企业安全战略TOP3：目标、流程与培训

每年，企业战略集团(ESG)都会和信息系统安全协会(ISSA)就网络安全人员的思维模式进行一项研究。去年的研究中，受访者被要求指出自家企业未来一年内会采取什么动作来改善网络安全。根据调查数据，我们可以归纳出CISO的建议偏向。

• 49%的受访者认为，在未来，企业应为业务经理增加网络安全目标和安全评估。

不过，CISO也应该有业务目标。比如，应从安全动作与数字化转型等业务项目的贴合度来衡量CISO的业绩，而不应仅仅根据事件检测/响应或按进度部署了新的多因子身份验证(MFA)来衡量。

• 41%的受访者称，自家公司应记录并正规化网络安全流程。

也就是说，当前太多公司的网络安全流程都是低效、无记录和不正式的。没有什么比解决了安全过程的正规化问题更能提升安全生产力和员工士气的了。

• 40%的受访者称，应为IT员工提供更多网络安全培训。

很多CISO的理想模式是将安全专业知识嵌入到IT领域中。更多培训就是通往这个方向的坚实步伐。

• 40%称其公司应在应用开发过程中融入更多安全监管与测试。

因为很多代码都只关注增加功能和快速成型，容易导致软件漏洞和高成本，而更多监管与测试可以带来更好的安全与更低的成本。DevOps与安全的结合有助于情况的改善。

• 40%称其公司应增加CISO在执行管理和董事会中的参与度。

虽说大家表面上都认为安全已经成为了“董事会会议讨论议题”，但很多CISO还是感觉自己被当成了虽然有用但很遭厌弃的存在。很明显，CISO觉得自己除了审计结果、合规报告和最新数据泄露的基本情况报告，还有很多可以说的。

• 40%称其公司应增加网络安全预算。

这与你做什么和花多少无关，预算多总比少好。

CISO显然认为网络安全是一项团队运动，业务与IT人员可以为整体安全工作贡献更多。另外，安全不应局限在少数人掌握的高精尖技术上，而应成为可重复和可评估的过程。

2017年就网络安全人员的思维模式的报告原文：

https://research.esg-global.com/reportaction/ESGISSAREPORTCYBERPROS/Marketing?SearchTerms=issa