合规指令：主导 2019 安全重点的网络安全较佳实践

IDG 《安全重点研究》显示，大多数企业的安全工作是由合规要求和安全最佳实践改进任务驱动的。

安全形势总是在变化:更聪明的网络罪犯、不断演变的恶意软件、更严格的监管以及更高的金融和国家安全风险都迫使公司及其安全团队不断调整其安全优先级。

IDG 《2019 安全重点研究》于2019年7月底发布，揭示了未来一年安全重点的变化趋势。这项研究基于对全球528名安全专家的调查，涵盖网络安全支出、报告结构、技术采用和背后的所有驱动因素。

以下是研究结果的总结。

1. 安全预算上涨

几乎所有的公司都期望来年有更多或同等的安全支出，但它可能不会用于安全人员认为最需要的地方。新的隐私和安全条例是安全预算增加的原因之一。三分之二(66%)的受访者认为合规指示是安全支出的驱动因素。然而，一些受访者(27%)认为合规指示干扰了战略计划。

只有4%的受访者预计他们自己的安全预算会减少，50%的人预计会增加，46%的人预计会持平。安全预算中的其他决定性因素包括最佳实践(73%)、对公司内部安全事件的响应(39%)、董事会订单以及对另一家公司或业务合作伙伴级别的安全事件的响应(55%)。

研究报告的作者指出，尽管第一美国公司(First American Corporation)的8.85亿条记录在过去被泄露，这促进了安全支出的增长，但今年的研究表明，这类事件对安全预算的影响正在下降。报告称:最佳实践和合规指令是安全预算的最大驱动力。但是两者都有争议的弱点。专家指出，即使是NIST和COBIT公认的最佳实践框架也有其局限性，企业很难在自己独特的环境中实施其指导思想并获得最佳结果。

2. 保护敏感数据是重中之重

EU 《通用数据保护条例》 (GDPR)于2018年5月生效。《加州消费者隐私法案》 (CCPA)将于2020年1月1日生效。这些法令和其他现有或即将出台的隐私条例将公司的注意力集中在保护个人身份信息上(PII)。这也反映在IDG的研究报告中:59%的受访者表示，保护隐私信息是他们的首要安全任务。

下一个安全焦点将直接帮助保护PII和其他资产。安全意识培训(44%)被广泛认为是减少网络钓鱼和其他社会工程攻击的有效方法。受访者的安全重点还包括升级信息技术和数据安全以提高灵活性(39%)、提高对外部威胁的理解(34%)、更好地利用数据和分析(24%)以及降低信息技术安全基础架构的复杂性(22%)。

3. 花在员工身上的安全投资比重最大，但没大多少

数据显示，安保支出的1/4将用于安保人员。这是安全支出的最高比例，但工具和技术(23%)以及基础设施和设备(22%)紧随其后。只有11%的安全支出将用于云服务，12%用于合同服务。

4. 半数中小企业缺乏安全高管

88%的企业级公司有安全主管，但只有51%的中小型企业有这种配置。大多数安全主管的头衔是CISO或首席执行官(大企业为74%，中小企业为28%)。

安全主管通常向首席信息官报告(31%)。22%直接向首席执行官报告，7%直接向董事会报告。

5. 零信任热门，区块链遇冷

将近一半的受访者表示，他们正在积极研究零信任技术或关注零信任技术。36%的受访者表示他们正在研究区块链，但50%的受访者对区块链技术不感兴趣。在本研究列出的所有技术中，大多数被称为“不感兴趣”。

2019 IDG安全重点研究展示流行的安全技术

调查结果显示在某种意义上对一些非常规安全工具和方法的全面吸收。这些新的或替代的安全工具和方法包括零信任技术、开发安全操作(DevSecOps)、欺骗技术和大数据分析，它们为机器学习和人工智能的新应用奠定了基础。