根据最近的一项研究,IT行业与安全相关的压力逐年稳步上升,因为安全专家们面临着保护自己组织的网络和数据免受来自各方面的各种威胁的持续压力。
这些数据来自于Trustwave的2014安全压力报告,该报告在下周发布前独家提供给了CSO Online。为了了解在InfoSec工作的人面临的各种压力,Trustwave采访了833位安全决策者,包括美国、英国、加拿大和德国的cio、CISOs和IT主管/经理。
根据受访者居住的地区不同,压力的程度也不同。在美国,65%的受访者说他们预计今年会感到更紧张,而德国有43%的人预计压力会增加。
然而,如果算上2013年的数据,两地的专业人士都表示感受到的压力在逐年增加,其中德国的增幅最大,从2013年的33%跃升至2014年的43%。相比之下,美国增长了3%,英国增长了4%,加拿大增长了7%。
CSO在线采访了Trustwave的利奥·科尔,安全解决方案的总经理,克里斯·波格,事件响应和有关研究取证主任。一问他们的第一个问题涉及受访者的压力源。
去年,媒体上充斥着数据泄露、新的攻击媒介和各种威胁的报道。最近,2014年,塔吉特百货发生了一起安全事件,影响了7000万名顾客。那么,受访者报告的压力增加是基于与安全相关的新闻报道的增加,还是其他原因?
“当我们与cio、CISOs、IT经理/董事交谈时,我们几乎总是听到他们的董事会问他们正在做什么来保护公司的宝贵信息。当董事会提出问题时,压力就更大了。然而,安全一直是董事会层面的问题已经有一段时间了,”科尔解释道。
如今,不同之处在于董事会提出的问题类型。过去的问题是要回答这样一个问题:‘我们在做什么来防止数据丢失?’现在,问题集中在数据泄露和其他安全事件继续发生的事实上,尽管购买了本应防止这些事件的产品和解决方案。因此,“我们在做什么?”的问题已经变成了“为什么这种情况会持续发生?”以及“我们做了什么来确保我们不会再次被攻破?”
“董事会将这些问题提升到了一个全新的水平,围绕安全问题展开了一场更为复杂的对话。”因此,公司内部的首席信息官感到更大的压力,因为他不仅必须说,‘我买了这项安全技术,’而且还要说,‘我买了这项安全技术,它可以工作,’”科尔补充道。
在被问到同样的问题时,波格觉得压力来自于各种各样的东西,从新闻报道,到不断扩大的破坏规模,以及从各个层面、从各个方面似乎无休止的攻击浪潮。
“安全就像汽车保险。人们购买它,希望永远都不用它。”
“他们的钱换来了什么?”帮助保护他们有价值的数据不落入坏人之手。鉴于最近媒体对数据泄露的报道,“如果发生了什么”的情况正受到越来越多的关注。现在,它不再是“如果我被黑了怎么办”,而是“如果我是下一个怎么办?”现在它更真实了。威胁没有改变。攻击者没有变。改变的是公众的看法,以及可能成为下一个重大突破所带来的恐惧。”
当谈到造成最大压力的威胁和风险时,美国(68%)和加拿大(63%)的受访者认为是有针对性的恶意软件,而英国(64%)和德国(60%)则认为是网络钓鱼和社会工程。这并不是说有针对性的恶意软件不值得他们担心,因为它在英国排名第二,在德国排名第三。
不管怎样,答案都很有趣。在这种情况下,有针对性的恶意软件包括针对受害者的攻击,并使用多种方法来获取被泄露的数据。然而,只有49%的美国受访者将病毒和蠕虫列为造成最大压力的威胁,加拿大的这一比例为36%。
事实上,德国和英国也不认为它们有问题。此外,没有一个受访者将零日漏洞列为首要关注,尽管事实是,有针对性的恶意软件将经常利用所有这三种攻击表面在一个给定的事件中,犯罪分子将做任何他们可以确保成功。
当涉及到事件的后果时,客户数据盗窃是人们最担心的问题,58%的受访者认为这是对知识产权盗窃、名誉损害、罚款和法律行动的担忧。然而,尽管最近发生了一些事件,而且在过去的几年中安全事件受到了越来越多的关注,5%的受访者认为他们的组织是完全安全的,不会发生安全事件,因此没有任何顾虑。
他说:“很多时候,我们和商界领袖交谈时,他们都不认为自己是目标。他们没有意识到他们所拥有的信息的财富,以及这些信息对罪犯来说是多么的有价值。”当被问及对这5%的人有什么看法时,科尔解释道,以及这种信念在当今社会是如何存在的。
“或者说,很简单,他们认为自己有什么值得去(这最有可能是不正确的)。然而,即使是这样的话,当攻击者瞄准一个企业,可能没有他们可以从中获利的数据,他们可以仍然使用该业务为支点到其他组织,”波格补充。
尽管如此,58%的受访者认为客户数据丢失是事故发生后最大的压力点,但这仅仅是风险评估的副产品吗?数据丢失意味着对企业及其客户的永久损害,因此它比罚款和法律行动更重要,而罚款通常是一次性的打击吗?
