在经历了过去一年针对包括诸如全美第二大零售商家得宝(Home Depot)及美国塔吉特百货公司(Target)在内的一系列高调的网络攻击事件发生后，Sam Redden已然充分认识到自己需要为安全问题做好万全的准备了。

　　对于这家位于德克萨斯州维科这个小城市，专业提供高达数十亿美元的学生助学贷款服务的Brazos Higher Education Service公司的首席安全官Sam Redden而言，上述网络攻击事件无疑为他敲响了警钟，并向公司董事会表达了他对于安全问题的担忧。

　　Redden表示说，他往往通过主动的与董事会进行沟通，向董事会汇报企业当前正在从事的IT项目的安全管理状况以及他的IT安全团队为了保护企业所做的各项准备工作。

　　“但即使这样，我也不会蠢到足以敢担保说：在面临网络黑客安全攻击时，我绝对是领先于他们的。”Redden说。“这些黑客领先于我们所有的人。”

　　上述现象可能已经足以解释了为什么在参与了Computerworld网站的预测2016年调查访问的182 IT专业人士中，有高达50%的受访者表示，他们所在的企业计划在未来12个月内增加安全技术方面的开支。　　

 

　　更重要的是，当受访者们被问及其所在企业当前正在进行的最重要的技术项目时，安全性被排在了第二位——12%的受访者选择了安全性，仅落后云计算两个百分点。

　　“当看到那些大型企业动辄花费巨资用于防止数据泄露等安全领域的投入，但仍未能完全成功避免安全性攻击事件发生时，您就必须假设这样的情况在您自己的企业同样无法幸免了。”位于缅因州刘易斯顿的Geiger公司的首席信息官Dale Denham表示说。Geiger公司是一家市值达1.5亿美元的促销产品分销商。他表示：“您企业必须制定一套适当的安全管理计划”。

　　网络安全攻击者越来越多，而且正开始变得更具组织性且更强大。而随着现如今的电视机、打印机、相机，甚至是汽车均是IP联网的，他们可以用于进行安全攻击的入口点来访问网络的漏洞的数量也在呈指数级上升。据Gartner估计，到今年年底，各种互联的设备数量将达到49亿，较之2014年同比增长30%，并且到2020年将达到250亿。

　　最近，各类企业所面临的一个不断变化的安全威胁的例子是一段持久的恶意软件被称为SYNful Knock，是去年九月从思科路由器上发现的。

　　“这是涉及到思科路由和交换设备漏洞的首次公开披露。”位于爱达荷福尔斯的爱达荷国家实验室的网络安全人员Darren Van Booven表示说。“这是一个企业所共同面临的安全威胁的一个很好的例子。要求我们的安全战略必须不断的变化。”

　　PayPal公司首席信息安全官John Nai说，2016年他将会密切关注“基础设施安全”。他说：“其对我们来说是非常重要的。”除此之外，Nai说，他认为需要将关注点持续聚焦在基本的层面上。“很多公司都只是专注于先进的功能，但您真的需要特别注意的则是在基础层面上：确保您企业的基础设施都打了补丁，修补您的桌面台式机，并具备正确的操作能力，让您能够掌握在您企业的网络上都发生了什么。”

　　在劳动力市场精心挑选合适的员工也是另一大管理问题：目前，根本没有足够的安全专业人员，而那些在就业市场上喊出天价薪酬的高级人才对于许多公司而言是遥不可及的。

　　而这仅仅是与安全相关的足以让企业IT领导人们失眠问题的其中一部分。但他们中的大多数人都说他们并不熬夜，他们正在制定计划以采取行动。他们准备微调防入侵策略，实施员工的培养和再培训计划，为安全漏洞和攻击制定灾难恢复计划。

　　更多的预算，更好地培训用户

　　企业的安全高管们可能会被更频繁的被要求参与董事会会议以做出更多的解释。而他们往往会在这些会议上要求获得更多的资源，并把钱花在保护企业系统和数据方面。那些高调的违规行为有助于提高人们对安全的极端重要性的认识，尤其是提高企业董事会成员对于最新的技术对于维护企业安全性的关键重要性的认识。

　　“不用去董事会或CIO那里为争取每一分钱的安全费用而费尽口舌，我反而是让我企业的董事会和CIO们主动来找我。”一家中等规模的制造公司的一名不愿进一步透露相关信息的首席信息安全官表示说。

　　“在某些方面，那些频发的高调安全违规行为已经为我做了宣传工作。其几乎成为了我的一个开放的支票。”他说。但他补充道：“但这些安全威胁仍然存在，其一旦发生，肯定是相当可怕的。”　　

 

　　在企业董事会，安全管理人员说，他们会花至少一部分钱添加到他们的安全预算中，并对提升安全意识和员工培训计划进行进一步的投资。“最大的挑战之一来自于我们的员工。我们大多数的问题都是来自于员工们的电子邮件，他们可能不慎打开了含有木马或恶意软件的电子邮件。” Redden说。

 

　　“这一切都可以追溯到员工及用户培训。”他补充道。在Brazos Higher Education Service公司，他说，“我们已经为更多的用户实施了远程培训。我们告诉他们不要让任何人访问他们的笔记本电脑。我们特别强调这一点。终端保护是头号问题。”

　　在巴尔的摩马里兰的洛约拉大学，也非常看重培训的重要性。“我们最大的挑战来自于我们的最终用户，所以我们真的非常注重对于网络安全意识的培训。”技术服务助理副总裁兼首席信息官路易丝·芬恩说。

