安全是标准吗?IT和业务专家的真实想法

如果你对公司处理信息安全的方式感到不满，那么你并不孤单。287个美国人中有一半CSO及其姊妹网站CIO和Computerworld最近进行的一项调查显示，美国IT和商业专业人士对其组织的安全实践给出了C级或以下的评分。

导致低分数的原因是一个熟悉的推和拉:安全受到来自组织最高级别的越来越多的审查，而IT和安全人员和预算已经达到了极限。

但这里可能还有其他因素在起作用。任何被认为是老师宠儿的人都知道，取得好成绩可能会产生意想不到的后果。在这种情况下，对您的安全实践过于自信可能会导致错误吸引黑客不必要的注意，富国银行的首席信息安全官丰富Baich告诉CSO。

也许安全状况并没有那么糟糕?请继续阅读，了解IT和业务专业人员如何看待他们的组织如何处理infosec。

大部分的受访者（65％）表示，今年的高级业务管理集中更多的注意力放在信息安全性比前几年，和77％的受访说，他们希望更专注于信息安全，在未来1至3管理年份。

这种关注增加的原因是什么?的高管层处境尴尬为安全。在过去，首席执行官可以简单地有安全专家的努力的信念在公司里，“乔尔·吉本斯，在全国FFA的IT总监及合规，告诉CSO。”现在，CEO需要了解更多才能够回答有关我们如何确保任何需要组织的外围内侧固定的具体问题“。

对于受访者谁注意更加注重安全，关注他们的组织将经历一个漏洞或其他安全事故的主要动力之一57％。现实情况是，“这只是一个时间问题有人发现了一个接入点之前，我们已经错过了。”吉本斯说。“这是比赛的这几天刚的性质。”

拥有一个专门的infosec团队是一件奢侈的事情，很多公司都负担不起——我们的调查对象中超过一半的人表示，IT部门负责公司的信息安全。

当它负责安全时会发生什么?首先，这意味着CIO要为安全事故负责。70%的受访者表示，如果数据泄露发生在他们的组织，CIO或IT主管将承担责任。

但是对于同样负责安全的IT组织来说，这是一个“日常的平衡行为”，国家FFA的吉本斯说。“在一个小型组织中，我不能总是让我的安全人员只关注安全。他们总有其他事情要做。这可能会对安全产生负面影响。或者，这可能会对他们没有做的任何其他事情产生负面影响，因为安全工作占用了他们太多的时间。”

吉本斯所描述的平衡行为在调查结果中得到了鲜明的反映。在表示IT部门主要负责infosec的受访者中，平均有20%的时间和15%的预算用于与安全相关的工作。

”安全性最终被瓜分和施舍中等规模公司的连续首席信息官，现在是一名顾问的布伦丹·奥马利告诉首席信息官。因此，他说，“很难取得进展，或者以你必须的方式站在它的顶端。”

对于许多组织，尤其是中小型企业，外包安全是补偿没有专门的信息安全团队的唯一途径。

回想一下O 'Malley对一个安全功能的描述，这个功能是“分割并分发”的。While spreading security responsibility around gets the tasks done, it also opens a firm up to risk. “You absolutely need to have some kind of outside support,” explained O’Malley.

“不可避免的结论是公司越来越多地依赖于MSSP处理的安全问题因为他们跟不上——他们就是没有带宽，”451研究公司的高级安全分析师Garret Bekker告诉CIO。

黑鹰社区信用社(Blackhawk Community Credit Union)的8名IT员工为其150名用户处理IT和安全问题与顾问和mssp一起工作该公司副总裁理查德•波登(Richard Borden)告诉CIO:

• 信用合作社手柄战略和政策规划
• 顾问是为专门的职能而来的
• MSSP用于“肉和土豆”的安全功能

这种方法对于那些使用外部顾问或MSSPs来协助infosec的人来说可能很熟悉，并且在调查结果中也得到了证实:渗透测试、垃圾邮件过滤和威胁情报是外包给第三方的三大安全功能。

即使在有专门的infosec团队的组织中，职责也有很大的重叠。在这类组织中，高达70%的受访者表示，在管理基础设施和系统漏洞方面，IT和infosec存在重叠。

这种明显的混淆是关于谁做了什么，这可能是infosec和IT之间的对齐问题。在那些声称自己拥有专门的信息安全团队的受访者中，15%的人表示信息安全战略和信息技术战略在他们的组织中根本没有整合，而54%的人表示他们在某种程度上进行了整合。只有31%的人说他们紧密结合，很好地融合在一起。

但这种情况正在改变……变得更好。来自具有专门的信息安全团队的组织的59%的受访者表示，在三年内，信息安全战略和信息技术战略将紧密结合并很好地结合在一起。

受访者表示，他们的组织在协调安全目标和业务需求方面面临的三大挑战是证明成本合理、定义风险和划分责任。

但是，随着棘手的这些挑战可能看起来，要达成共识，可能是沟通的主要问题。

“当你能清楚地说出一种企业和董事会都同意的风险时，你就能做到。提出一个计划来减轻和管理风险包括额外的资金和资源，网络安全解决方案提供商Optiv的CISO办公室副总裁Michael Eisenberg告诉CSO。

对富国银行(Wells Fargo)来说，改善与高管的沟通首先要调整安全等级。2012年成为该行首位CISO的里奇•百奇(Rich Baich)从2015年1月开始向首席风险官汇报工作。“(新的层级制度)让我们能够有效地执行创建一个通信通道这帮助人们理解安全的语言，安全的重要性，以及它如何适应更大的、全面的风险管理结构，”Baich告诉CSO。

当公司考虑更改安全策略的频率时，另一种平衡方法就会发挥作用。超过一半的受访者表示，他们所在的组织已经实施了目前的infosec管理模式三年或更长时间。

然而，正如Beth Stackpole在她的《计算机世界》文章中指出的那样，组织必须经常地更新保安程序以应对快速变化的威胁格局。Forrester分析师Kelley Mak在接受Computerworld采访时表示，面临的挑战在于如何在保持政策及时更新与使用户感到沮丧之间找到最佳平衡点。

他解释道:“这并不像获取数据并制定新政策那么简单，因为你必须确保信息工作者不会感到不安。”“你施加的限制越多，就越有可能有人绕过它。”

恰好有一半的受访者表示，他们的组织正在考虑改变其infosec管理模式。在那些考虑改变的组织中，78%的人将对数据泄露和数据丢失的担忧列为首要因素。

面对源源不断的新威胁，多年来一直使用infosec模型的组织如何保持其安全策略的相关性?

劳动银行需要一个系统的方法来更新其正式政策，但很快就调整威胁应对程序“的。我们的政策目的银行的信息安全官员肖恩·米勒在接受《计算机世界》采访时表示。“我们为战术和日常事务更新程序，但当涉及到我们未来的安全战略方向时，我们会以有限的方式改变我们的政策，以免让用户不堪重负。”

举例来说，银行最近阻止的Flash，此举米勒表示，该公司不会考虑改变政策。“我们的董事会批准的政策，他们不知道什么是Flash是或它做什么。这只是一个简单的，日常的日常业务响应需要威胁的例子。”

有关本研究的更多信息，请下载资讯保安状况报告。