随着全球对网络安全的日益重视,CIO逐渐被众多企业所接受和认可。不过,虽然有“C”的头衔,但他们的决策权可能较弱,需要同时应对外部安全威胁和来自不同层面的内部压力。CISO这个职位干了多年,职场生存现状如何?2019年他们最关心什么,最担心什么?他们又将如何突破自我,成长壮大?一些调查报告或许可以给出参考答案。1、CISO的困境准确的说,除了扎实的专业基础和实践,CISO的工作主要是跟人打交道,跟领导汇报,争取预算和资源;向下属发表意见,协调指挥;应对威胁背后的黑客……这意味着他们不仅要过关技术功底,还要处理复杂的业务和人际关系。可以说现代的CISO就像外交官。他们的调解和决策决定了整个团队或企业的安全防御水平。随着真正影响企业业务的网络威胁和网络安全问题不断增多,CISO的压力也逐渐增大。1.安全事件是不可避免和不可预见的,保障安全需要多方资源平衡。大多数CISO表示,他们没有足够的资源来预防威胁和保护企业安全,最缺的是人才。人手不足导致安全效率降低。受访者普遍反映,发现的恶意软件中约有70%存在于网络中,潜伏期未知;一些恶意软件可能已经存在了一年多。近年来,人们逐渐达成共识,随着数字化进程的加快,受到威胁的区域逐渐增加,安全事件确实不可避免,安全团队也无法做到滴水不漏。即使是一行代码出错也可能导致灾难。超过60%的受访CISO确认他们发现了潜伏在公司网络或设备中的恶意软件;约三分之一的受访者表示,他们清楚了解公司的安全状况,并确认没有潜伏的恶意软件;近9%的受访者对此表示不确定,这是一个令人担忧的结果。在发现恶意软件的情况下,平均花费的时间为14天。少数病例发现时间超过三个月,甚至六个月。另一位匿名人士表示,当他的团队发现威胁时,恶意软件已经存在长达400天,超过一年。相比之下,调查结果表明,英国安全团队在响应事件方面不如美国安全团队有效。他们发现平均威胁周期约为18天,是美国平均周期9.5天的两倍多。这一结果背后有两个主要原因。一是网络威胁无处不在,整体防御方案无法完善。另一方面,CISO们认为,资源短缺也是安全防护效率低下的原因。57%的受访者表示他们的组织的安全预算有限,63%的受访者表示人员配备是一项重大挑战。其中最重要的是缺乏对安全团队员工的有效管理。65%的受访者认为这是至关重要的,也是最缺乏的。从预算、人力、技术和高管四个维度来看,CISO对企业技术配置的满意度较高,但对人力和高管的满意度较低。2.董事会对安全不明确,高管团队缺乏安全专家调查显示,只有少数董事会成员对网络有深入了解。尽管CISO认为他们的工作很重要,但没有多少人认识到CISO的战略职能。60%的CISO自信地认为,董事会知道违规是不可避免的,但如果发生此类事件,三分之一的CISO将被解雇或受到纪律处分。只有不到三分之一的人可以在CISO职位上待上三年。大多数CISO期望董事会中至少有一名了解安全技术的成员能够更好地开展业务。但事实上,只有不到6%的董事会有安全专家。另有30%的受访CISO承认,他们的团队中甚至没有一位专家。因此,CISO们常常觉得自己与其他组织或团队脱节,得不到合理的管理和指导。52%的受访者表示,董事会认可安全团队保护利润和品牌声誉的价值(美国为44%;英国为60%)。3、CISO很难把生活和工作分开,总是承受着远离工作的压力。88%的受访CISO每周工作时间超过40小时。四分之一的人认为这份工作会影响他们的身心健康,以及个人和家庭关系。近17%的CISO使用药物或酒精来缓解工作压力。2.CISO们的成就与挑战根据思科刚刚发布的《2019CISO基准研究报告》,2018-2019年,CISO们非常注重供应商之间的联盟,与网络和安全团队的合作,提高整体安全防护的能力组织级别和降低风险的安全意识培训。此外,面对日益复杂的安全环境,不少CISO认为企业上云有助于更好地保护资产安全。65%的受访者认为检测入侵、防御入侵、缓解和修复入侵并不容易。