根据最近的一项研究,IT行业与安全相关的压力逐年攀升,因为安全专业人士面临着保护他们组织的网络和数据免受来自各方各种威胁的持续压力。
该数据来自Trustwave的2014年安全压力报告,该报告在下周发布前独家提供给CSO Online。为了了解那些在InfoSec工作的人所面临的各种压力,Trustwave与833名安全决策者就这个话题进行了交谈,其中包括美国、英国、加拿大和德国的cio、ciso和IT主管/经理。
根据受访者居住的地方不同,他们感受到的压力也不同。在美国,65%的受访者预计今年会感到更大的压力,而德国的这一比例为43%。
然而,如果将2013年的数据计算在内,两国的专业人士都表示感受到的压力同比增加,其中德国的增幅最大,从2013年的33%跃升至2014年的43%。相比之下,美国增长了3%,英国增长了4%,加拿大增长了7%。
CSO Online采访了Trustwave的安全解决方案总经理Leo Cole和事件响应和取证主管Chris Pogue关于这项研究。他们首先被问到的问题之一是受访者压力的来源。
去年,媒体充斥着数据泄露、新的攻击载体和各种威胁的报道。2014年,塔吉特百货公司(Target)发生了一起安全事故,影响了7000万客户。那么,受访者报告的压力增加是基于与安全相关的新闻报道的增加,还是其他原因?
“当我们和首席信息官、首席信息官、IT经理/董事交谈时,我们几乎总是听到他们的董事会问他们在做什么来保护公司的有价值的信息。当董事会提出问题时,压力会更大。然而,安全问题已经成为董事会层面的问题有一段时间了,”Cole解释道。
如今,不同之处在于董事会提出的问题的类型。过去的问题是:“我们在做什么来防止数据丢失?”现在,问题集中在数据泄露和其他安全事件不断发生的事实上,尽管购买了本应防止这些事件的产品和解决方案。因此,“我们在做什么?”的问题变成了“为什么这种情况会不断发生?”以及“我们要做什么来确保我们下次不会被攻破?”
“董事会将问题提升到一个全新的水平,围绕安全问题展开了更复杂的对话。因此,公司内部的首席信息官感到更大的压力,因为他不仅要说,‘我买了这个安全技术,’而且还要说,‘我买了这个安全技术,它会工作的,’”科尔补充说。
当被问及同样的问题时,波格感到压力是多方面的,从新闻报道到不断扩大的入侵规模,以及似乎从各个层面、各个方面无止境的攻击浪潮。
“安全就像汽车保险。人们购买它,希望永远不用用到它。”
“他们的钱换来了什么?”帮助保护他们的宝贵数据不落入坏人之手。鉴于最近媒体对数据泄露的报道,“如果……会怎么样”的设想越来越受到关注。现在,问题不再是“如果我被黑了怎么办”,而是“如果我是下一个呢?”现在更真实了。威胁没有改变。攻击者并没有改变。改变的是公众的看法和随之而来的恐惧,这可能是下一个重大突破。”
当涉及到产生最大压力的威胁和风险的类型时,美国(68%)和加拿大(63%)的受访者说有针对性的恶意软件,而英国(64%)和德国(60%)选择了钓鱼和社会工程。这并不是说他们不担心有针对性的恶意软件,因为它在英国排名第二,在德国排名第三。
不管怎样,答案都很有趣。在这种情况下,有针对性的恶意软件包括描述受害者的攻击,并使用多种方法来获取将要被泄露的数据。然而,只有49%的美国受访者将病毒和蠕虫列为产生最大压力的威胁,加拿大的这一比例为36%。
事实上,德国和英国也不认为这有什么问题。此外,没有一个受访者将零日漏洞列为最关注的问题,尽管事实是,有针对性的恶意软件经常会在给定的事件中利用所有这三个攻击表面,因为犯罪分子会尽其所能来确保成功。
当谈到事件的后果时,用户数据盗窃是最令人担忧的,58%的受访者认为这是知识产权盗窃、名誉损害或罚款和法律行动的首要问题。然而,尽管最近发生了一些事件,而且在过去几年里对安全事件的关注越来越多,5%的受访者认为他们的组织完全安全,因此不担心。
“我们经常与那些不认为自己是目标的商业领袖交谈。他们没有意识到他们拥有的信息的财富,以及这些信息对罪犯的价值,”当被问及对那5%的人的看法时,科尔解释道,以及这种信念如何在当今存在。
或者,简单地说,他们认为自己没有什么值得拿走的东西(这很可能不是真的)。然而,即使是这样,攻击者的目标是一家可能没有数据可以从中获利的企业,他们仍然可以利用该企业作为进入其他企业的支点。”Pogue补充道。
尽管如此,总体上仍有58%的受访者认为客户数据丢失是事故发生后的最大压力点,但这仅仅是风险评估的副产品吗?数据丢失是否比罚款和法律行动更重要,因为这样的损失意味着对业务和客户的永久损害,而罚款往往是一次性的打击?
