最近两项研究的结果表明,对于大多数网络安全问题的根本原因包括沟通不畅、员工意识缺乏、生产力低下和预算不足的公司来说,网络安全需要彻底改革。
在其2016年网络安全信心报告Barkly是一家终端安全公司,该公司对350名IT专业人士进行了调查,以确定2016年最关注的安全问题,并评估IT领导人在网络安全问题上的信心。该调查考察了IT领导人最大的安全担忧、对安全的信心水平、2015年的入侵数量、花在安全上的时间、IT领域的最大优先事项以及当前安全解决方案的缺点。在大多数情况下,结果都是严峻的。
安全是IT高层的头等大事,尤其是在黑客攻击变得更加频繁、复杂和恶意的情况下,但该报告也揭示了一些关于企业网络安全的令人震惊的事实。该报告显示了业务和IT领导人处理安全问题的主要缺陷,归结为高管和IT领导人之间缺乏沟通,以及对安全如何降低公司整体生产力的普遍失望。
但是,仅仅因为安全性可能会导致生产率下降,或者IT领导和高管缺乏沟通,企业就需要对安全性保持警惕。Barkly的首席技术官和联合创始人杰克•达纳希(Jack Danahy)表示,效率应该重新定义。“良好的安全性不会妨碍效率。效率不能用单个用户完成某项任务的速度来衡量;它必须与整个组织的绩效直接挂钩。”
人们对安全的信心很低
因为IT专业人士在安全问题上没有表现出很高的信心。50%的受访者表示,他们对自己目前的安全产品和计划没有信心,五分之一的人甚至不相信有可能实现有效的终端安全。该研究显示,四分之三的IT主管表示,员工对网络安全的理解最多也只是中等程度,这只会进一步削弱对网络安全的信心。
对于员工来说,如果他们忽视安全协议,他们就不知道有什么危险——通常他们只是觉得安全措施妨碍了他们的工作效率,这只会促使他们走捷径。Danahy将企业安全比喻为飞行员准备飞机起飞。登机后,乘客必须坐下来等待飞行员完成清单,这可能意味着飞机会比原定时间稍晚起飞,但“没有人认为这会阻碍飞行过程。”这是一种经过深思熟虑、经过验证的技术,可以确保更高水平的安全。”
最重要的是,达纳希表示,IT部门或员工缺乏信心并不是企业无法达到网络安全预期的正当理由。“每个商业领袖都应该知道自己是否足够安全。他们应该问自己这个问题,然后强迫自己支持自己做出回应的理由。”
(相关的故事:防范高级持续威胁的5个技巧]
难以证明安全ROI
IT专业人士放弃有效安全实践的另一个原因是,很难计算安全的ROI。研究发现,54%的受访者对他们的公司展示安全投资回报率的能力缺乏信心。对于企业领导人来说,实施新流程、程序或扩大预算的最大动机归结为他们能从这项倡议中赚到多少钱。
但是IT专业人员发现,无论是购买新的软件、硬件还是实现全公司范围的安全措施,都很难具体定义围绕安全的ROI。不过,52%的IT高管表示,他们“仍会抓住机会购买新的、改进的安全软件,四分之一的高管表示,他们为更有效、更可靠的软件支付的费用是无限的。”
另一个网络安全从ISACA/RSA学习调查发现,尽管82%的董事会成员担心网络安全问题,但现实情况是,只有七分之一的首席信息官直接向首席执行官报告,大多数人完全被排除在董事会之外。根据这项研究,74%的安全专业人士认为,2016年将发生网络攻击,30%的人称每天都有网络钓鱼尝试。
ISACA董事会成员、网络安全工作组主席、WhiteOps总裁兼首席运营官埃迪•施瓦茨(Eddie Schwartz)表示,企业可能需要改变基于投资回报率的态度,至少在网络安全方面是这样。“现在谈论网络安全的投资回报率或缺乏投资回报率是很荒谬的。从过去几年发生的所有入侵事件中可以明显看出,网络安全应该成为首席信息官的一个关键投资领域。如果cio不能像解释他们的IT投资项目的其他特性的价值那样简单地解释安全投资的价值,他们就不应该是cio。”
(相关的故事:5个迹象表明你被一个高级持续威胁击中]
IT专业人士放弃了吗?
该调查询问了受访者去年经历过多少次黑客入侵,三分之一的受访者说他们不确定。但对于那些知情的人来说,员工少于1,000人的公司平均发生了两次黑客入侵,而员工超过10,000人的公司平均发生了2.7次。ISACA/RSA的这项研究在2015年发现了类似的数据,24%的人表示他们“不知道”用户证书是否被黑客攻击或窃取,或者是否黑客利用了他们的组织。23%的人不能说他们是否经历过高级持续威胁攻击,而20%的人不知道公司资产是否被“僵尸网络劫持”。
在Barkly的研究中,当被问及实施有效安全程序的最大问题是什么时,41%的人认为这些问题会使系统速度变慢,33%的人认为这些问题太昂贵,36%的人认为更新太多,20%的人认为安全“需要管理太多的员工”。根据Barkly的数据,IT领导者正被迫在强大的安全性和生产率之间做出选择,而大多数公司都坚持后者。最终,正如研究指出的那样,这些解决方案并没有阻止违规行为,其影响只是减慢了日常业务的发展。
但是,如果安全专家现在就开始担心,那么随着技术的快速变化和进步,情况只会变得更糟。随着技能差距越来越大——有太多的安全工作,而又没有足够的合格候选人来填补它们——这个问题只会加剧。ISACA/RSA的研究还发现,两个新兴的行业趋势——人工智能和物联网——正引起安全专业人士越来越多的担忧。研究发现,42%的人认为人工智能在短期内会增加风险,而62%的人认为从长期来看它肯定会造成问题。超过一半的受访者还将物联网列为更广泛和智能黑客的潜在平台。
最终,这两家公司都需要重新考虑他们的网络安全措施。IT领导者应该将安全视为其整体计划的内在和关键部分。通过这样做,他们将在自己的组织中展示领导力,并向客户展示他们关心保护信息。”施瓦茨说。
相关的视频
这篇文章“IT领导者选择生产力而不是安全”最初是由首席信息官 .