2024年網(wǎng)絡(luò)安全現(xiàn)狀報(bào)告-ISACA

2024年網(wǎng)絡(luò)安全現(xiàn)狀錄4執(zhí)行摘要5調(diào)查方法8網(wǎng)絡(luò)安全勞動力挑戰(zhàn)8/人員配置9/人員保留11/職位空缺11/填補(bǔ)職位空缺所需時(shí)間12/分析空缺職位12/未來需求15/人員流失15/雇主福利正在減少17人才儲備進(jìn)展17/合格的申請者20/大學(xué)洞察22/合格勞動力問題22/按職業(yè)階段劃分的專業(yè)發(fā)展需求22/人力資本緩解措施27網(wǎng)絡(luò)安全預(yù)算呈下降趨勢29網(wǎng)絡(luò)攻擊、檢測和威脅行為者33網(wǎng)絡(luò)風(fēng)險(xiǎn)34/網(wǎng)絡(luò)保險(xiǎn)36安全運(yùn)營：聚焦人工智能38結(jié)論：關(guān)注網(wǎng)絡(luò)安全就緒性39致謝32024年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡(luò)安全運(yùn)營更新報(bào)告《2024年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡(luò)安全運(yùn)營更新報(bào)告》呈現(xiàn)了ISACA③年度全球網(wǎng)絡(luò)安全狀況調(diào)查的結(jié)果，該調(diào)查于2024年第二季度進(jìn)行。本調(diào)查報(bào)告聚焦于網(wǎng)絡(luò)安全勞動力發(fā)展、人員配備和預(yù)算、威脅形勢、網(wǎng)絡(luò)風(fēng)險(xiǎn)以及人工智能(AI)使用的當(dāng)前趨勢。盡管過往的年度網(wǎng)絡(luò)安全報(bào)告并未顯示觀點(diǎn)或趨勢的重大轉(zhuǎn)變，但2024年的調(diào)查數(shù)據(jù)揭示了多項(xiàng)變化，這些變化可能會對網(wǎng)絡(luò)安全就緒狀態(tài)產(chǎn)生不利影響。執(zhí)行摘要ISACA第十屆年度全球網(wǎng)絡(luò)安全狀況調(diào)查繼續(xù)識別網(wǎng)絡(luò)安全領(lǐng)域的當(dāng)前挑戰(zhàn)和趨勢，同時(shí)ISACA繼續(xù)擴(kuò)展其縱向報(bào)告，在《2024年網(wǎng)絡(luò)安全現(xiàn)狀》報(bào)告中提供調(diào)查結(jié)果年度比較。今年的報(bào)告分析網(wǎng)絡(luò)風(fēng)險(xiǎn)的調(diào)查結(jié)果，并新增了人工智能(AI)相關(guān)內(nèi)容。與前一年相比，一些調(diào)查結(jié)果數(shù)據(jù)沒有變化，而其他數(shù)據(jù)則強(qiáng)化了去年的發(fā)現(xiàn)，即市場不確定性正產(chǎn)生顯著影響———特別是在預(yù)算和薪酬方面，這可能會對網(wǎng)絡(luò)安全就緒工作產(chǎn)生不利影響。·老齡化勞動力正在增長。十年來首次，最大比例的受訪者年齡在45至54歲之間(34%)。該年齡組超過了35至44歲的受訪者(30%)。這以及管理經(jīng)驗(yàn)不足三年的員工的受訪者數(shù)量沒有增加，都在警示行業(yè)領(lǐng)導(dǎo)者要考慮制定繼任·今年的調(diào)查結(jié)果顯示，人員的配置水平略有改善。38%的受訪者認(rèn)為其網(wǎng)絡(luò)安全團(tuán)隊(duì)人員配置適當(dāng)，較去年的結(jié)果提高了2個百分點(diǎn)。認(rèn)為團(tuán)隊(duì)人員略顯不足的受訪者(43%)較去年下降了3個百分點(diǎn)。分析顯示，人員配置水平與企業(yè)是否使用AI來緩解短缺之間沒有關(guān)系?！?6%的受訪者報(bào)告稱，職業(yè)壓力比五年前高得多81%的受訪者將壓力增加歸因于日益復(fù)雜的威脅環(huán)境?！じ骷壙杖钡木W(wǎng)絡(luò)安全職位繼續(xù)減少。調(diào)查數(shù)據(jù)顯示，技術(shù)和非技術(shù)個人貢獻(xiàn)者職位空缺急劇下降。網(wǎng)絡(luò)安全經(jīng)理職位下降了9個百分點(diǎn)(從60%),降至網(wǎng)絡(luò)安全狀況調(diào)查有史以來的最低水平。高級經(jīng)理/主管職位空缺連續(xù)第三年減少。網(wǎng)絡(luò)安全高管職位也是如此，但程度不那。經(jīng)濟(jì)狀況似乎阻礙了員工離開當(dāng)前工作崗位——尤其是在美國。今年網(wǎng)絡(luò)安全專業(yè)人員選擇離職前兩大原因的受訪者減少了被其他公司挖角下降了8個百分點(diǎn)至50%,財(cái)務(wù)激勵不足下降了4個百分點(diǎn)至50%。選擇因工作壓力水平高而離職的受訪者躍升至46%比去年的調(diào)查結(jié)果高出3個百分點(diǎn)。雇主與員工之間關(guān)于重返辦公室的持續(xù)爭議可能導(dǎo)致比去年多了4%的受訪者將遠(yuǎn)程工作可能性有限視為經(jīng)濟(jì)狀況似乎阻礙了員工離開當(dāng)前工作崗位—。雇主福利正在縮水。為專業(yè)發(fā)展培訓(xùn)支付費(fèi)用的雇主減少，比去年的調(diào)查結(jié)果下降了7個百分點(diǎn)。提供彈性工作時(shí)間的雇主今年也出現(xiàn)類52024年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡(luò)安全運(yùn)營更新報(bào)告·網(wǎng)絡(luò)安全實(shí)踐經(jīng)驗(yàn)繼續(xù)成為確定候選人是否合格的主要因素。雖然對資格證書和實(shí)踐培訓(xùn)的看法沒有變化，但受訪者對前雇主推薦和大學(xué)學(xué)位的重視程度降低。受訪者報(bào)告協(xié)會會員資·利用培訓(xùn)讓有興趣的非安全專業(yè)人員轉(zhuǎn)向安全崗位以及增加使用承包商或顧問仍然是彌補(bǔ)網(wǎng)絡(luò)安全技術(shù)技能差距的主要措施。培訓(xùn)減少了4個百分點(diǎn)，而使用承包商或顧問的比例增加了2個百分點(diǎn)。繼去年下降之后，通過增加采用AI或自動化來解決人員短缺問題回升至23%。