“这都是风险评估。多少保护是足够的?一次违约可能会导致你的业务诚信的丧失,无论是失去客户、知识产权、客户的信任和/或财务损失。中小企业的损失最大。他们承受不起失去顾客的损失,但仍然会继续经营下去。”
在与功能和资源相关的压力中也提到了多少才算足够的主题。大多数受访者表示,他们感到选择最新安全技术的压力,但同时,他们也缺乏适当的资源来使用这些技术。
此外,使用基于云的技术和移动应用程序也有很大的压力,但这也是新兴技术带来的安全风险的前两项。员工配备是另一个痛点,近一半的受访者表示,如果他们现有的员工数量是目前的两倍,他们就能够降低压力水平,提高工作效率。
该报告还涵盖了内部压力,特别是那些报告称尽管存在安全担忧,但迫于压力推出IT项目的人。当被问及这个问题时,79%的受访者表示,他们至少有一两次不得不不顾安全问题启动IT项目,或者更糟的是,他们经常被迫这么做。
“这是合乎逻辑的业务,”当被问及为什么会有正当的安全顾虑时,科尔说。
“商业领袖必须找到新的方式来营销他们的产品,而这是他们商业决策的重中之重,而不是安全问题。我们经常看到一些公司推出不安全的网站,因为他们只专注于销售自己的产品。”
此外,波格还说:“在最后期限到来之前,安全问题常常排在第二位。在军队里有句老话:“你可以很快得到它,也可以正确地得到它……”你不能两者兼得。”快似乎是日常的汤。”
当被问及的意见项目推广统计,金正日琼斯,Vantiv方案,支付处理公司在亚利桑那州,说安全风险不应该停止或减缓项目,事实上有些时候风险微积分(风险与回报)表明,利益大于风险。然而,他也怀疑,在21%以上的情况下,安全会赢得这些战斗。
“我对项目的投入是决定项目成败的众多因素之一。我有责任确保我(a)在适当的时间适当地参与项目的过程;(b)适当识别并在可能的情况下量化风险;(c)将风险提高到组织内的适当水平;(d)在没有降低风险的情况下,确保风险在组织内适当的级别被正式接受,”Jones在给CSO Online的电子邮件中说。
此外,Jones说,很可能许多安全组织没有在适当的点进入it项目周期,或者没有他所描述的风险识别和接受过程的类型。
在这些组织中,安全往往处于追赶模式。通常情况下,他们会在最后一刻介入,批准项目,如果他们发现有什么问题,补救时间框架就会迫使项目超出最后期限。琼斯补充说,更糟的是,如果没有风险接受流程,组织很难找到愿意同意接受风险的人。
压力变成了快速、准时地交付项目,而不是在事后放慢注入安全性的努力。再加上不充分的风险接受过程,你就会开始明白为什么我的许多兄弟要么迅速换工作,要么选择离开这个行业。”
那么,我们能做些什么来帮助他们呢?对于那些参加Trustwave研究的人来说,什么能降低他们感受到的压力,减轻他们的压力?
当被要求提供2014年的愿望清单时,受访者表示,更大的预算,其次是更多的IT安全技能和更多的时间关注安全,将是他们的三大愿望。在那之后,他们列出了更少的技术复杂性,更少的业务部门经理的请求,以及更多的人员。
这篇文章,"研究表明负责安全的人面临越来越大的压力"最初发表于方案 .