■刘文艳

作为ESG和信息系统安全协会（ISSA）最近发表的一篇题为《网络安全专家的生活和时代》的研究报告的一部分，343名信息安全专业人士作为受访者被要求确定其组织在过去几年中采取的网络安全行动。这份清单可以为企业了解2018年的网络安全趋势和应对即将到来的网络安全威胁提供一个良好的参考依据。

在报告中，一些回应率最高的条目如下：

52 %的组织采用了部分或全部NIST网络安全框架(CSF)

如果您没有注意到这一点，您会惊讶地发现，NIST CSF已经成为许多行业的标准风险管理工具，并且已经演变成为制定网络保险的基准指标。1.1版草案最近出版了，承诺给网络供应链带来更为清晰、通用的语言和可扩展性。

最后，CSF很可能会与主管机构委员会（COSO）风险管理框架(第二部分)相辅相成，其中风险管理框架（第二部分）更侧重于业务和企业风险。总的来说，在2018年，我们将看到风险管理发挥更大的效用，包括最近对高级防御技术的描述。

50 %的组织增加了对安全和IT人员的网络安全培训工作

这是一个非常利好的消息。不过，坏消息是接受调查的网络安全专业人员中有62%的人认为，他们从组织那里获得的培训水平仍然不足。我们预计，网络安全培训在2018年将进一步增加，但可能仍然达不到它该有的水平。

49 %的组织提高了非技术员工的网络安全培训水平

这可能是一个很好的投资，但是太多的组织会通过网络安全培训的提议，并将其视为复选项。令人遗憾的是，许多企业仍将继续增加培训预算，但在这一过程中产生的投资回报率甚微。一些领先的公司正在通过以用户为中心的渗透测试（比如白帽子钓鱼攻击活动），以及使用KnowBe4、PhishMe和Wombat Security的工具来付出加倍的努力。同时，在交流方面也取得了很大的进步，例如解释为什么用户的操作行为会被阻止，而不是简单地阻止他们，并向他们传递加密信息。

48 %的组织增加了网络安全预算

ESG即将发布《2018年IT支出意向研究》报告，其中的重点研究项目就是网络安全预算。我们发现，2018年所有行业中的大多数组织都将增加其对网络安全方面的预算。然而，即便有这种增长，安全团队还是会发现在网络安全的所有领域进行投资很有挑战性。在2018年，首席信息安全官将需要制定一个投资组合管理的方法来进行投资，寻找方法来使用机器学习技术、安全运营自动化/编排工具、安全管理服务和软件定义安全选项，以解决需求和成本上升等问题。

48 %的受访者准备遵守一项或多项新的监管要求

2017年，美国纽约推出了关于金融服务公司的新规定，而许多全球公司也已经做好了执行《通用数据保护条例》（GDPR）的准备。随着五月份的截止日期的临近，GDPR将继续成为2018年的投资热点领域，但是笔者怀疑这种热度是否将在2018年正式实施后结束。

ESG/ISSA的数据表明，过去的网络安全只是一场序幕。让我们共同期待在接下来的一年中，首席信息安全官（CISO）不只把心思放在获取更多的资金上，还能制定出符合自身发展的2018年网络安全规划，希望他们能够评估需求、流程和资源，并利用不断增加的预算来提高基础网络安全。