使用學(xué)徒或?qū)嵙?xí)生減少了3個百分點(diǎn)。·今年網(wǎng)絡(luò)安全資金水平大幅下降，其逐年遞減顯示出多年下跌的跡象。只有36%的受訪者表示他們的網(wǎng)絡(luò)安全預(yù)算資金充足，44%的受訪者認(rèn)為他們的預(yù)算資金略顯不足—增加了4個百分點(diǎn)。只有47%的受訪者認(rèn)為預(yù)算會增加，41%的受訪者報(bào)告預(yù)算將保持平穩(wěn)。13%的受訪者預(yù)計(jì)明年預(yù)算將縮減持這一觀點(diǎn)的受訪者比例自2022年以來逐年增加。調(diào)查方法2024年第二季度，ISACA向全球網(wǎng)絡(luò)安全專業(yè)人這些專業(yè)人士持有ISACA頒發(fā)的注冊信息安全經(jīng)理(CISM)認(rèn)證或擁有在信息安全領(lǐng)域注冊的職調(diào)查使用多項(xiàng)選擇和李克特量表格式，向受訪者提·威脅態(tài)勢數(shù)據(jù)幾乎沒有變化，但有兩點(diǎn)例外：歸因于非惡意內(nèi)部人員的攻擊下降至9%,這是內(nèi)部威脅與網(wǎng)絡(luò)安全教育和意識培訓(xùn)項(xiàng)目的一個可接受指標(biāo)。選擇“不適用”答案的受訪者減少了5個百分點(diǎn)，考慮到日益復(fù)雜的威脅·近一半的受訪者不知道所在企業(yè)投保的網(wǎng)絡(luò)保險(xiǎn)種類。從地區(qū)角度來看，57%的大洋洲受訪者不了解所在企業(yè)投保的網(wǎng)絡(luò)保險(xiǎn)類型，其次是北美(49%)和歐洲(43%)。檢測/響應(yīng)(28%)和終端安全(27%)是最受歡迎的AI應(yīng)用。18%的受訪者選擇不回答。報(bào)告親自或團(tuán)隊(duì)成員參與AI解決方案的開發(fā)、引入或?qū)嵤┑氖茉L者數(shù)量令人沮喪。近一半(45%)報(bào)告沒有參與。受訪者參與AI治理政共有1,868名受訪者完整完成了調(diào)查，他們的回答均已被納入調(diào)查結(jié)果?！?%。調(diào)查數(shù)據(jù)匿名收集，每個問題的回復(fù)率各在所有1,868名受訪者中，47%表示網(wǎng)絡(luò)安全是他們的主要專業(yè)責(zé)任領(lǐng)域。圖1顯示了來自102個國家和地區(qū)的受訪者的人口統(tǒng)計(jì)信息。圖2進(jìn)一步說明了調(diào)查回復(fù)的廣度，顯示受訪者代表了17個以上的行業(yè)。行業(yè)主要責(zé)任領(lǐng)域：金融/銀行就職于至少有名員工的企業(yè)金融/銀行就職于至少有名員工的企業(yè)網(wǎng)絡(luò)安全管理3IT風(fēng)險(xiǎn)管理網(wǎng)絡(luò)安全從業(yè)者政府/軍事網(wǎng)絡(luò)安全從業(yè)者(國家/州/地方)72024年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡(luò)安全運(yùn)營更新報(bào)告%%25%金融/銀行%%%請說明貴組織所在主要行業(yè)。%%25%金融/銀行%%%技術(shù)服務(wù)/咨詢政府/軍事(國家/州/地方)政府/軍事(國家/州/地方)其他544其他544醫(yī)療保健/醫(yī)療醫(yī)療保健/醫(yī)療制造/工程制造/工程保險(xiǎn)零售/批發(fā)/分銷%%電信/通信電信/通信公用事業(yè)公用事業(yè)運(yùn)輸?shù)V業(yè)/建筑/石油/農(nóng)業(yè)運(yùn)輸?shù)V業(yè)/建筑/石油/農(nóng)業(yè)11公共會計(jì)公共會計(jì)航空航天航空航天法務(wù)/律師/房地產(chǎn)法務(wù)/律師/房地產(chǎn)廣告/市場營銷/媒體廣告/市場營銷/媒體制藥制藥0%10%20%30%40%50%60%70%82024年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡(luò)安全運(yùn)營更新報(bào)告網(wǎng)絡(luò)安全勞動力挑戰(zhàn)人員配置連續(xù)第三年，ISACA調(diào)查受訪者中管理工作經(jīng)驗(yàn)不足三年的安全人員的比例保持不變(44%)。與此同時(shí)，2023年關(guān)注的勞動力老齡化趨勢正在惡化。今年，45-54歲年齡組的受訪者(34%)超過了35-44歲年齡組(30%)。34歲及以下受訪者的比例沒有改善(見圖3)。受訪者報(bào)告人員配備情況略有改善(見圖4)。38%的受訪者認(rèn)為其網(wǎng)絡(luò)安全團(tuán)隊(duì)人員配置適當(dāng)，較去年的結(jié)果高出2個百分點(diǎn)。報(bào)告網(wǎng)絡(luò)安全團(tuán)隊(duì)人員略顯不足的受訪者比去年減少了3個百分點(diǎn)。進(jìn)一步分析顯示，人員配置水平與企業(yè)是否使用AI來緩解短缺之間沒有關(guān)系。圖3:勞動力，按年齡劃分請選擇您的年齡。25-3434%32%9%55-643%65+2%4%4%5%30%40%50%60%70%80%90%100%選擇不回答0%10%45-5435-4420%242023202292024年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡(luò)安全運(yùn)營更新報(bào)告圖4:網(wǎng)絡(luò)安全人員配備您如何描述貴組織網(wǎng)絡(luò)安全團(tuán)隊(duì)的當(dāng)前人員配備情況?人員嚴(yán)重不足43%人員略顯不足46%人員配備適當(dāng)36%人員略顯過剩人員嚴(yán)重過剩不適用20242023人員保留與去年的結(jié)果相比，人員保留率保持穩(wěn)定，這體現(xiàn)化許多人認(rèn)為這種模式反映了廣泛的經(jīng)濟(jì)不確定性和地緣政治格局。3區(qū)域數(shù)據(jù)揭示了各地區(qū)的顯著差異，北美在保留人才方面報(bào)告的困難最小(見圖5)。無論個人是選擇留在原地還是尋求新機(jī)會，受訪者的數(shù)據(jù)都證實(shí)了ISACA此前調(diào)查結(jié)果中觀察到的趨勢：任何形式的不確定性通常都會伴隨著更高的人員保留率(見圖6)。66%的受訪者表示，他們目前的職業(yè)壓力水平比五年前更高。