作為ESG和信息系統安全協會(ISSA)最近發表的一篇題為《網絡安全專家的生活和時代》的研究報告的一部分,343名信息安全專業人士作為受訪者被要求確定其組織在過去幾年中采取的網絡安全行動。這份清單可以為企業了解2018年的網絡安全趨勢和應對即將到來的網絡安全威脅提供一個良好的參考依據。
在報告中,一些回應率最高的條目如下:
52%的組織采用了部分或全部NIST網絡安全框架 (CSF)
如果您沒有注意到這一點,您會驚訝地發現,NIST CSF已經成為許多行業的標準風險管理工具,并且已經演變成為制定網絡保險的基準指標。1.1版草案最近出版了,承諾給網絡供應鏈帶來更為清晰、通用的語言和可擴展性。
最后,CSF很可能會與主管機構委員會(COSO)風險管理框架(第二部分)相輔相成,其中風險管理框架(第二部分)更側重于業務和企業風險。
總的來說,在2018年,我們將看到風險管理發揮更大的效用,包括最近對高級防御技術的描述。
50%的組織增加了對安全和IT人員的網絡安全培訓工作
這是一個非常利好的消息。不過,壞消息是接受調查的網絡安全專業人員中有62%的人認為,他們從組織那里獲得的培訓水平仍然不足。我們預計,網絡安全培訓在2018年將進一步增加,但可能仍然達不到它該有的水平。
49%的組織提高了非技術員工的網絡安全培訓水平
這可能是一個很好的投資,但是太多的組織會通過網絡安全培訓的提議,并將其視為復選項。令人遺憾的是,許多企業仍將繼續增加培訓預算,但在這一過程中產生的投資回報率甚微。我看到一些領先的公司正在通過以用戶為中心的滲透測試(比如白帽子釣魚攻擊活動),以及使用KnowBe4、PhishMe和Wombat Security的工具來付出加倍的努力。同時,我發現在交流方面也取得了很大的進步,像是解釋為什么用戶的操作行為會被阻止,而不是簡單地阻止他們,并向他們傳遞加密信息。
此外,持續教育也是非常重要的,所以我希望CISO和人力資源經理能夠有所改進,真正實現質的提升,而不是僅僅追求用戶培訓量的增加。
48%的組織增加了網絡安全預算
ESG即將發布《2018年IT支出意向研究》報告,其中的重點研究項目就是網絡安全預算。我們發現,2018年所有行業中的大多數組織都將增加其對網絡安全方面的預算。然而,即便有這種增長,安全團隊還是會發現在網絡安全的所有領域進行投資很有挑戰性。在2018年,首席信息安全官將需要制定一個投資組合管理的方法來進行投資,尋找方法來使用機器學習技術、安全運營自動化/編排工具、安全管理服務和軟件定義安全選項,以解決需求和成本上升等問題。
48%的受訪者準備遵守一項或多項新的監管要求
2017年,美國紐約推出了關于金融服務公司的新規定,而許多全球公司也已經做好了執行《通用數據保護條例》(GDPR)的準備。隨著五月份的截止日期的臨近,GDPR將繼續成為2018年的投資熱點領域,但是我懷疑這種熱度是否將在2018年正式實施后結束。
此外,我希望在2018年對物聯網設備的安全性進行大量的審查,或許還會出現一些初步的規定。毫無疑問,一場大規模的數據泄露或服務中斷事件一定會在一夜之間改變立法的態度。
作為一名美國公民,我希望華盛頓政府能夠重視從Equifax數據泄泄漏和GDPR等方面吸取的經驗教訓,開始在本地制定合理的數據隱私和網絡安全法規。
ESG/ISSA的數據表明,過去的網絡安全只是一場序幕。讓我們共同期待在接下來的一年中,首席信息安全官(CISO)不只把心思放在獲取更多的資金上,還能制定出符合自身發展的2018年網絡安全規劃,希望他們能夠評估需求、流程和資源,并利用不斷增加的預算來提高基礎網絡安全。
完整報告:
http://www.esg-global.com/esg-issa-research-report-2017
作者:Jasmine
京公網安備 11010502049343號