作者:Leslie Kesselring
网络安全技术短缺连续第三年恶化,影响了近四分之三(74%)的组织,如今信息系统安全协会(ISSA)和独立行业分析公司Enterprise Strategy Group(ESG)每年对网络安全专业人员进行全球研究。
此外,该报告证实,网络安全技能短缺仍然是安全事件不断增加的根本原因,因为组织仍然受到最终用户网络安全意识缺乏以及无法跟上不断增长的网络安全工作量的困扰。近一半(48%)的受访者在过去两年中至少经历过一次安全事件,其中包括严重的后果,包括生产力下降,重要的补救资源,业务流程和系统中断以及机密数据泄露。
事实上,网络安全专业人士对他们成功的机会持怀疑态度。91%的受访者认为大多数组织都容易受到重大网络攻击。而且压倒性的94%的人认为权力的平衡是网络对手与网络维护者的对抗。随着战场优势的扭曲,组织面临着越来越多,可能具有破坏性的网络风险。
尽管有这些调查结果,但仍有63%的组织继续落后于为其网络安全专业人员提供足够的培训。今年最严重的技能短缺转向云安全(33%),其次是应用安全(32%)和安全分析与调查(30%)。
在一个商业领袖更加依赖技术取得成功并且面临比以往更多的审查和问责制的时代,这种缺乏进展以及由此带来的组织及其股东,客户和业务合作伙伴的网络风险应引起关注对于商业和技术领导者而言。
该研究还表明,与网络安全工作相关的个人影响令人震惊。虽然网络安全专业人员仍然致力于他们的工艺,受到深刻的技术挑战和道德影响,今年的研究首次探讨了压力和倦怠的原因和后果,包括:
工作的压力方面:四十(40)%的人回应了新的IT计划的安全需求,紧接着是“影子”IT计划,试图让最终用户更好地了解网络风险并改变他们的行为,以及试图让企业更好地了解网络风险。
增加了新数据隐私责任的压力:近一年来,GDPR正在全面展开,网络安全团队可能无法完成任务。84%的人声称其组织的网络安全团队在过去12个月中在数据隐私方面发挥了更积极的作用,但21%的人认为网络安全团队没有明确的指示,23%的人不相信相信网络安全团队已获得适当的培训。
与工作相关的压力推动虚拟CISO(vCISO)成为具有吸引力的职业选择:十(10)%的组织现在使用vCISO。此外,29%的首席信息安全官正在作为vCISO工作,另有21%的人正在考虑它,33%的人将来会考虑它。几乎有一半人声称,作为vCISO工作会为CISO职位带来更多变化和灵活性。首席信息安全官显然在寻求避免一些政治和压力,同时更多地控制自己的职业生涯。
“根据今年和过去的研究项目的结果,可以安全地得出结论,网络安全进展在过去三年中至少是微不足道的。ESG和ISSA同意安全研究员,作者和国际社会保障协会名人堂成员Bruce Schneier所说:“我们可能正在改进一些网络安全,但我们的速度会越来越快。” 这个问题应该引起技术专家,企业高管和公民的关注,并继续对国家安全造成生存威胁,“企业战略集团(ESG)高级首席分析师兼研究员,报告作者Jon Oltsik说。
“组织正在以错误的方式看待网络安全技能危机:这是一个企业,而不是技术问题。企业高管需要承认,他们通过投资于员工,在解决这一问题方面发挥着关键作用。在“卖家市场”的环境中,77%的网络安全专业人员每月至少征求一次,研究表明,为了保留和发展各级网络安全专业人员,企业领导者需要通过建立支持文化来参与安全和重视这一功能,“Candy Alexander,CISSP CISM,执行网络安全顾问和ISSA国际总裁说。
解决网络安全技能危机的五大角色
商业领袖:23%的受访者表示,业务经理不了解和/或支持适当级别的网络安全。工作满意度和员工保留率在很大程度上取决于企业领导层对网络安全的承诺,以及职业激励和竞争性薪酬。首要的建议行动是向IT和业务经理添加网络安全目标和指标。
首席信息安全官:首席信息安全官需要与业务主管更加积极。他们想在董事会的桌子上坐下。CISO的成功取决于沟通技巧,领导技能,与业务主管的牢固关系以及与CIO和IT领导团队的紧密关系等特征。
从业者:虽然93%的受访者认为网络安全专业人员必须跟上他们的技能,但66%的人认为网络安全工作要求往往使他们无法进行技能开发。必须解决这种不平衡问题。此外,57%的受访者表示,CISSP等安全认证在获得工作方面比在工作中更有用。优先考虑实践技能开发而不是认证。
人力资源和招聘人员:41%的受访者表示,他们的组织不得不招聘和培训初级人员,而不是聘请更有经验的信息安全专业人员。设计自己的培训计划将培养未来的人才和忠诚度。在IT之外投入更广泛的网络并找到可转移的业务技能和跨职业转型将有助于扩大人才库。
教育工作者和培训师:KSA与面对面互动的发展是最有效的,例如参加特定的网络安全培训课程,参加专业组织和活动,参加贸易展览以及参加在职辅导计划。
最后,私营部门只能这么做。公共部门需要通过在培训和教育,公众意识以及奖学金和助学金方面投入更多资金来提供帮助。
方法
267名网络安全专业人员和国际社会保障协会成员的全面调查样本,代表世界各地的各种规模和行业部门的组织和专业人士,“网络安全专业人员的生活和时代,2018年:第三次年度调查结果”是一个合作社ESG和ISSA的研究项目。这项权威的年度研究是对网络安全专业职业,生活和对其组织的网络安全实践以及网络安全整体状况的看法的唯一深入研究。
关于企业战略集团
企业战略集团(ESG)是一家IT分析师,研究,验证和战略公司,为全球IT社区提供可操作的洞察力和情报。凭借其独特的功能组合(包括市场研究,动手技术产品测试,经济验证和战略咨询服务),IT专业人士,技术供应商,投资者和媒体都依赖ESG来澄清复杂性。
关于国际社会保障协会
信息系统安全协会(ISSA)™是国际网络安全专业人士的首选社区,致力于推动个人发展,管理技术风险以及保护关键信息和基础设施。ISSA成员和获奖者包括许多业内着名的杰出人物,代表了广泛的行业 - 从通信,教育,医疗保健,制造,金融和咨询到IT - 以及联邦,州和地方政府部门和机构。通过区域分会会议,会议,社交活动和内容,成员可以获得丰富的共享知识和专业知识。