企業的安全支出優先事項都有哪些？

Michael Nadeau

安全形勢永遠都不是靜態的。更聰明的網絡犯罪分子，不斷發展的惡意軟件，更多的法規以及更高的財務和國家安全風險，迫使組織及其安全團隊不斷調整優先等級。

在對全球528名安全專業人員進行了調查后，IDG于今年下半年發布了《2019年安全優先等級研究》。該研究報告涵蓋了網絡安全支出、報告體系、技術采用以及所有這些背后的驅動因素，可幫助我們確定這些優先等級在未來12個月的變化情況。以下是該研究中主要內容和要點。

安全預算正在增加

幾乎所有的企業都希望明年在安全性上投入更多的資金或保持不變，但是安全專業人員并不認為這是當務之急。對此，我們要感謝新的隱私和安全法規。2/3（66%）的受訪者表示，合規性是安全支出的驅動因素。但是部分受訪者（占27%）將合規性要求視為對戰略計劃的干擾。

只有4%的受訪者預計他們的安全預算會下降，50%的受訪者希望增加安全預算，46%的受訪者則希望預算保持不變。安全預算的其他決定性因素包括最佳實踐（73%）、對組織的安全事件的響應（39%）、董事會的授權以及另一家企業或業務伙伴對安全事件的響應（55%）。

研究人員指出，盡管發生了一系列的重大數據泄露事件，如First American Corporation泄露8.85億條記錄創下了歷史新高，安全支出也隨之出現了增長，但是今年的研究表明，這些事件對安全預算的影響較小。報告的作者稱：“相反，到目前為止，最大的推動力是最佳實踐和合規性要求。不過這兩個答案都存在弊端。專家指出，即使是來自NIST和COBIT公認的最佳實踐框架也存在局限性，并且在特殊情況下企業難以貫徹這些指導，以盡可能地獲得最大成效。”

當務之急是保護敏感數據

歐盟的《通用數據保護條例》（GDPR）已于2018年5月生效，《加利福尼亞消費者隱私法案》（CCPA）也將在2020年1月1日生效。這兩個法規以及其他一些現有或即將頒布的隱私條例已經引起了企業對保護個人身份信息（PII）的重視。IDG的研究也反映出了這一點，59%的受訪者表示這是他們的首要任務。

59%這一比例的直接影響是使得個人身份信息也像其他資產一樣受到了嚴格保護。安全意識培訓（44%）被廣泛認為是減少網絡釣魚和其他社會工程攻擊的有效方法。其他被列為優先事項的受訪者比例依次為升級IT和數據安全性以增強彈性（39%）、增強對外部威脅的理解（34%）、更好地利用數據和分析（24%）、降低IT安全基礎結構復雜性（22%）。

員工被列入安全性投資范圍，但還遠遠不夠

該研究表明，1/4的安全支出將用于技術人員。這是最高的支出百分比，緊隨其后的是工具和技術（23%）、基礎設施和設備（22%）。只有11%的安全支出被用于云服務，12%被用于簽約的服務。

近半數的中小企業缺少高級安全主管

盡管88%的大型企業擁有高級安全主管，但是在中小企業中這一比例只有51%。大部分大型企業將這些高級安全主管的職位設置為首席信息安全官或首席安全官職位的比例為74%，中小型企業則為28%。

高級安全主管通常向首席信息官報告（31%），但是也有一部分（22%）是直接向首席執行官報告，只有7%是直接向董事會報告。

零信任技術很熱門，區塊鏈技術遇冷

將近一半的受訪者表示，他們正在積極研究零信任技術或正在關注該技術。36%的人說他們正在研究區塊鏈，但50%的人表示他們對區塊鏈技術沒有興趣。在該研究所列出的全部技術中，對區塊鏈技術“無興趣”的百分比最高。

該研究報告的作者稱：“調查結果表明，人們對某些工具和方法的接受程度參差不齊，原因在于這些工具和方法被認為過新，或者是在某種意義上偏離了常規的安全性。這其中包括零信任技術、DevSecOps、欺騙技術和大數據分析，但是這些技術卻是新興的機器學習和人工智能應用的基礎。”

Michael Nadeau是CSO在線的高級編輯。他是雜志、書籍和知識庫出版商和編輯，幫助企業充分發揮其ERP系統的優勢。

處于積極研發狀態中的安全技術

原文網址

https：//www.csoonline.com/article/3447341/compliance-mandates-cybersecurity-best-practices-dominate-2019-security-priorities.html