安全技能不足仍将使企业网络防御陷入困境

安全技能不足仍将使企业网络防御陷入困境

 

本文译自：http://www.eweek.com/security/security-skills-gap-continues-to-stymie-enterprise-cyber-defenses.html#sthash.QpHk95Dy.dpuf

作者：Robert Lemos

翻译：PurpleEndurer，2014-11-22，第1版

 

　　安永（Ernst & Young）调查显示，今年企业在安全方面支出略增，但会为寻求懂行的信息安全专家而展开竞争。

　　根据安永企业服务公司（Ernst & Young）进行的调查，企业为了捍卫自己的IT系统和数据，2015年在技术和人员方面投入的资金略增，但要聘请懂行的信息安全专家仍有困难。

　　在1800多个受访机构中，预计安全预算会增加的约占52％，相较于它的预算将保持不变占43％。据调查，半数以上的企业确认他们无法加强系统安全性的主要原因是缺乏熟练的专家。

　　“好资源是稀缺的，你必须找到新的途径来提供所需的安全服务，”安永的网络安全实践技术总监吉培·桑特斯（Chip Tsantes） 告诉eWEEK。“在寻找你所需要的技能方面，你必须更有创意。”

　　在过去五年中，信息安全专业人才的缺乏一直是一个老生常谈的话题。最近，政府雇用和增加设备数量来增强网络安全性，导致了熟练安全人员的持续短缺，思科估计全世界有1千万名工作人员。

　　根据调查，缺乏足够的工作人员削弱了多种安全措施。大约1/3的企业不具备实时确定威胁的能力；只有13％的企业的认为它们能满足信息安全的需要；33％~45％的组织在网络安全领域成绩不佳。

　　企业在工作人员不足时需要优先考虑并专注于技术和过程，使他们对威胁和当前风险有更好的认识，桑特斯说。

　　“你不能监视一切，这意味着你必须确保专注于最重要的资产，”他说。“安全团队需要引导企业去保护这些资产，众志成城。”

　　在过去的几年里，企业将员工标记为对其信息构成威胁的最有可能的来源，但今年企业将多种外部威胁，例如犯罪集团和激进黑客，看成最有可能的威胁。

　　调查发现，57％的受访者认为员工是一种威胁来源，但罪犯（53％），激进黑客（46％）和独行黑客（41％）都被认为是更可能的威胁，紧随其后的是内部参与者，承包商。

　　为了使员工变得安全可靠，不致成为一个被利用的弱点，企业经常开展训练和集中培训。但是，根据该报告，企业也应跟踪员工的安全意识。

　　同时55％的企业未将员工的安全知识状况列入绩效评估，因此让工作人员成为一条潜在防线是企业应该优先考虑的。

　　“如果员工了解到自己的工作安全受到威胁，是因为该组织的安全受到了威胁，而网络安全是一个绩效指标，这可以促进意识和行为的永久性改变，”这是安永报告的结论。