专家们表示,来自高层管理和董事会的压力正迫使安全专业人士超出他们的知识和资源,迫使他们推出没有适当保护的技术。
根据Trustwave将于下周发布的一份报告,近五分之四的IT专业人士去年受到压力,被迫部署安全性不高的软件。该报告在发布前独家提供给CSO Online。报告显示,超过60%的受访者表示,此类推广每年发生一到两次,而16%的人表示经常发生。
在2013年12月中旬至1月中旬期间接受调查的830多名首席信息官、首席信息官和IT安全主管和经理中,有一半表示,最大的压力来自公司所有者、董事会和c级高管。在美国、英国、加拿大和德国的250至5000名员工的公司工作的受访者中,近三分之一的人表示,最大的压力来自直接经理。
对于咨询公司Bishop Fox的高级安全分析师德鲁·波特来说,这一发现并不意外。为了给客户和合作伙伴提供有竞争力的特性,波特经常与一些公司合作,填补IT领域部署过快的漏洞。
“他们想拥有这些功能,他们现在就想要,”波特说。“他们担心之后的安全问题。”
波特经常遇到的一个例子是,访问公司园区的人员和员工可以使用到公司门户的无线连接。HTTPS通常没有被正确地用于安全通信,公司跳过用户名和密码的要求也很常见。
这种糟糕的保护不适合安全主管和经理,他们有时会请顾问做安全审查,因此漏洞可以被记录下来,并提请c级主管和董事会注意。
他说:“顾问撰写报告,让安全团队向高层管理人员汇报,‘这些是我们必须解决的问题;这些都是非常关键的项目。”波特说。
研究发现,风险最大的新兴技术是云服务、移动应用和满足员工使用自己的移动设备工作愿望的技术,这种趋势通常被称为“自带设备”。使用社交媒体也被认为是最大的风险。
弗雷斯特研究公司(Forrester Research)的分析师芮妮·墨菲(Renee Murphy)说,使用新技术的市场压力正导致安全主管们超出他们的专业水平。
Murphy称,"企业要求ciso在(安全)技术明显落后或至少他们对技术的理解落后时进行创新,ciso正面临这种压力。"
Murphy说,保护高管和员工想要在公司网络上使用的各种移动设备是安全专业人士头疼的一个很好的例子。直到最近几年,安全主管们还只担心连接到网络的个人电脑。
“他们现在不得不做大量的事情,以支持每天在他们的环境中出现的一切,”墨菲说。“我能感受到他们的痛苦。”
Murphy说,为了改善目前的情况,商业人士和安全专家需要共同努力,以一种“整体方法”来确保新技术的安全。
“安全和风险不一定会抑制创新,”她说。“创新可能不得不放慢速度,以适应它,但它们没有理由不能共存。”
报告发现,总体而言,大多数受访者表示,与2012年相比,去年保护自己组织的压力有所增加,他们预计今年也将经历类似的增长。
最大的担忧是成为有针对性的恶意软件攻击的受害者,其次是网络钓鱼和黑客利用未知漏洞的威胁。网络钓鱼是指黑客设计电子邮件,诱骗收件人点击带有恶意软件的附件或恶意网站的链接。
报告称,对网络攻击最大的担忧是客户数据丢失,其次是知识产权被盗。声誉受损、罚款或法律诉讼则不那么令人担心。
为了减轻安全压力,超过80%的受访者表示需要雇佣更多员工。然而,调查显示,高层管理人员似乎更倾向于聘用管理安全服务提供商。大多数受访者已经或将来可能与MSSPs合作。
安全主管的愿望清单上的其他项目包括更多的技能和专业知识,以及更多的时间关注安全。
这篇文章,“IT创新挑战安全专家的知识、资源”,最初发表于方案 .