在安全领域有一句谚语,坏人总是比防御者领先一步。两组新的研究表明,持续不断的猫捉老鼠的游戏正折磨着安全专家,许多人感到他们在打击网络罪犯的战争中正在失败。
这个第一组数据来自信息系统安全协会(ISSA)和行业分析公司企业战略集团(ESG)). 这两位调查了网络安全专业人士,发现94%的受访者认为网络对手比网络捍卫者有很大优势,力量的平衡在于敌人。大多数人认为,这一优势最终会为犯罪分子带来回报,因为91%的人认为,大多数组织极易受到重大网络攻击或数据泄露的攻击,或在某种程度上容易受到攻击。
这反映了Malwareby必威平台APPtes自己最近的一项研究,其中75%的受访安全专家承认,他们相信自己可能在未来一到三年内被破解。
这种失败心态的背后是什么?
在一篇博客文章在ESG/ISSA的研究中,ESG的首席分析师Jon Oltsik说,缺乏信心的部分原因是犯罪分子组织良好,持之以恒,有时间失败,并尝试新的策略来渗透网络。与此同时,安全管理人员总是很忙,总是试图赶上进度。
这个技能短缺这对安全领域产生了影响,也加剧了组织之间的脆弱性。ESG发现,53%的组织报告存在网络安全技能短缺的问题,63%的组织在为其网络安全专业人员提供足够水平的培训方面继续落后。
ISSA国际总裁坎迪·亚历山大(Candy Alexander)在回答调查结果时说:“组织对网络安全技能危机的看法是错误的:这是一个业务问题,而不是技术问题。”在“卖方市场”的环境中,77%的网络安全专业人员每月至少征集一次,研究表明,为了留住和培养各级网络安全专业人员,企业领导人需要通过建立支持安全的文化和重视功能来参与。”
我们将从这里走向何方?
要扭转这种心态,就需要从一个全新的角度来解决降低风险的问题。正如Alexander所指出的,安全是一个业务问题,需要在组织的所有级别予以关注。
但研究表明,它没有得到应有的尊重,23%的受访者表示,企业经理不理解和/或不支持适当程度的网络安全。商业领袖需要发出一个明确的信息,即网络安全是重中之重,并投资于安全工具和计划,以体现这一承诺。
这一方法得到了研究的充分支持。事实上德勤和金融服务信息共享与分析中心(FS-ISAC)发现表现最佳的安全计划有一个共同点:它们受到执行和董事会领导层的关注,这也意味着安全被视为整个组织的优先事项。
ESG/ISSA提出了其他关于改变安全观念的建议。它们包括:
CISO高程:CISO和其他安全管理人员也需要更多的尊重,并应与执行管理层接触。与董事会的定期会面对于获得安全性以及在整个组织范围内所需的可见性至关重要。
安全专业人士的实践专业发展:93%的受访者同意网络安全专业人员必须跟上他们的技能,而66%的受访者表示,网络安全工作要求往往妨碍他们参与技能开发。其他著名的证书在工作中没有那么大的价值,57%的人认为许多证书在找工作时比在做工作时有用得多。该报告建议,实践技能培养优先于认证。
从内部培养安全人才由于技能差距使得招聘人才更具挑战性,41%的受访者表示,他们的组织不得不招聘和培训初级人员,而不是聘用更有经验的信息安全专业人员。但这是解决合格人才短缺问题的一种创造性方法。
该报告建议设计一个内部培训计划,以培养未来的人才和忠诚度。报告还建议,在It行业之外撒更广的网,寻找可转移的商业技能和跨职业转换,将有助于扩大人才库。
虽然总体情况显示安全在业务中进展缓慢,但方法和安全优先级的调整可以在整个组织中提高程序的形象。随着更多的时间、注意力和对安全策略和风险缓解的尊重,未来的防御可以领先一步,而不是可悲地落后于网络罪犯。
评论