當(dāng)被問及為什么他們的角色更有壓力時(shí)，81%的受訪者將其歸因于日益復(fù)雜的威脅環(huán)境(見圖7)。2Kalser,A;“員工選擇留任——但這種情況會持續(xù)多久?”,HRDIVE,3PoliteMail,“大留任如何取代大辭職”,2024年3月13日圖5:按地區(qū)劃分的人員保留難度4非洲非洲中國歐洲印度拉丁美洲北美大洋洲其他亞洲地區(qū)圖6:人員保留難度變化(2019-2024)?201920202024202120235該圖顯示了2019年至2024年期間“是”回答的百分比。112024年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡(luò)安全運(yùn)營更新報(bào)告請告訴我們，為什么您的角色現(xiàn)在比5年前更有壓力。45%45%員工培訓(xùn)/技能不足網(wǎng)絡(luò)安全風(fēng)險(xiǎn)未被優(yōu)先考慮34%預(yù)算太低招聘/人員保留挑戰(zhàn)惡化威脅環(huán)境日益復(fù)雜0%10%20%30%40%50%60%70%80%90%100%職位空缺46%的調(diào)查受訪者報(bào)告他們的企業(yè)有非入門級網(wǎng)絡(luò)安全職位空缺，比去年下降4個百分點(diǎn)。18%的受訪者企業(yè)有入門級職位空缺，比2023年下降3個百分點(diǎn)(見圖8)。同樣值得注意的是，報(bào)告沒有空缺職位的受訪者比例比去年增加了3個百分點(diǎn)。填補(bǔ)職位空缺所需時(shí)間受訪者報(bào)告，填補(bǔ)入門級和非入門級職位的時(shí)間與2023年報(bào)告的時(shí)間幾乎沒有差異。唯一的變化是報(bào)告需要三到六個月時(shí)間填補(bǔ)非入門級職位的比例略有增加，增加了2個百分點(diǎn)(2023年為38%)(見圖9)。圖8:未填補(bǔ)的職位貴組織是否有未填補(bǔ)的(空缺的)網(wǎng)絡(luò)安全職位?請選擇所有適用的選項(xiàng)。46%46%非入門級職位50%入門級職位21%沒有空缺職位35%不知道40%50%60%70%80%90%100%20%30%38%0%20242023122024年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡(luò)安全運(yùn)營更新報(bào)告圖9:填補(bǔ)網(wǎng)絡(luò)安全職位所需時(shí)間平均而言，貴組織需要多長時(shí)間才能用合格候選人填補(bǔ)網(wǎng)絡(luò)安全職位?4%4%<1個月1個月4%<2個月3-6個月>6個月27%無法填補(bǔ)空缺職位不適用不知道40%50%60入門級非入門級分析空缺職位技術(shù)型非管理類網(wǎng)絡(luò)安全職位仍然是空缺職位中的最高類別(見圖10),但今年的真實(shí)情況可以在圖11和圖12中個人貢獻(xiàn)者和管理類崗位的縱向數(shù)據(jù)中看到。非技術(shù)個人貢獻(xiàn)者的職位大幅下降分別下降了13和9個百分點(diǎn)。網(wǎng)絡(luò)安全經(jīng)理職位下降了9個百分點(diǎn)(從60%),降至網(wǎng)絡(luò)安全狀調(diào)查數(shù)據(jù)顯示，技術(shù)和非技術(shù)個人貢獻(xiàn)者職位空缺急劇下降。網(wǎng)絡(luò)安全經(jīng)理職位下降了9個百分點(diǎn)，至網(wǎng)絡(luò)安全狀況調(diào)查報(bào)告發(fā)布以來的最況調(diào)查報(bào)告發(fā)布以來的最低水平。高級經(jīng)理/總監(jiān)級職位的空缺連續(xù)第三年下降至40%。網(wǎng)絡(luò)安全高管職位也有所下降，但僅略降至28%(從31%)。未來需求多年來，對技術(shù)個人貢獻(xiàn)者的需求一直很高，盡管對這一職位的未來需求仍然很高，但去年有所下降，并繼續(xù)下降(下降5個百分點(diǎn))至網(wǎng)絡(luò)安全狀況調(diào)查報(bào)告發(fā)布以來的最低水平(見圖13)。132024年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡(luò)安全運(yùn)營更新報(bào)告圖10:特定組織級別的未填補(bǔ)職位百分比貴組織在以下級別有多少未填補(bǔ)(空缺)的網(wǎng)絡(luò)安全職位?個人貢獻(xiàn)者/技術(shù)類網(wǎng)絡(luò)安全個人貢獻(xiàn)者/非技術(shù)類網(wǎng)絡(luò)安全30%網(wǎng)絡(luò)安全經(jīng)理21%網(wǎng)絡(luò)安全高級經(jīng)理/總監(jiān)21%網(wǎng)絡(luò)安全高管(如首席信息安全官)0%10%20%30%40%5圖10:未填補(bǔ)職位報(bào)告?zhèn)€人貢獻(xiàn)者(2018-2024)660%50%40%30%20%2018201920232024202020212022●個人貢獻(xiàn)者/技術(shù)類網(wǎng)絡(luò)安全個人貢獻(xiàn)者/非技術(shù)類網(wǎng)絡(luò)安全6該圖比較了2018年至2024年調(diào)查結(jié)果中報(bào)告的未填補(bǔ)職位數(shù)據(jù)。百分比代表每個職位所有報(bào)告的空缺百分比之和，不包括“不知道”和“無”的回答。圖12:未填補(bǔ)職位報(bào)告——管理層(2018-2024)7●●網(wǎng)絡(luò)安全經(jīng)理●網(wǎng)絡(luò)安全高級經(jīng)理/總監(jiān)●網(wǎng)絡(luò)安全高管(如首席信息安全官)61%51%43%40%31%28%0%2021202240%44%29%28%36%31%36%63%60%63%56%51%55%2019202420202023201847%在未來一年，您認(rèn)為以下級別的網(wǎng)絡(luò)安全職位需求會增加、減少還是保持不變?73%73%23%3%45%46%48%網(wǎng)絡(luò)安全經(jīng)理38%網(wǎng)絡(luò)安全高級經(jīng)理/總監(jiān)32%網(wǎng)絡(luò)安全高管(如首席信息安全官)6%0%個人貢獻(xiàn)者/技術(shù)類網(wǎng)絡(luò)安全個人貢獻(xiàn)者/非技術(shù)類網(wǎng)絡(luò)安全60%70%80%90%100%20%30%40%47%63%56%●增加●不變●減少7該圖比較了2018年至2024年調(diào)查結(jié)果中報(bào)告的未填補(bǔ)職位數(shù)據(jù)。