2023网络安全状况：应对当下和新出现的威胁（附下载）

白皮书对相关调查结果进行了总结汇报。该调查报告聚焦当今网络安全人才发展、人员配置、网络安全预算、威胁态势和网络安全成熟度等领域的发展趋势。

在数字威胁无处不在的时代，ISACA发布的《2023年网络安全现状——劳动力、资源和网络运营的全球发展新态势》一文对相关调查结果进行了总结汇报。该调查报告聚焦当今网络安全人才发展、人员配置、网络安全预算、威胁态势和网络安全成熟度等领域的发展趋势。

值得注意的是，根据2023网络安全状况白皮书，48%的组织表示与去年相比今年的网络攻击事件有所增加。这一数字尽管令人担忧，却是过去六年来的最小增幅。是网络对手越来越隐蔽了，还是我们的防御机制在演变呢？

也许令人震惊的事实是，62%的受访者表示大多数组织低估了网络攻击，这扭曲了现实。这可能是由于对品牌声誉、潜在法律后果或者甚至缺乏意识的担忧。这一统计数字突显出在网络安全领域迫切需要透明度和协作。

2023年报告主要调查结果

在负责安全管理工作的受访者中，工作经验不足三年的人数占比与往年数据持平。此外，受访者的人口统计信息表明，安全管理人员呈现出老龄化的趋势。
71%的受访企业仍有空缺的网络安全岗位，其中空缺的高级岗位数量是入门级岗位的两倍。没有岗位空缺的受访企业数量增加了6个百分点。
企业明显缩减了学费报销以及聘用奖金等员工福利，越来越多的企业推出“带薪志愿服务休假”。
软技能是网络安全专业人士和大学毕业生技能差距中的主要问题，而存在于前者的软技能差距有所恶化。在现有从业人员中，云计算技能掌握情况比2022年提高了5个百分点。大学毕业生的技术技能表现与2022年的数据基本相似，在安全控制和网络运维方面略有提高；值得关注的是，大学毕业生网络相关能力方面的数据下降了4个百分点。
对员工进行交叉培训以及选用承包商和顾问依然是缓解劳动力短缺问题的主要方式。
52%的企业在设立入门级岗位时要求雇员拥有大学学历，这与2022年的数据一致，但不同地区的数据则表现出了明显的变化——欧洲和非洲的数据有所下降，亚洲和北美洲保持不变，拉丁美洲和大洋洲的数据则大幅上升。

据统计，受访者对网络安全项目资金的看法与2022年基本相同。去年对网络安全预算的乐观看法昙花一现，当下企业普遍认为下一个预算周期将遵循少花钱多办事的原则。年度网络风险评估仍在进行中，相关数据显示，企业将更为频繁地进行小幅度改善。

企业遭受网络攻击的频率与安全领导者和网络安全团队的一致性毫无关联，但部分企业在董事会层面着重考虑网络安全问题并将网络安全战略融入企业目标，这些企业更有可能会设立首席信息安全官（CISO）及其下属的网络安全团队。很多企业则会忽视这种一致性，由首席信息官（CIO）统领网络安全团队，这种企业不设立首席信息安全官（CISO）或首席安全官（CSO）的可能性要高出一倍。

人员因素：人员配置和技能‍

网络安全不仅仅只是关于技术的问题，而是人的问题。这个行业面临着人员配置上的挑战，59%的领导者表示他们的团队人手不足。这不仅仅是一场数字游戏，而是为团队配备正确的技能。

网络安全状况白皮书中强调，对身份和访问管理（49%）、云计算（48%）、数据保护（44%）、事件响应（44%）和DevSecOps（36%）等技术技能的需求正在增加。除此之外，对软技能的需要也越来越突出。沟通是最重要的，占55%，其次是批判性思维（54%）、解决问题（49%）、团队合作（45%）和对细节的关注（36%）。

特别是在我们应对人工智能等技术带来的复杂性时，这些技能的融合显得至关重要。然而，即使掌握了正确的技能，留住人才仍然是一个障碍。56%的网络安全领导者承认很难留住合格的专业人员，人们一定会问：我们是否做了足够的工作来培养和留住网络安全人才？