用户、数据、设备和应用程序构成的威胁都令人担忧。为了应对这些威胁,44%的受访者会加大对安全防护技术的投入;39%的受访者会对原件进行安全意识培训;39%的受访者更喜欢风险缓解技术。调查结果显示,超过一半的受访者通过各种方式成功地将损失减少到50万美元以下。当然,值得注意的是,有8%的受访者表示曾经历过造成损失超过500万美元的安全风险。今年,CISO通过持续集成、培训和技术投资成功降低了安全风险:A.从选择单一安全产品转向集成解决方案:2017年,54名受访者使用了来自10%或更少供应商的安全产品,而这次比例达到了63%。在当前环境下,很多厂商的解决方案并没有整合,在威胁预警等方面也无法体现时效性。因此,即使只使用少量的个体安全产品,也可以通过企业整体安全架构进行合理部署和集成,从而更好地管理安全预警和威胁情报;B.促进团队之间的紧密合作,减少损失:95%的受访者认为其组织的安全团队和技术团队能够高度紧密地合作;在95%的受访者中,有59%的人表示,他们的团队因安全问题造成的损失在10万美元以下,与其他人相比,损失微乎其微。C.关注基于云的安全解决方案,云安全未来可期:93%的受访者认为业务上云可以提高效率;认为难以保护云设施的受访者比例从55%下降到52%;D.购买网络保险,推动风险评估和风险量表的普及,有助于选择合适的技术,帮助CISO关注安全运营实践:40%的受访者已全部或部分采用网络保险,力求预算合理;E.“网络信息疲劳”病从46%下降到30%,但与此同时,他们仍然面临很多挑战。A.虽然合理运用人工智能和机器学习技术可以帮助威胁预警。但实际落地过程依然曲折。机器学习的使用从77%下降到67%;人工智能的使用从74%下降到66%;自动化技术的使用从83%下降到75%。这意味着新技术在安全领域的实际应用需要不断的磨合和争论。具体效果有待测试;B.员工/用户已成为巨大的安全挑战,安全意识培训必不可少。只有51%的受访者表示在员工入职、调动或离职过程中有合理、完善的安全管理流程;C.邮件仍然是一个较大的攻击向量,邮件安全不容忽视。钓鱼和高危用户行为是CISO们最担心的安全问题,比例连续三年在56%到57%之间;D.告警管理和处置仍然是很多企业面临的挑战。数据显示,告警的有效处理率从50.5%下降到42.7%。花费大量时间进行监控以评估安全有效性的受访者比例从61%下降到51%。修复时间(另一种评估指标)从30%上升到48%。3.CISO将如何通过基于网络保险和风险评估的策略选择,结合实际策略,衡量安全需求,并以此作为参考来估算安全预算,指导采购、战略和管理决策;参考并采用经过验证的技术或方法来降低入侵风险。定期进行安全演练,提前部署一些安全产品,掌握有效的应急处理方法;如果公司部门较多,促进IT部门、安全和风险/合规组等部门之间的沟通与协作,以更好地了解业务,制定更合适的安全策略;威胁检测与访问保护相结合,应对内部威胁,践行零信任原则;通过网络钓鱼培训、多因素身份验证、垃圾邮件过滤机制和DMARC等。防止电子邮件泄露并解决头号威胁。减压心理专家认为,CISO之所以压力大,不仅要应对各种安全威胁,保护公司安全,而且安全本身与业务和技术之间存在冲突,这带来了很多压力。的沟通、协调问题。有时,后者比前者更令人沮丧。不被理解、不被重视、福利待遇与薪酬不成正比等问题也会影响CISO的创造力和生产力,带来更多的身心问题,形成恶性循环。专家建议,要想缓解压力,可以从以下三点入手:1、积极向上,合理利用网络资源,寻找和使用合适的防护工具,提高效率;从其他渠道获得支持;尽量不要保持沉默,把它憋在心里3.酒精、暴饮暴食等极端方法都不是缓解压力的健康方式,也不是长久之计。您可以尝试通过体育锻炼等方法来保持身心健康。当然,除了CISO,其他安全从业者其实也面临着不同的压力。我希望每个人都身体健康。毕竟,没有了“你”,世界就不安宁了。