“它的所有风险评估。多的保护,怎么够?一个违约可能导致失去您的业务的完整性,无论是客户流失,知识产权,客户的信任和/或经济损失。小型和中等规模的企业会遭受从这个损失最多。他们不能失去客户,仍然留在企业,”科尔说。
“多少才算足够”这一主题也在“特性与资源的压力”中被提及。大多数受访者表示,他们在选择最新的安全技术方面感到压力,但同时,他们也缺乏适当的资源来使用这些技术。
此外,还有的压力,利用基于云技术和移动应用的一个很好的协议,但这些也当它来从新兴技术的安全隐患列前两个项目。工作人员是另一个痛点,用了近一半的受访者表示,如果他们有现有的人员配置水平的两倍,他们会能够以较低的压力水平,提高工作效率。
该报告还涵盖的内应力,特别是那些谁报告是有压力,首次展示IT项目,尽管安全问题。当记者问,受访者79%的人说他们已经不顾安全问题至少一次或两次,或者更糟,推出一个IT项目,他们经常被迫这样做。
“它的逻辑业务,”科尔说,当问及为什么有些会用有效的安全问题推。
商业领袖必须找到新的方法来推销他们的产品,而这些方法是他们商业决策的重中之重,而不是安全问题。我们经常看到一些公司发布不安全的网站,因为他们只专注于销售自己的产品。”
。添加了这个,波格说,“安全性仍然过于频繁次屈居会议的最后期限,我们曾经有过在军队说:“你可以把它快,或者你可以把它的权利...你不能兼得“。快速似乎是汤去怨妇“。
当被问及的意见项目推广统计,金正日琼斯,Vantiv方案,支付处理公司在亚利桑那州,说安全风险不应该停止或减缓项目,事实上有些时候风险微积分(风险与回报)表明,利益大于风险。然而,他也怀疑,在超过21%的情况下,安全问题会赢得这些战斗。
“我输入到一个项目是很多司机对一个项目的成功或失败之一,它是我的责任,以确保我(一)我正确注入在过程中的适当点项目进程;(二)正确地识别和地方可以量化的风险;(三)提升到组织内的适当层次的风险;当风险未除及(d),确保风险在组织内的适当水平适当,正式受理,”琼斯说在电子邮件中CSO在线。
此外,Jones说,许多安全组织可能没有在适当的时候进入it项目周期,或者没有他描述的那种风险识别和接受过程。
在这些组织中,安全性往往处于追赶模式。他们通常是在最后一刻才被引入来,在项目上盖章,如果他们发现有什么问题,补救的时间框架会迫使项目推迟截止日期。Jones补充说,更糟糕的是,如果没有风险接受程序,组织很难找到愿意接受风险的人。
“压力变成了快速、及时地交付项目,而不是减慢注入安全性的努力。”再加上不充分的风险接受程序,你就会开始明白为什么我的许多兄弟要么迅速跳槽,要么选择离开这个行业。”
那么我们能做些什么来帮助他们呢?对于那些参与Trustwave研究的人来说,什么能减轻他们感受到的压力呢?
当被问及2014年的愿望清单时,受访者表示,更大的预算、更多的IT安全技能和更多的时间关注安全将是他们的三大愿望。在此之后,他们列出了技术上的复杂性降低,业务部门经理的要求减少,以及额外的人员配备。
这个故事,“研究表明那些负责安全面临越来越大的压力”最初发表CSO 。