百分比代表每個職位所有報(bào)告的空缺百分比之和，不包括”不知道“和“無"的回答。152024年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡(luò)安全運(yùn)營更新報(bào)告非技術(shù)個人貢獻(xiàn)者和網(wǎng)絡(luò)安全經(jīng)理職位的未來需求保持不變，而網(wǎng)絡(luò)安全高管職位的未來需求報(bào)告略有增加，各增加2個百分點(diǎn)。值得注意的是，技術(shù)和非技術(shù)個人貢獻(xiàn)者在這七年間的趨勢非常相似。圖14顯示了這個問題的歷史視圖。圖14:招聘需求趨勢(2018-2024)●個人貢獻(xiàn)者/技術(shù)類網(wǎng)絡(luò)安全●●個人貢獻(xiàn)者/技術(shù)類網(wǎng)絡(luò)安全●個人貢獻(xiàn)者/非技術(shù)類網(wǎng)絡(luò)安全●網(wǎng)絡(luò)安全經(jīng)理●網(wǎng)絡(luò)安全高級經(jīng)理/總監(jiān)●網(wǎng)絡(luò)安全高管(如首席信息70%50%30%20%20232019202420222020202180%人員流失如前所述，行業(yè)報(bào)告表明，經(jīng)濟(jì)狀況正在阻止員工離開當(dāng)前崗位——至少在美國是如此。然而，人員流失無法完全避免。雖然網(wǎng)絡(luò)安全行業(yè)歷來偏愛高素質(zhì)的求職者，但今年的數(shù)據(jù)反映出網(wǎng)絡(luò)安全專業(yè)人員離職的前兩大主要原因大幅下降(見圖15)。被其他公司挖角和財(cái)務(wù)激勵不足仍然是網(wǎng)絡(luò)安全專業(yè)人員離職的最大感知原因各占50%。因高工作壓力離職增加了3個百分點(diǎn)(46%),這是對去年輕微下降的反彈。高工作壓力現(xiàn)在與晉升和發(fā)展機(jī)會有限并列，后者比一年前下降2個百分點(diǎn)。雇主與員工之間關(guān)于重返辦公室辦公的持續(xù)爭議可能導(dǎo)致比去年更多的受訪者將遠(yuǎn)程工作可能性有限視為離職原因，比2023年增加了4個百分點(diǎn)，自2022年以來累計(jì)增加了8個百分點(diǎn)。雇主福利正在減少2024年的調(diào)查數(shù)據(jù)顯示，雇主福利正在收緊(見圖16)。受訪者報(bào)告專業(yè)發(fā)展培訓(xùn)大幅削減(下降7個百分點(diǎn)),提供彈性工作時(shí)間的雇主下降6個百分點(diǎn)。當(dāng)企業(yè)尋求節(jié)省成本時(shí)，專業(yè)發(fā)展預(yù)算通常會被削減。削減這項(xiàng)預(yù)算的原因尚不確定，但可能包括不明確的商業(yè)價(jià)值。8關(guān)于雇主福利的有利報(bào)告是，雇主仍在支付員工認(rèn)證費(fèi)用，大學(xué)學(xué)費(fèi)報(bào)銷略有增加。clear-business-value/圖15:網(wǎng)絡(luò)安全專業(yè)人員離職的原因您認(rèn)為以下哪些因素導(dǎo)致網(wǎng)絡(luò)安全專業(yè)人員離開當(dāng)前工作?被其他公司挖角晉升和發(fā)展機(jī)會有限58%46%工作壓力大缺乏管理層支持工作文化/環(huán)境差遠(yuǎn)程工作機(jī)會有限工作政策不靈活21%使用最新技術(shù)(如AI)的機(jī)會有限家庭情況變化(如生子、結(jié)婚)退休希望在新行業(yè)工作轉(zhuǎn)換職業(yè)(如完全離開網(wǎng)絡(luò)安全行業(yè))缺乏工作場所多樣性不知道其他(請說明)您的雇主提供以下哪些福利?請選擇所有適用項(xiàng)。支付員工職業(yè)認(rèn)證費(fèi)用65%64%%彈性工作時(shí)間大學(xué)學(xué)費(fèi)報(bào)銷28%帶薪志愿者時(shí)間21%招聘獎金簽約獎金以上都不是10%20%支付員工證書維持費(fèi)用職業(yè)發(fā)展培訓(xùn)%人才儲備進(jìn)展合格的申請者受訪者對候選人是否勝任空缺職位的看法略有上升9,比去年增加了2個百分點(diǎn)，達(dá)到28%(見圖17)。圖18顯示，此前的網(wǎng)絡(luò)安全實(shí)踐經(jīng)驗(yàn)仍然是確定候選人是否被認(rèn)為合格的主要因素(73%)。對資格證書和實(shí)踐培訓(xùn)的看法保持不變。受訪者對前雇主推薦和大學(xué)學(xué)位的重視程度比去年低各下降3個百分點(diǎn)。令人驚訝的是，協(xié)會會員資格的重要性上升了4個受訪者報(bào)告，雖然軟技能繼續(xù)主導(dǎo)所有其他技能差距(51%),但軟技能比去年的調(diào)查結(jié)果下降了4個百分點(diǎn)。受訪者報(bào)告在云技能方面有9根據(jù)50-75%和76-100%兩類回答的組合得出。圖17:合格的網(wǎng)絡(luò)安全工作申請人百分比平均而言，有多少網(wǎng)絡(luò)安全工作申請人完全勝任他們申請的職位?24%26%22%76-100%6%不知道5%20%30%40%50%60%70%80%90%不適用26-49%50-75%圖18:候選人資質(zhì)以下因素在確定網(wǎng)絡(luò)安全候選人是否合格方面有多重要?22%此前的網(wǎng)絡(luò)安全實(shí)踐經(jīng)驗(yàn)2%資格證書7%27%實(shí)踐培訓(xùn)15%2%20%46%25%雇主推薦25%大學(xué)學(xué)位協(xié)會會員資格4%●非常重要●有些重要21%23%●不太重要46%40%50%60%70%80%●完全不重要●不知道90%計(jì)算(下降5個百分點(diǎn))、編碼(下降3個百分點(diǎn))以及軟件開發(fā)相關(guān)主題、數(shù)據(jù)相關(guān)主題和模式分析(各下降2個百分點(diǎn))方面有所改善。安全控制(35%)、網(wǎng)絡(luò)運(yùn)營(21%)和計(jì)算設(shè)備(10%)保持不變。2024年新增了兩個選項(xiàng)LMSecOps和MLSecOps。