是安全性取得好成绩？哪些IT和业务专业人员的真实想法

如果你感觉在信息安全是如何在你的公司处理一些不满，你并不孤单。以美国为基地的287 IT和业务专业人员谁回答了CSO和其姊妹网站CIO和计算机世界最近的一次调查中有一半给了他们企业的安全做法℃以下的档次。

特约低分是一个熟悉的推拉：安全性是提高监督下从该组织的最高水平，而IT和安全人员和预算被拉伸到极限。

但也有可能在工作别的东西在这里。至于谁是被烙老师的宠物的人都知道，获得好成绩能产生意想不到的后果。在这种情况下，是在安全的做法过于自信能借鉴黑客不必要的关注，富国银行的首席信息安全官丰富Baich告诉CSO。

也许安全的状态终究不是那么坏？请仔细阅读，看看IT和业务专业人员真的认为他们的组织如何处理信息安全。

大部分的受访者（65％）表示，今年的高级业务管理集中更多的注意力放在信息安全性比前几年，和77％的受访说，他们希望更专注于信息安全，在未来1至3管理年份。

这样做的原因越来越多的关注？该C-Suite是在炎热的座位以确保安全。“在过去，一个CEO可以简单地有安全专家的努力的信念在公司里，“乔尔·吉本斯，在全国FFA的IT总监及合规，告诉CSO。”现在，CEO需要了解更多才能够回答有关我们如何确保任何需要组织的外围内侧固定的具体问题“。

对于受访者谁注意更加注重安全，关注他们的组织将经历一个漏洞或其他安全事故的主要动力之一57％。现实情况是，“这只是一个时间问题有人发现了一个接入点之前，我们已经错过了。”吉本斯说。“这是比赛的这几天刚的性质。”

有一个专门的信息安全团队是一个奢侈品，很多企业无法承担超过我们的调查受访者表示IT部门负责信息安全的在他们的组织。

当负责安全的，会发生什么？首先，这意味着CIO是上了钩的安全事故。的受访者百分之七十表示，如果数据外泄发生在他们的组织的CIO或IT负责人将被追究责任。

但对于IT组织，同时也是负责安全的，这是一个“每日平衡的行为，”全国FFA的吉本斯说。"In a small organization, I can’t always afford to let my security folks focus solely on security. There are always other things they need to do. That can have a negative impact on security. Or, it can have a negative impact on any other things they aren’t doing because security efforts take so much of their time."

通过长臂猿描述的平衡行为是截然不同反映在调查结果。在谁说，这是对信息安全负有主要责任的受访者中，对IT的20％的时间和IT预算的15％的平均致力于安全相关的努力。

“安全性最终被瓜分和施舍to 10% of several people’s jobs," Brendan O’Malley, a serial CIO at midsize firms and now a consultant, told CIO. As a result, he says, "it’s very tough to make progress or to stay on top of it the way you have to.”

对于许多组织，尤其是中小型企业，外包安全是补偿没有专门的信息安全团队的唯一途径。

Recall O’Malley’s description of a security function that is “sliced up and doled out." While spreading security responsibility around gets the tasks done, it also opens a firm up to risk. “You absolutely need to have some kind of outside support,” explained O’Malley.

“不可避免的结论是公司越来越多地要依靠由MSSP处理安全[管理安全服务提供商]因为他们无法跟上，他们只是没有带宽，”高级安全分析师451研究阁楼贝克，告诉CIO。

黑鹰社区信用联盟，其8名IT人员处理并将安全的150个用户，采取以下方法与顾问和MSSP工作，IT的副总裁理查德·伯顿，告诉CIO：

• 信用合作社手柄战略和政策规划
• 顾问带来的专业功能
• 一个MSSP用于“香饽饽”安全功能

这种方法可能是熟悉的那些你们谁使用外部顾问或使MSSP协助信息安全，并在调查结果证实：渗透测试，垃圾邮件过滤和威胁情报是外包给第三方的权利的三大安全功能。

即使在那里有专门的信息安全团队组织，有责任在重叠很大。在这些组织的受访者高达70％的人认为IT和信息安全重叠，当涉及到管理的基础设施和系统中的漏洞。

这种明显的混淆谁做什么可能是信息安全和IT之间的对准问题。在这些受访者说，他们谁都有专门的信息安全团队，15％的人认为信​​息安全战略和IT战略的根本在他们的组织整合，而54％的人表示不太整合。只有31％说他们共进退，并很好地集成。

但是，这种情况正在改变......好了。从专用信息安全团队组织受访者百分之五十九表示，在三年内信息安全战略和IT战略将紧密结合并很好地集成。

前三名的挑战受访者表示，当涉及到安全对准目标和业务需求证明成本，确定风险和瓜分的责任他们的组织面对的问题。

但是，随着棘手的这些挑战可能看起来，要达成共识，可能是沟通的主要问题。

“当你可以说出一个风险，即董事的经营和董事会同意，那么你就可以拿出一个计划，以减轻和管理风险“，包括额外的资金和资源，在网络安全解决方案供应商Optiv在CISO办公室副总裁迈克尔·艾森伯格，告诉CSO。

对于富国银行，与银行的高管提高通信开始与安全层次结构的调整。丰富Baich，谁在2012年成为该行的第一个CISO，开始在2015年一月首席风险官报告“[新层次]让我们有效创建的通信信道，帮助人们了解安全性的语言，安全的重要性，它如何适应更大的，整体的风险管理架构，” Baich告诉CSO。

另一种平衡行为进场时，公司考虑如何频繁地改变他们的安全策略。超过一半的受访者说，他们的组织已在地方目前的信息安全管理模式，为三年或三年以上。

然而，正如贝丝的Stackpole在她的计算机世界文章指出，企业必须经常更新安全程序留在一个快速移威胁环境的顶部。挑战在于寻找保持政策上最新和令人沮丧的用户，他们反抗点之间的甜蜜点，Forrester的分析师凯利麦告诉计算机世界。

“这不是那么简单，取数据，使新的策略，因为你必须确保信息工作者是不难过，”他解释说。“你把到位的限制越多，就越有可能有人去解决它。”

恰好有一半的受访者表示，他们的机构正在考虑改变其信息安全管理模式。在这些考虑变化组织，78％援引有关违反和数据丢失作为首要因素的担忧。

随着新的威胁看似络绎不绝，如何做到这一点有存在了数年的信息安全模型组织保持其安全策略有关？

劳动银行需要一个系统的方法来更新其正式政策，但很快就调整威胁应对程序“的。我们的政策目的是要在较高的水平，而不是万无一失了，”肖恩·米勒，银行的信息安全官，告诉计算机世界。“我们更新了战术，一天到一天的东西的程序，但是当它涉及到我们的战略方向上的安全顺利进行，我们改变我们的政策，以有限的方式，以不压倒用户。”

举例来说，银行最近阻止的Flash，此举米勒表示，该公司不会考虑改变政策。“我们的董事会批准的政策，他们不知道什么是Flash是或它做什么。这只是一个简单的，日常的日常业务响应需要威胁的例子。”

从本次调研的见解，请下载信息安全国家报告。