从纸面上看,在许多方面,中央政府的状况似乎正在改善。许多企业的预算似乎正朝着正确的方向:上升。人员也是如此。公民社会组织也开始做他们十年来一直想做的事情,并花更多的时间与组织的高层管理人员在一起。
但问题是,企业是否得到了他们需要的结果?这很难说。攻击正变得越来越复杂,这反过来需要更复杂的策略来保护数据。例如,威瑞森电信(Verizon)最近的数据泄露调查报告发现,有财务动机的网络犯罪和与政府有关的间谍活动占所有攻击的95%。而且,数周、数月甚至数年的时间里,漏洞都没有被发现。
也许这样的结果就是为什么45%的安全决策者在CSO杂志的年度状态调查中表示,与去年相比,他们今年的安全预算会增加。这大大高于38%的受访者表示2012年预算将会增加的比例。在评估企业规模时,调查发现年收入在10亿美元或以上的企业最有可能计划增加支出,其中54%的企业预计预算将会增加。小型公司增加支出的可能性降至46%,中型企业为35%。
调查还发现,只有7%的受访者预计会削减预算。这比2011年的11%有了明显的下降。
不足为奇的是,考虑到企业的不断提升预算的数量,人员编制也有望增长。受访者完全34%的人预计其组织的专职保安人数增加。另外,较少的期望削减专职安全人员今年 - 与去年同期相比14%的只有8%。
同样,更大的公司最有可能增加他们的安全资源,42%的公司计划增加员工,相比之下,只有37%的中型公司和26%的小型公司。
人才供不应求
对熟练的IT安全专业人员的需求继续使组织吸引安全人才的能力紧张。事实上,31%的大公司认为,寻找和留住技术熟练的IT安全人员是最大的挑战之一。
金·琼斯,Vantiv的高级副总裁兼CSO,比作信息安全人员的挑战的一些所面临的挑战是十年前情报部门:技术和信号情报过多地依赖并不足以对人的智力和分析。“不幸的是,我们没有得到足够多的人,我们需要的技能,”琼斯说。
考虑到对技术熟练的IT安全人才的高需求,令人惊讶的是,安全行业的薪水却没有增长。大多数安全决策人员的收入约为17.96万美元,与去年报告的18.01万美元接近直线。不足为奇的是,薪水的多少很大程度上取决于安全专业人员工作的公司规模。在大公司工作的专业人士的平均年薪为235,600美元,而在小公司工作的受访者的平均年薪为147,000美元,在中型公司工作的受访者的平均年薪为153,300美元。
451研究中心信息安全和网络实践研究主任丹尼尔•肯尼迪说,他自己的发现与我们的相似。“这是一个非常有趣的就业市场动态。企业抱怨它们无法吸引人才,也无法留住人才,而且(它们说)为了留住人才,它们已经想尽了一切办法,除了加薪,”他表示。
前CSO担忧包括拒绝服务的移动性,攻击和意识
自我们上次的CSO调查以来的一年中,发生了许多重大的安全事件。这些包括广泛的指控美国国家安全局监控强调在爱德华·斯诺登泄漏和最近报道盗窃3800万Adobe软件用户的个人信息,以及Adobe产品源代码的盗窃一些警告可能导致零天攻击软件。
这些事件正逐渐融入到公民社会组织、IT安全和业务管理的思维模式中。
毫不奇怪,安全挑战大多数受访者 - 54% - 表示,他们将面临在未来一年的安全管理和解决各地的移动,并把你自己的设备(BYOD)计划的风险。这是紧随其后的是来自组织外部的网络威胁,包括高级持续性威胁(APT)和拒绝服务分布式(DDoS)攻击,无论是在49%。员工意识和合作,为48%,也是最常见的挑战中位列前茅。
调查结果显示,大公司更担心内部和外部威胁,56%的人认为APTs和DDoS是他们公司最大的挑战,34%的人认为来自内部的网络威胁。
史蒂夫·菲利普斯,CIO在安富利中,$ 25.5十亿电子经销商表示,企业可以通过更深入地将安全集成到该组织的决策过程和他们的业务技术系统的设计大大降低这种威胁的脆弱性。“在设计新的系统,它确保不仅是技术架构好很重要,但安全性考虑和从一开始就成立了,”他说。
提高员工的意识和合作也是重中之重。菲利普斯表示,Avnet已经通过多种方式加强了对员工安全意识的关注,包括发送现实的、但明显虚假的钓鱼邮件。菲利普斯的团队一直在跟踪有多少人点击了这封经过社交策划的钓鱼邮件,就好像它是合法的一样,以及谁泄露了个人信息,谁只是简单地删除了邮件。他说:“我们跟踪点击率,并向那些上当受骗的人提供建议。”