24%的受訪者選擇了這些技能差距(見圖19)。圖19:量化的技能差距您認(rèn)為當(dāng)今網(wǎng)絡(luò)安全專業(yè)人員最大的技能差距是什么?軟技能(如溝通、靈活性、領(lǐng)導(dǎo)力)云計(jì)算安全控制(如端點(diǎn)、網(wǎng)絡(luò)、應(yīng)用程序)實(shí)施軟件開發(fā)相關(guān)主題(如語言、機(jī)器代碼、測試、部署)編碼技能數(shù)據(jù)相關(guān)主題(如特征、分類、處理、結(jié)構(gòu))26%網(wǎng)絡(luò)相關(guān)主題(如架構(gòu)、26%尋址、網(wǎng)絡(luò)組件)24%LLMSecOps24%24%MLSecOps24%22%系統(tǒng)加固22%網(wǎng)絡(luò)運(yùn)營(如配置、性能監(jiān)控)模式分析計(jì)算設(shè)備(如硬件、軟件、文件系統(tǒng))不知道4%其他(請說明)4%10%20%30%40%50%60%70%80%10%20%30%40%50%大學(xué)洞察受訪者對應(yīng)屆大學(xué)畢業(yè)生是否為企業(yè)網(wǎng)絡(luò)安全挑戰(zhàn)做好準(zhǔn)備的看法與去年相比沒有變化(見圖20),但要求申請入門級網(wǎng)絡(luò)安全職位的申請人擁有學(xué)位的受訪者企業(yè)比例(見圖21)增加了3個百分點(diǎn)(55%)。當(dāng)被問及應(yīng)屆大學(xué)畢業(yè)生的技能差距時(shí)，受訪者的看法不一，但軟技能和安全控制仍然是受訪者觀察到的兩大技能差距(見圖22)。為了跟上安全運(yùn)營的進(jìn)展，2024年的調(diào)查在技能差距問題的答案選項(xiàng)中添加了MLSecOps和LLMSecOps。17%的受訪者認(rèn)為這些是技能差距。不同區(qū)域?qū)Υ髮W(xué)學(xué)位的要求各不相同。非洲對學(xué)位要求的比例上升了7個百分點(diǎn)(76%),這可能是由于樣本量小。歐洲受訪者繼續(xù)不愿要求入門級網(wǎng)絡(luò)安全職位必須具有大學(xué)學(xué)位，報(bào)告比例再次小幅下降(43%)。歐洲僅次于大洋洲(38%)。圖20:網(wǎng)絡(luò)安全學(xué)位信心您在多大程度上同意或不同意應(yīng)屆網(wǎng)絡(luò)安全專業(yè)的大學(xué)畢業(yè)生為貴組織的網(wǎng)絡(luò)安全挑戰(zhàn)做好了準(zhǔn)備?強(qiáng)烈同意強(qiáng)烈同意同意不同意強(qiáng)烈不同意不知道23%4%貴組織通常是否要求持有大學(xué)學(xué)位的候選人來填補(bǔ)入門級網(wǎng)絡(luò)安全職位?35%40%50%C2024ISACA。版權(quán)所有。圖22:應(yīng)屆畢業(yè)生的技能差距10您在應(yīng)屆畢業(yè)生中注意到以下哪些技能差距?軟技能(如溝通、靈活性、領(lǐng)導(dǎo)力)安全控制(如端點(diǎn)、網(wǎng)絡(luò)、應(yīng)用程序)網(wǎng)絡(luò)相關(guān)主題網(wǎng)絡(luò)組件)網(wǎng)絡(luò)運(yùn)營(如配置、性能監(jiān)控)系統(tǒng)加固數(shù)據(jù)相關(guān)主題軟件開發(fā)相關(guān)主題(如語言、機(jī)器代碼、測試、部署)模式分析編碼技能計(jì)算設(shè)備文件系統(tǒng))64%68%66%64%56%39%34%41%33%40%25%25%25%24%30%20%20%其他(請說明)C2024ISACA。版權(quán)所有。2024年，報(bào)告的前三大安全技能發(fā)生了變化(見圖23)。數(shù)據(jù)保護(hù)(46%)超過了身份和訪問管理(45%),而事件響應(yīng)(44%)在今年的調(diào)查結(jié)果中排名高于云計(jì)算(43%)。DevSecOps下降8個百分點(diǎn)(28%);數(shù)據(jù)收集/關(guān)聯(lián)(30%)和威脅狩獵(26%)下降3個百分點(diǎn)；取證下降2個百分點(diǎn)(18%)。10%的受訪關(guān)于安全專業(yè)人員所需軟技能的受訪者報(bào)告(見圖24)顯示，溝通(包括傾聽和口語技能)(56%)、批判性思維(54%)和問題解決(50%)仍然是前三大所需軟技能。調(diào)查結(jié)果顯示道德方面存在令人擔(dān)憂的趨勢——對細(xì)節(jié)的關(guān)注(35%)自2022年以來下降了3個百分點(diǎn)，誠實(shí)(15%)繼續(xù)未被認(rèn)為足夠重要，同理心(11%)下降了2個百分點(diǎn)。調(diào)查結(jié)果顯示道德方面存在令人擔(dān)憂的趨勢——對細(xì)節(jié)的關(guān)注自2022年以來下降了3個百分點(diǎn)，誠實(shí)繼續(xù)未被認(rèn)為足夠重要，同理心下降了2個百分點(diǎn)。按職業(yè)階段劃分的職業(yè)發(fā)展需求控制(58%)、軟技能(55%)和云計(jì)算(44%)。安全控制和軟技能比2023年的調(diào)查結(jié)果分別提高了3和5個百分點(diǎn)。當(dāng)將這個職業(yè)生涯早期群體與大學(xué)畢業(yè)生和更有經(jīng)驗(yàn)的人進(jìn)行比較時(shí)(見圖25),許多培訓(xùn)領(lǐng)域都出現(xiàn)了一個普遍主題隨著個人在職業(yè)生涯中的進(jìn)步，熟練程度顯著提高，這是合乎邏輯的。這一現(xiàn)象在云計(jì)算、軟件開發(fā)相關(guān)主題、編碼、MLSecOps和LLMSecOps方面出現(xiàn)了分歧，因?yàn)樘幱诼殬I(yè)生涯早期的專業(yè)人士被認(rèn)為比在他們之前和之后的職業(yè)群體具有更高的熟練度。在職業(yè)發(fā)展預(yù)算經(jīng)常成為成本節(jié)省目標(biāo)的時(shí)代，這一觀察強(qiáng)調(diào)了持續(xù)學(xué)習(xí)/技能提升的需求—特別是對那些在網(wǎng)絡(luò)安全行業(yè)工作時(shí)間較長的員工而言，尤其是在新興技術(shù)方面。人力資本緩解措施41%的受訪者表示，他們的企業(yè)利用培訓(xùn)讓有興趣的非安全專業(yè)人員轉(zhuǎn)向安全角色，作為緩解技能差距的一種方法。