其中風(fēng)險管理框架(第二部分)更側(cè)重于業(yè)務(wù)和企業(yè)風(fēng)險。
總的來說,在2018年,我們將看到風(fēng)險管理發(fā)揮更大的效用,包括最近對高級防御技術(shù)的描述。
50%的組織增加了對安全和IT人員的網(wǎng)絡(luò)安全培訓(xùn)工作
這是一個非常利好的消息。不過,壞消息是接受調(diào)查的網(wǎng)絡(luò)安全專業(yè)人員中有62%的人認為,他們從組織那里獲得的培訓(xùn)水平仍然不足。我們預(yù)計,網(wǎng)絡(luò)安全培訓(xùn)在2018年將進一步增加,但可能仍然達不到它該有的水平。
49%的組織提高了非技術(shù)員工的網(wǎng)絡(luò)安全培訓(xùn)水平
這可能是一個很好的投資,但是太多的組織會通過網(wǎng)絡(luò)安全培訓(xùn)的提議,并將其視為復(fù)選項。令人遺憾的是,許多企業(yè)仍將繼續(xù)增加培訓(xùn)預(yù)算,但在這一過程中產(chǎn)生的投資回報率甚微。我看到一些領(lǐng)先的公司正在通過以用戶為中心的滲透測試(比如白帽子釣魚攻擊活動),以及使用KnowBe4、PhishMe和Wombat Security的工具來付出加倍的努力。同時,我發(fā)現(xiàn)在交流方面也取得了很大的進步,像是解釋為什么用戶的操作行為會被阻止,而不是簡單地阻止他們,并向他們傳遞加密信息。
此外,持續(xù)教育也是非常重要的,所以我希望CISO和人力資源經(jīng)理能夠有所改進,真正實現(xiàn)質(zhì)的提升,而不是僅僅追求用戶培訓(xùn)量的增加。
48%的組織增加了網(wǎng)絡(luò)安全預(yù)算
ESG即將發(fā)布《2018年IT支出意向研究》報告,其中的重點研究項目就是網(wǎng)絡(luò)安全預(yù)算。我們發(fā)現(xiàn),2018年所有行業(yè)中的大多數(shù)組織都將增加其對網(wǎng)絡(luò)安全方面的預(yù)算。然而,即便有這種增長,安全團隊還是會發(fā)現(xiàn)在網(wǎng)絡(luò)安全的所有領(lǐng)域進行投資很有挑戰(zhàn)性。在2018年,首席信息安全官將需要制定一個投資組合管理的方法來進行投資,尋找方法來使用機器學(xué)習(xí)技術(shù)、安全運營自動化/編排工具、安全管理服務(wù)和軟件定義安全選項,以解決需求和成本上升等問題。
48%的受訪者準(zhǔn)備遵守一項或多項新的監(jiān)管要求
2017年,美國紐約推出了關(guān)于金融服務(wù)公司的新規(guī)定,而許多全球公司也已經(jīng)做好了執(zhí)行《通用數(shù)據(jù)保護條例》(GDPR)的準(zhǔn)備。隨著五月份的截止日期的臨近,GDPR將繼續(xù)成為2018年的投資熱點領(lǐng)域,但是我懷疑這種熱度是否將在2018年正式實施后結(jié)束。
此外,我希望在2018年對物聯(lián)網(wǎng)設(shè)備的安全性進行大量的審查,或許還會出現(xiàn)一些初步的規(guī)定。毫無疑問,一場大規(guī)模的數(shù)據(jù)泄露或服務(wù)中斷事件一定會在一夜之間改變立法的態(tài)度。
作為一名美國公民,我希望華盛頓政府能夠重視從Equifax數(shù)據(jù)泄泄漏和GDPR等方面吸取的經(jīng)驗教訓(xùn),開始在本地制定合理的數(shù)據(jù)隱私和網(wǎng)絡(luò)安全法規(guī)。
ESG/ISSA的數(shù)據(jù)表明,過去的網(wǎng)絡(luò)安全只是一場序幕。讓我們共同期待在接下來的一年中,首席信息安全官(CISO)不只把心思放在獲取更多的資金上,還能制定出符合自身發(fā)展的2018年網(wǎng)絡(luò)安全規(guī)劃,希望他們能夠評估需求、流程和資源,并利用不斷增加的預(yù)算來提高基礎(chǔ)網(wǎng)絡(luò)安全。
完整報告:
http://www.esg-global.com/esg-issa-research-report-2017
作者:Jasmine