企業(yè)的安全支出優(yōu)先事項(xiàng)都有哪些？

Michael Nadeau

安全形勢(shì)永遠(yuǎn)都不是靜態(tài)的。更聰明的網(wǎng)絡(luò)犯罪分子，不斷發(fā)展的惡意軟件，更多的法規(guī)以及更高的財(cái)務(wù)和國(guó)家安全風(fēng)險(xiǎn)，迫使組織及其安全團(tuán)隊(duì)不斷調(diào)整優(yōu)先等級(jí)。

在對(duì)全球528名安全專業(yè)人員進(jìn)行了調(diào)查后，IDG于今年下半年發(fā)布了《2019年安全優(yōu)先等級(jí)研究》。該研究報(bào)告涵蓋了網(wǎng)絡(luò)安全支出、報(bào)告體系、技術(shù)采用以及所有這些背后的驅(qū)動(dòng)因素，可幫助我們確定這些優(yōu)先等級(jí)在未來(lái)12個(gè)月的變化情況。以下是該研究中主要內(nèi)容和要點(diǎn)。

安全預(yù)算正在增加

幾乎所有的企業(yè)都希望明年在安全性上投入更多的資金或保持不變，但是安全專業(yè)人員并不認(rèn)為這是當(dāng)務(wù)之急。對(duì)此，我們要感謝新的隱私和安全法規(guī)。2/3（66%）的受訪者表示，合規(guī)性是安全支出的驅(qū)動(dòng)因素。但是部分受訪者（占27%）將合規(guī)性要求視為對(duì)戰(zhàn)略計(jì)劃的干擾。

只有4%的受訪者預(yù)計(jì)他們的安全預(yù)算會(huì)下降，50%的受訪者希望增加安全預(yù)算，46%的受訪者則希望預(yù)算保持不變。安全預(yù)算的其他決定性因素包括最佳實(shí)踐（73%）、對(duì)組織的安全事件的響應(yīng)（39%）、董事會(huì)的授權(quán)以及另一家企業(yè)或業(yè)務(wù)伙伴對(duì)安全事件的響應(yīng)（55%）。

研究人員指出，盡管發(fā)生了一系列的重大數(shù)據(jù)泄露事件，如First American Corporation泄露8.85億條記錄創(chuàng)下了歷史新高，安全支出也隨之出現(xiàn)了增長(zhǎng)，但是今年的研究表明，這些事件對(duì)安全預(yù)算的影響較小。報(bào)告的作者稱：“相反，到目前為止，最大的推動(dòng)力是最佳實(shí)踐和合規(guī)性要求。不過(guò)這兩個(gè)答案都存在弊端。專家指出，即使是來(lái)自NIST和COBIT公認(rèn)的最佳實(shí)踐框架也存在局限性，并且在特殊情況下企業(yè)難以貫徹這些指導(dǎo)，以盡可能地獲得最大成效?！?h3>當(dāng)務(wù)之急是保護(hù)敏感數(shù)據(jù)

歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）已于2018年5月生效，《加利福尼亞消費(fèi)者隱私法案》（CCPA）也將在2020年1月1日生效。這兩個(gè)法規(guī)以及其他一些現(xiàn)有或即將頒布的隱私條例已經(jīng)引起了企業(yè)對(duì)保護(hù)個(gè)人身份信息（PII）的重視。IDG的研究也反映出了這一點(diǎn)，59%的受訪者表示這是他們的首要任務(wù)。

59%這一比例的直接影響是使得個(gè)人身份信息也像其他資產(chǎn)一樣受到了嚴(yán)格保護(hù)。安全意識(shí)培訓(xùn)（44%）被廣泛認(rèn)為是減少網(wǎng)絡(luò)釣魚(yú)和其他社會(huì)工程攻擊的有效方法。其他被列為優(yōu)先事項(xiàng)的受訪者比例依次為升級(jí)IT和數(shù)據(jù)安全性以增強(qiáng)彈性（39%）、增強(qiáng)對(duì)外部威脅的理解（34%）、更好地利用數(shù)據(jù)和分析（24%）、降低IT安全基礎(chǔ)結(jié)構(gòu)復(fù)雜性（22%）。

員工被列入安全性投資范圍，但還遠(yuǎn)遠(yuǎn)不夠

該研究表明，1/4的安全支出將用于技術(shù)人員。這是最高的支出百分比，緊隨其后的是工具和技術(shù)（23%）、基礎(chǔ)設(shè)施和設(shè)備（22%）。只有11%的安全支出被用于云服務(wù)，12%被用于簽約的服務(wù)。

近半數(shù)的中小企業(yè)缺少高級(jí)安全主管

盡管88%的大型企業(yè)擁有高級(jí)安全主管，但是在中小企業(yè)中這一比例只有51%。大部分大型企業(yè)將這些高級(jí)安全主管的職位設(shè)置為首席信息安全官或首席安全官職位的比例為74%，中小型企業(yè)則為28%。

高級(jí)安全主管通常向首席信息官報(bào)告（31%），但是也有一部分（22%）是直接向首席執(zhí)行官報(bào)告，只有7%是直接向董事會(huì)報(bào)告。

零信任技術(shù)很熱門(mén)，區(qū)塊鏈技術(shù)遇冷

將近一半的受訪者表示，他們正在積極研究零信任技術(shù)或正在關(guān)注該技術(shù)。36%的人說(shuō)他們正在研究區(qū)塊鏈，但50%的人表示他們對(duì)區(qū)塊鏈技術(shù)沒(méi)有興趣。在該研究所列出的全部技術(shù)中，對(duì)區(qū)塊鏈技術(shù)“無(wú)興趣”的百分比最高。

該研究報(bào)告的作者稱：“調(diào)查結(jié)果表明，人們對(duì)某些工具和方法的接受程度參差不齊，原因在于這些工具和方法被認(rèn)為過(guò)新，或者是在某種意義上偏離了常規(guī)的安全性。這其中包括零信任技術(shù)、DevSecOps、欺騙技術(shù)和大數(shù)據(jù)分析，但是這些技術(shù)卻是新興的機(jī)器學(xué)習(xí)和人工智能應(yīng)用的基礎(chǔ)?！?/p>

Michael Nadeau是CSO在線的高級(jí)編輯。他是雜志、書(shū)籍和知識(shí)庫(kù)出版商和編輯，幫助企業(yè)充分發(fā)揮其ERP系統(tǒng)的優(yōu)勢(shì)。

處于積極研發(fā)狀態(tài)中的安全技術(shù)

原文網(wǎng)址

https：//www.csoonline.com/article/3447341/compliance-mandates-cybersecurity-best-practices-dominate-2019-security-priorities.html