受訪者報(bào)告減少使用承包商或外部顧問(36%)來幫助減少技能差距。在經(jīng)歷了2023年的大幅下降后，對人工智能或自動化的依賴反彈至23%。再培訓(xùn)計(jì)劃(21%)、基于績效的培訓(xùn)和資格認(rèn)證(19%)保持不變，而學(xué)徒計(jì)劃的使用(16%)下滑了3個百分點(diǎn)(見圖26)。232024年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡(luò)安全運(yùn)營更新報(bào)告圖23:五大安全技能請選擇貴組織當(dāng)前最需要的五大最重要安全技能。云計(jì)算(如IDS、IPS、UTM)(如SIEM、SOAR)終端安全(如EDR、XDR)DevSecOpsLLMSecOps虛擬化請選擇貴組織安全專業(yè)人員當(dāng)前最需要的五大最重要軟技能。溝通(包括傾聽和口語技能)溝通(包括傾聽和口語技能)批判性思維批判性思維問題解決49%問題解決49%44%團(tuán)隊(duì)合作5%44%對細(xì)節(jié)的關(guān)注36%對細(xì)節(jié)的關(guān)注適應(yīng)變化的能力適應(yīng)變化的能力29%決策能力決策能力態(tài)度27%態(tài)度24%28%領(lǐng)導(dǎo)品質(zhì)26%領(lǐng)導(dǎo)品質(zhì)29%27%時(shí)間管理25%時(shí)間管理27%25%職業(yè)道德25%職業(yè)道德23%寫作技能23%寫作技能22%21%沖突解決22%沖突解決22%誠實(shí)誠實(shí)同理心同理心10%20%30%40%50%60%70%2024●2023●2022圖25:按職業(yè)階段劃分的專業(yè)發(fā)展需求11安全控制(如端點(diǎn)、網(wǎng)絡(luò)、應(yīng)用程序)實(shí)施軟技能(如溝通、批判性思維、靈活性、領(lǐng)導(dǎo)力)云計(jì)算42%網(wǎng)絡(luò)相關(guān)主題(如架構(gòu)、尋址、網(wǎng)絡(luò)組件)網(wǎng)絡(luò)運(yùn)營(如配置、性能監(jiān)控)系統(tǒng)加固數(shù)據(jù)相關(guān)主題(如特征、分類、收集、處理、結(jié)構(gòu))軟件開發(fā)相關(guān)主題(如語言、機(jī)器代碼、測試、部署)編碼技能計(jì)算設(shè)備(如硬件、軟件、文件系統(tǒng))MLSecOpsLLMSecOps其他28%21%28%21%4%●大學(xué)畢業(yè)生●早期職業(yè)者●當(dāng)前的勞動力11此圖是基于受訪者對大學(xué)畢業(yè)生、早期職業(yè)者和所有其他人最需要的專業(yè)發(fā)展/培訓(xùn)領(lǐng)域的看法的比較分析。圖26:緩解技術(shù)技能差距的方法您的組織采取了以下哪些措施來幫助減少網(wǎng)絡(luò)安全技術(shù)技能差距?請選擇所有適用項(xiàng)。41%41%45%45%42%23%25%21%21%21%20%20%22%4%2%其他0%10%20%30%40%50%60%70%80%90%100%增加基于績效的培訓(xùn)以證明實(shí)際技能掌握程度增加對證書的重視以證明實(shí)際的專業(yè)知識培訓(xùn)非安全人員，讓有興趣的人轉(zhuǎn)入安全崗位增加對人工智能或自動化的使用增加合同工或外部顧問的使用增加再培訓(xùn)項(xiàng)目的使用組織沒有技能差距學(xué)徒/實(shí)習(xí)機(jī)會什么都沒做20242023●2022組織繼續(xù)主要通過在線學(xué)習(xí)網(wǎng)站(54%)來提升員工的非技術(shù)技能。公司培訓(xùn)活動增加了2個百分點(diǎn)(44%),而導(dǎo)師指導(dǎo)(43%)比2023年的調(diào)查結(jié)果下降了3個百分點(diǎn)。圖27顯示了雇主為彌補(bǔ)軟技能不足所采取的行動。圖27:緩解非技術(shù)技能差距的方法您的組織采取了以下哪些措施來幫助減少非技術(shù)技能差距?請選擇所有適用項(xiàng)。4%42%43%46%45%學(xué)術(shù)學(xué)費(fèi)報(bào)銷24%什么都沒做4%組織沒有非技術(shù)技能差距3%40%50%60%70%80%90%100%在線學(xué)習(xí)網(wǎng)站(例如LinkedIn公司培訓(xùn)活動導(dǎo)師指導(dǎo)20%30%其他20%3%網(wǎng)絡(luò)安全預(yù)算在下降在受訪者連續(xù)兩年強(qiáng)烈認(rèn)為預(yù)算資金充足后，數(shù)據(jù)顯示網(wǎng)絡(luò)安全資金水平出現(xiàn)顯著下降(見圖28)。36%的受訪者表示他們的預(yù)算資金充足，比去年下降了5個百分點(diǎn)；44%的受訪者認(rèn)為他們的預(yù)算資金略顯不足，增加了4個百分點(diǎn)。當(dāng)被問及預(yù)算在未來12個月內(nèi)如何變化時(shí)，受訪者的數(shù)據(jù)顯得暗淡(見圖29)。只有47%的受訪者認(rèn)為預(yù)算會增加(下降4個百分點(diǎn)),而41%(增加3個百分點(diǎn))的受訪者表示預(yù)算將保持不變。13%的受訪者預(yù)計(jì)明年預(yù)算將縮減持這一觀點(diǎn)的受訪者比例自2022年以來逐年增加。企業(yè)安全預(yù)算的9年展望不再顯示平穩(wěn)，而是顯示可能出現(xiàn)多年下跌(見圖30)。圖28:對網(wǎng)絡(luò)安全資金的看法資金顯著超額資金略顯超額資金適當(dāng)資金略顯不足資金顯著不足44%圖29:企業(yè)安全預(yù)算展望您的組織的網(wǎng)絡(luò)安全預(yù)算在未來12個月內(nèi)將如何變化(如有)?顯著增加7%42%略微增加保持不變略微減少略微減少2%顯著減少顯著減少0%10%●2024●2023202220212020292024年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡(luò)安全運(yùn)營更新報(bào)告圖30:預(yù)測安全預(yù)算增加(9年)90%80%70%58%55%51%50%40%30%20%201864%47%2017201920232022202420162020與一年前相比，受訪者組織經(jīng)歷的網(wǎng)絡(luò)攻擊增受訪者組織應(yīng)對網(wǎng)絡(luò)威脅能力的信心水平與2023年相比沒有顯著變化(見圖32)。