安全技能不足仍將使企業網絡防禦陷入困境

安全技能不足仍將使企業網絡防禦陷入困境

 

本文譯自：http://www.eweek.com/security/security-skills-gap-continues-to-stymie-enterprise-cyber-defenses.html#sthash.QpHk95Dy.dpuf

作者：Robert Lemos

翻譯：PurpleEndurer，2014-11-22，第1版

 

　　安永（Ernst & Young）調查顯示，今年企業在安全方面支出略增，但會爲尋求懂行的信息安全專家而展開競爭。

　　根據安永企業服務公司（Ernst & Young）進行的調查，企業爲了捍衛自己的IT系統和數據，2015年在技術和人員方面投入的資金略增，但要聘請懂行的信息安全專家仍有困難。

　　在1800多個受訪機構中，預計安全預算會增加的約佔52％，相較於它的預算將保持不變佔43％。據調查，半數以上的企業確認他們無法加強系統安全性的主要原因是缺乏熟練的專家。

　　“好資源是稀缺的，你必須找到新的途徑來提供所需的安全服務，”安永的網絡安全實踐技術總監吉培·桑特斯（Chip Tsantes） 告訴eWEEK。“在尋找你所需要的技能方面，你必須更有創意。”

　　在過去五年中，信息安全專業人才的缺乏一直是一個老生常談的話題。最近，政府僱用和增加設備數量來增強網絡安全性，導致了熟練安全人員的持續短缺，思科估計全世界有1千萬名工作人員。

　　根據調查，缺乏足夠的工作人員削弱了多種安全措施。大約1/3的企業不具備實時確定威脅的能力；只有13％的企業的認爲它們能滿足信息安全的需要；33％~45％的組織在網絡安全領域成績不佳。

　　企業在工作人員不足時需要優先考慮並專注於技術和過程，使他們對威脅和當前風險有更好的認識，桑特斯說。

　　“你不能監視一切，這意味着你必須確保專注於最重要的資產，”他說。“安全團隊需要引導企業去保護這些資產，衆志成城。”

　　在過去的幾年裏，企業將員工標記爲對其信息構成威脅的最有可能的來源，但今年企業將多種外部威脅，例如犯罪集團和激進黑客，看成最有可能的威脅。

　　調查發現，57％的受訪者認爲員工是一種威脅來源，但罪犯（53％），激進黑客（46％）和獨行黑客（41％）都被認爲是更可能的威脅，緊隨其後的是內部參與者，承包商。

　　爲了使員工變得安全可靠，不致成爲一個被利用的弱點，企業經常開展訓練和集中培訓。但是，根據該報告，企業也應跟蹤員工的安全意識。

　　同時55％的企業未將員工的安全知識狀況列入績效評估，因此讓工作人員成爲一條潛在防線是企業應該優先考慮的。

　　“如果員工瞭解到自己的工作安全受到威脅，是因爲該組織的安全受到了威脅，而網絡安全是一個績效指標，這可以促進意識和行爲的永久性改變，”這是安永報告的結論。