　　该大学最近聘请的安全运营总监帕特里夏·马利克，将在2016年对所有业务部门的员工进行面对面的基于场景的培训。“我们不只是告诉他们关于大学的管理政策，而是提供个人方面的培训，强调个人的自主的控制和保护数据。” 芬恩说。

　　堪萨斯市的劳动银行要求员工每年参加一个安全意识培训计划。但该银行的信息安全官肖恩·米勒说，计划的培训已经开始变得“一文不值”了，因为网络安全威胁的变化如此之快。

　　为了帮助人们保持警觉，米勒“以黑客同样的方式”发送钓鱼电子邮件。如果用户点击这些邮件中的链接，他们将进入到登陆页面，并获得他们应该怎么做的即时反馈。“我这样做不是为了让员工有麻烦。”米勒说。“我所做的事情在一些会计师事务所也会做同样的事情。人们往往是从自己的错误中汲取经验教训。”

　　雇佣合同工还是外包?

　　在参与此次预测调查的表示他们所在的企业预计将在2016年新增员工的受访者中，有25%的受访者表示企业安全方面的举措是驱动新增人手的决定因素。而33%的受访者说，他们预计安全方面的技能将是他们在2016年最难招聘到的人才。

　　在采访中，有中小型企业的高管表示，他们将聘请具有广泛IT和安全技能的人才，而不是在特定的安全区域经验丰富的专家，如入侵检测和防火墙领域。　　

 

　　许多公司都在增加专业知识，但并不是通过录用正式的合同员工，而是越来越多的通过与安全服务供应商签订合同。正如一位首席信息安全官所言，外包的优势之一就是其回避了优秀的安全工作员工被其他机构挖走的威胁。

　　位于圣迭戈的Cabrillo Credit Union公司的首席技术官Frankie Duenas负责管理者一个有6名IT专业人士组成的一个小部门，其职责范围从安全和网络规划到日常运营，并将在必要时提供安全援助。“我们有到位的安全预算--无论是应对新出现的安全威胁或应对更复杂的安全软件和/或服务。明年我们预计该安全预算会翻番，因为黑客的快速发展，我们需要有相应的应对措施。”

　　在Geiger公司，Denham说，他雇用第三方服务机构来帮助处理安全入侵检测和入侵防御服务。该公司还与外部审计人员合作，以遵守PCI数据安全标准。

　　他说：“我不希望我们的IT团队会雇用更多的安全专业人员。”相反，Geiger将继续转向服务供应商，因为新的需求会不断出现。

　　“您绝不可能完成在安全性方面的所有工作。您不能做到这一切，您永远无法足够快的做到这一点。” Denham说。“总是有更多的事情IT可以处理。”

　　关键底线是，安全是企业的一个关键问题，永远不会消失，也永远不会结束，因为黑客们总能找到新的方法来进行破坏。

　　例如，根据PayPal的Nai说，业界已经在打击网络钓鱼攻击方面取得了很大进展，但正是因为如此，黑客们已经重新调整了他们的攻击方向——开始传播恶意软件了。

　　“当我们在某些领域不断改进时，黑客们就不再继续该领域的攻击了。” Nai说。他们不是出去找合法的工作了。而只是转移到另一个攻击方向去了。”

　　董事会在看您

　　几乎所有接受本文采访的安全专家和首席信息官均表示希望在2016年把更多的重点放在与他们所在企业董事会的沟通交流方面。

　　“三年前，除非发生特别严重的安全事件，一个人在这个职位角色的人将很少有机会参与董事会的高层交流。但现在，CIO参与每季度一次的董事会议已经不是什么新鲜事了。”一家制造公司的要求匿名的CIO表示说。“董事会试图评估风险，他们想确信我将采取的措施是符合成本效益和能够保护公司的。”

　　爱达荷国家实验室的网络安全人员Darren Van Booven说，风险管理和安全计划的成功取决于IT领导者是否有机会获得相关资源，及其与高级管理人员沟通的能力。

　　他说：“安全管理人员了解企业的业务是非常必要的。如果您不这样，您就不能用一种领导理解的方式表达风险。而如果您听到首席信息安全官抱怨说他们的话没有人听，这便是原因所在了。” Van Booven说。

　　除了董事会成员，Van Booven还建议会见企业最高级额管理人员分享信息并提供培训。

　　“这样与其他高层领导人之间对等的交流与沟通，与安全管理人员在董事会上所做出的安全承诺效果是截然不同的。”信息管理程序整合总监Hortense Nelson说。“个人魅力是很重要的。”

　　公司以外的安全

　　除了内部沟通，如制造企业的CIO这样的IT领导者会发现自己越来越多的工作是在公司以外——与供应链合作伙伴及他们的董事会谈判。该首席信息官已经起草了一份他所提议的供应商管理流程的常规安全调查问卷。

　　位于弗吉尼亚州雷斯顿的一家咨询公司及软件即服务提供商Altum公司的技术总监戴夫·库克表示说，采用他们服务的客户数量正在不断增加。Altum公司的客户主要都是大型基金会和其他提供资助的组织，他们采用Altum的跟踪软件服务来实施监控，受捐助者如何使用资金的。

　　“当我们收到想要获得我们服务的客户申请时，他们会发送给我们一个安全软件的问卷调查。我们必须在他们考虑正式采用我们的服务之前回答一连串的问题。”库克说。“在过去18个月我们已经看到了客户数量的增长。他们帮助了我们，因为如果他们问了这些问题，我们就需要将这些问题考虑在内。”