圖31:網(wǎng)絡(luò)安全攻擊報(bào)告的同比比較1290%80%48%40%28%30%0%更多攻擊相同數(shù)量的攻擊更少攻擊20182019202062%55%7%12此圖省略了“我不知道”和“選擇不回答”的回復(fù)。圖32:組織信心您對貴組織的網(wǎng)絡(luò)安全團(tuán)隊(duì)在檢測和應(yīng)對網(wǎng)絡(luò)威脅方面的整體信心如何?信心不大不知道選擇不回答非常有信心有些信心完全有信心2%近一半的受訪者認(rèn)為他們的企業(yè)明年將遭遇網(wǎng)絡(luò)攻擊(見圖33),這與去年的調(diào)查結(jié)果相似。圖33:攻擊的可能性您認(rèn)為貴組織明年遭遇網(wǎng)絡(luò)攻擊的可能性如何?關(guān)于威脅行為者的數(shù)據(jù)幾乎與去年的數(shù)據(jù)相同，4%且與前幾年的調(diào)查結(jié)果一致(見圖34),只有兩處小差異。非惡意內(nèi)部攻擊的比例下降了2個百分點(diǎn)(9%),這是一個可以接受的指標(biāo)，可能歸因于網(wǎng)絡(luò)安全培訓(xùn)、意識提升計(jì)劃和內(nèi)部威脅意識教育。4%選擇“不適用”答案的受訪者減少了3個百分點(diǎn)至28%20%23%,考慮到日益復(fù)雜的威脅環(huán)境，這并不令人驚20%近一半的受訪者認(rèn)為他們的企業(yè)明年將遭遇網(wǎng)絡(luò)攻擊。社交工程作為攻擊手段的使用增加了4個百分點(diǎn)(19%),仍然是主要的攻擊類型。圖35顯示了黑客成功攻擊受訪者企業(yè)的攻擊類型。非常可能不知道●非常不可能圖34:威脅行為者28%28%黑客國家/政府惡意內(nèi)部人員黑客活動分子非惡意內(nèi)部人員不適用選擇不回答不知道其他0%網(wǎng)絡(luò)犯罪分子50%70%關(guān)于威脅行為者的數(shù)據(jù)幾乎與去年的數(shù)據(jù)相同，且與前幾年關(guān)于威脅行為者的數(shù)據(jù)幾乎與去年的數(shù)據(jù)相同，且與前幾年的調(diào)查結(jié)果一致。非惡意內(nèi)部攻擊的比例下降了2個百分點(diǎn)，這是一個可以接受的指標(biāo)，可能歸因于網(wǎng)絡(luò)安全培訓(xùn)、意識提升計(jì)劃和內(nèi)部威脅意識教育。社交工程作為攻擊手段的使用增加了4個百分點(diǎn)，仍然是主要的攻擊類型。322024年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡(luò)安全運(yùn)營更新報(bào)告圖35:攻擊類型如果貴組織在今年受到攻擊，對方使用了以下哪些攻擊類型?請選擇所有適用項(xiàng)。社會工程學(xué)惡意軟件拒絕服務(wù)(DoS)未修補(bǔ)系統(tǒng)第三方零日漏洞利用敏感數(shù)據(jù)泄露安全配置錯誤高級持續(xù)性威脅(APT)密碼攻擊訪問控制缺陷身份認(rèn)證缺陷跨站腳本內(nèi)部竊取中間人攻擊移動設(shè)備物理丟失移動惡意軟件物聯(lián)網(wǎng)攻擊其他網(wǎng)絡(luò)攻擊方式加密劫持不安全的反序列化利用本地資源(LOTL)水坑攻擊不適用選擇不回答不知道0%網(wǎng)絡(luò)風(fēng)險(xiǎn)受訪者對其董事會是否充分重視網(wǎng)絡(luò)安全的看法今年保持不變。56%的受訪者認(rèn)為他們的董事會充分重視企業(yè)網(wǎng)絡(luò)安全。9%的受訪者所在企業(yè)的高管團(tuán)隊(duì)認(rèn)為進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評估沒有價(jià)值(見圖36),這在當(dāng)前網(wǎng)絡(luò)攻擊頻發(fā)的時(shí)代令人驚訝。41%的受訪企業(yè)每年進(jìn)行一次網(wǎng)絡(luò)風(fēng)險(xiǎn)評估(見圖37),比去年增加了2個百分點(diǎn)。除了“不知道”選項(xiàng)外，其他所有選項(xiàng)都保持不變。選擇“不知道”的受訪者比例比去年的調(diào)查結(jié)果下降了3個百分點(diǎn)。企業(yè)在進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評估時(shí)面臨許多障礙。受這些障礙影響的受訪企業(yè)比例與去年基本持平。時(shí)間投入仍然是關(guān)鍵(41%);然而，內(nèi)部缺乏專業(yè)知識的比例增加了2個百分點(diǎn)(24%),由于缺乏資金而無法外包給第三方的比例則比2023年增加了4個百分點(diǎn)(18%)。圖36:高管層價(jià)值認(rèn)知您的高管團(tuán)隊(duì)是否認(rèn)為進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評估有價(jià)值?圖37:網(wǎng)絡(luò)風(fēng)險(xiǎn)評估頻率您的組織多久進(jìn)行一次網(wǎng)絡(luò)風(fēng)險(xiǎn)評估?2%2%每月20%每7-12個月每1-2年2年或以上不知道每1-6個月從不每年網(wǎng)絡(luò)保險(xiǎn)2024年網(wǎng)絡(luò)安全現(xiàn)狀調(diào)查中增加了關(guān)于網(wǎng)絡(luò)保險(xiǎn)的主題。網(wǎng)絡(luò)保險(xiǎn)相關(guān)問題詢問了受訪者對其企業(yè)購買的網(wǎng)絡(luò)保險(xiǎn)類型的了解，保單是否足以應(yīng)對網(wǎng)絡(luò)風(fēng)險(xiǎn)，以及他們的企業(yè)網(wǎng)絡(luò)保險(xiǎn)政策是否曾經(jīng)被使10%的受訪者報(bào)告稱，他們的企業(yè)擁有第一方網(wǎng)絡(luò)保險(xiǎn)(見圖38),這類保險(xiǎn)通常涵蓋與網(wǎng)絡(luò)事件的調(diào)查和響應(yīng)相關(guān)的成本，并包括對業(yè)務(wù)運(yùn)營的財(cái)務(wù)影響。