“考虑到我们的主要目标是让组织以一种开放和真实的方式讨论安全问题,这对我们来说是相当有效的,”Phillips说。
上级会征求保安的意见
在我们调查的安全决策者中,近四分之三(74%)的人发现,他们花在为高级主管和其他顶级商业决策者提供安全问题建议上的时间有所增加。此外,79%的受访者预计,他们花在为高管提供建议上的时间会在未来三年内进一步增加。
对于大多数公民社会组织来说,这无疑是一个好消息,他们已经为在谈判桌上获得一席之地而奋斗了十多年。这是一种趋势,佛罗里达州坦帕市的信息安全官员马丁?希望看到更多,因为它促进了相互理解。
“我想很多企业领导还是不明白IT安全,除非围绕风险管理他们的行业行健,如大金融和电子商务公司。这样的行业带动极大的安全计划向前,因为他们的业务可以这么容易,如果有破灭一个大的安全事故,” Zinaich说。
他表示:“我认为,大多数其他人往往没有完全把握自己业务的风险。”
其中,一些民间社会组织的采访,我们希望的效果变化的一个领域是大多数民间组织运作的公司报告结构。
“我相信很长一段时间,它的安全性是企业如此重要,以至于需要拿出了CIO的阴影并移动到报告的高层本身不向它报告,” Zinaich说。
“有利益存在,该CIO要向前尽快移到新的IT计划的内在冲突。安全往往会对形成的方式。
他说:“不幸的是,我认为公民社会组织直接与企业高管谈论他们的安全项目指标、企业面临的真正风险以及企业的整体安全态势的能力仍然非常罕见。”
451集团的肯尼迪表示同意。“在许多公司,安全组织的方式是一个问题,安全仍然向IT报告。这将影响如何决定项目及其预算。遵从性告诉IT安全他们需要做什么,或者CIO决定安全将做什么,”他说。
CIO菲利普斯说企业需要实现报告的结构,最有意义的为他们的业务,他说,他与安富利公司董事会定期举行会议,提供有关公司的风险管理方面的新进展。
“像大多数大公司一样,我们有一个非常正式的企业风险计划。每当我见到董事会时,他们总是想和我谈论两种风险:一是IT安全,二是灾难恢复和业务应急计划。”
供应商激发的信心略有下降
这就把讨论带到了报告的另一个领域——云计算如何影响企业风险。Phillips说:“当我想到云计算及其对风险的影响时,我和董事会的想法是一致的:IT安全和灾难恢复。”
Phillips解释说,尽管Avnet对云提供商的安全和治理能力进行了彻底审查,但外包时总是存在风险。他补充说,对于灾难恢复,“云计算很有帮助,因为它分散了硬件和数据的物理位置。”
当决策者要求对他们是多么的幸福与安全产品及服务,产品厂商比服务供应商的总体满意度评价较高:受访者完全75%的满意,目前提供给他们的安全产品组合,相比于64%安全服务供应商。然而,这两个数字都略有下降,从去年同期。
对安全工具的幻灭感出现轻微上升的同时,更有经验的安全专家认为,业界太多的人正变得过于依赖技术,而没有足够的精力去智胜对手。
Jones认为,这种技术依赖的部分原因在于,供应商推销他们的工具和服务的方式是为紧迫的挑战提供简单的“解决方案”。
“有些时候,这个行业……目标和目标不一定与我们这些每天与坏人战斗的人一致,”他说。
“有些时候,这个行业在宣传它销售产品的做法时,在推销一种简单的解决方案时,实际上让这个行业的处境变得更加困难。”
也有过错的是行业培训目前和未来人才的方式,琼斯说。“业内很多人都无师自通,我们中的一些来自军方背景,别人更多的技术背景。我们当它涉及到我们如何定义和处理我们的问题并不总是讲同一种语言,”他说。
在IT安全甚至大学课程不提供标准化的方式来运用批判性思维技能,IT和IT安全框架,琼斯说。
他表示:“我担心的是,由于我们变得如此依赖于东西,我们削弱了与非常聪明的对手作战的能力。”
民间组织的全州不过,揭示了今年许多积极的发展,包括增加预算,人员和时间与高级管理人员。然而,仍有更多 - 更多 - 需要来完成,以获得IT安全风险到可接受的水平。
乔治·休姆(George V. Hulme)是一名安全与技术自由撰稿人,住在明尼苏达州。
这篇文章,《2013年CSO状况显示前景改善》,最初是由方案 。