16%的受訪者表示，他們的企業(yè)只有第三方網(wǎng)絡(luò)責(zé)任保險(xiǎn)，該保險(xiǎn)為網(wǎng)絡(luò)事件引發(fā)的損害賠償索賠提供財(cái)務(wù)補(bǔ)償。15%的受訪者表示，他們的企業(yè)同時(shí)擁有第一方和第三方網(wǎng)絡(luò)保險(xiǎn)。14%的受訪者企業(yè)沒有網(wǎng)絡(luò)保險(xiǎn)。數(shù)據(jù)中的一個重要信息是，近一半的受訪者不知道其企業(yè)擁有何種類型的網(wǎng)絡(luò)保險(xiǎn)。調(diào)查結(jié)果顯示，受訪者對企業(yè)網(wǎng)絡(luò)保險(xiǎn)的了解與企業(yè)規(guī)模有關(guān)；具體來說，報(bào)告對企業(yè)網(wǎng)絡(luò)保險(xiǎn)一無所知的受訪者中，最多的是在員工超過10,000人的企業(yè)工作。從地區(qū)角度來看，57%的大洋洲受訪者不了解所在企業(yè)投保的網(wǎng)絡(luò)保險(xiǎn)類型，其次是北美(49%)和歐洲(43%)。盡管對網(wǎng)絡(luò)安全專業(yè)人士是否需要了解企業(yè)投保的網(wǎng)絡(luò)保險(xiǎn)類型可能存在不同觀點(diǎn)，但擁有這些知識的好處包括能夠幫助規(guī)劃事件和其他可索賠事件，以及隨后的響應(yīng)(例如，事件響應(yīng)預(yù)案)?？紤]到企業(yè)風(fēng)險(xiǎn)狀況高度影響網(wǎng)絡(luò)保險(xiǎn)保費(fèi)，不了解情況可能導(dǎo)致組織在保險(xiǎn)覆蓋范圍不符合預(yù)期時(shí)感到沮喪。最后，保險(xiǎn)公司越來越要求最低水平的安全措施；因此，為企業(yè)獲取網(wǎng)絡(luò)保險(xiǎn)的人員與關(guān)鍵安全專業(yè)人士之間的密切合作可以幫助降低風(fēng)險(xiǎn)狀況并改善保險(xiǎn)費(fèi)率。圖38:網(wǎng)絡(luò)保險(xiǎn)類型您的組織投保哪種網(wǎng)絡(luò)保險(xiǎn)(如有)?●不知道●不知道●第一方和第三方都有96%擁有網(wǎng)絡(luò)保險(xiǎn)企業(yè)的受訪者報(bào)告說，他們的企業(yè)網(wǎng)絡(luò)保險(xiǎn)保單至少在某種程度上解決了他們的企業(yè)風(fēng)險(xiǎn)狀況(見圖39)。這些受訪者中有三分之一報(bào)告說他們的企業(yè)使用過其網(wǎng)絡(luò)保險(xiǎn)保單(見圖40)。在那些知道其圖39:網(wǎng)絡(luò)保險(xiǎn)的充分性您組織的網(wǎng)絡(luò)保險(xiǎn)保單是否充分解決了您的風(fēng)險(xiǎn)狀況?圖40:網(wǎng)絡(luò)保險(xiǎn)的使用情況保險(xiǎn)公司越來越要求最低水平的安全措施；因此，為企保險(xiǎn)公司越來越要求最低水平的安全措施；因此，為企業(yè)獲取網(wǎng)絡(luò)保險(xiǎn)的人員與關(guān)鍵安全專業(yè)人士之間的密切合作可以幫助降低風(fēng)險(xiǎn)狀況并改善保險(xiǎn)費(fèi)率。大約三分之一的受訪企業(yè)擁有超過25人組成的安全團(tuán)隊(duì)(見圖41),但平均員工規(guī)模為16人。ISACA在《2024年網(wǎng)絡(luò)安全現(xiàn)狀調(diào)查報(bào)告》中增加了關(guān)于在安全運(yùn)營中使用人工智能的問題。圖42展示了AI在受訪企業(yè)安全運(yùn)營中的應(yīng)用。威脅檢測/響應(yīng)(28%)和終端安全(27%)是最受歡迎的AI應(yīng)用。那些報(bào)告其企業(yè)正在增加對AI或自動化應(yīng)用以減少網(wǎng)絡(luò)安全技術(shù)技能差距的受訪者，仍表示他們的網(wǎng)絡(luò)安全團(tuán)隊(duì)人員不足。圖41:安全團(tuán)隊(duì)規(guī)模請說明您的安全人員規(guī)模。圖42:AI在安全運(yùn)營中的應(yīng)用您的組織是否在以下任何安全運(yùn)營中使用AI?28%28%24%欺詐檢測其他以上都不是選擇不回答不知道端點(diǎn)安全自動化常規(guī)安全任務(wù)自動化威脅檢測/響應(yīng)20%C2024ISACA。版權(quán)所有。安全運(yùn)營只是AI可以幫助企業(yè)的領(lǐng)域之一。ISACA尋求了解受訪者如何參與AI政策和為業(yè)務(wù)其他領(lǐng)域引入解決方案。當(dāng)被問及受訪者或其團(tuán)隊(duì)中的任何人是否參與了AI解決方案的開發(fā)、引入或?qū)嵤r(shí)，受訪者的回答令人沮喪(見圖43)。近一半(45%)的受訪者報(bào)告沒有參與，這在歐洲、印度、拉丁美洲、北美和大洋洲的數(shù)據(jù)中都是如此。12%的受訪者表示該問題不適用于其組織。在不同的網(wǎng)絡(luò)安全人員配備和預(yù)算觀點(diǎn)中，回答都是相似的。在員工超過10,000人的企業(yè)中的受訪者報(bào)告的參與度低于較小組織的受訪者，這是可以理解的，并為增加決策過程中的合作和透明度提供了機(jī)會。當(dāng)被問及受訪者或其團(tuán)隊(duì)中的任何人是否參與了制定管理其企業(yè)中AI技術(shù)使用的政策時(shí)(見圖44),受訪者的回答同樣令人失望。只有35%的受訪者報(bào)告有參與。10%的受訪者表示該問題不適用于其組織。在500-4,999名員工的企業(yè)中工作的受訪者報(bào)告的參與度高于在少于500名員工的企業(yè)中工作的受訪者。圖43:AI生命周期的參與您或您團(tuán)隊(duì)中的任何人是否參與了您或您團(tuán)隊(duì)中的任何人是否參與了AI解決方案的開發(fā)、引入或?qū)嵤?29%45%不確定不適用于我的組織50%60%70%80%是否30%40%20%0%圖44:AI政策的參與您或您團(tuán)隊(duì)中的任何人是否參與了制定管理您組織中AI技術(shù)使用的政策?35%35%41%不確定不適用于我的組織40%50%60%70%80%90%100%10%20%30%是否0%就緒性ISACA全球網(wǎng)絡(luò)安全狀況調(diào)查已經(jīng)進(jìn)行了十年。雖然對于一個相對較新的職業(yè)來說，10年是一段相當(dāng)長的時(shí)間，但調(diào)查報(bào)告中的