2022 年德勤-NASCIO 网络安全研究

2022年Deloitte-NASCIO网络安全研究 高风险环境中的国家网络安全 德勤和全国州首席信息官协会（NASCIO）的联合两年期报告（第7版） 关于作者 的Srini萨勃拉曼尼亚|ssubramanian@deloitte.com SriniSubramanian是Deloitte&ToucheLLP网络业务的负责人，也是政府和公共服务行业风险咨询的全球行业领导者。他在信息安全战略、创新、治理、身份、访问管理和共享服务领域拥有35年的IT经验和25年的网络风险服务经验。Subramanian积极参与全国州长协会网络政策委员会，NASCIO和各州委员会，以帮助提高政府的网络风险。他与人合著了双年展Deloitte-NASCIO网络安全研究自2010年首次出版。 梅瑞迪斯病房|mward@nascio.org 梅雷迪思·沃德（MeredithWard）是NASCIO的政策和研究主任，此后一直在该协会任职。2013.她在州、地方、联邦和国际专业协会拥有20多年的经验。在担任现职之前，Ward曾在政府和媒体事务部门工作华盛顿特区，并获得了十多年与国会 、他们的工作人员和媒体成员。她广泛致力于与以下相关的问题：网络安全、IT采购、刑事司法、劳动力和国家技术。 内容 关键1:处理人才缺口3 关键二:拥抱整个国家9 关键三:设置一个新的课程15 调查分析深潜水19 尾注29 2022年Deloitte-NASCIO网络安全研究 前言 为后疫情时代的网络安全铺平道路 他七双年展Deloitte-NASCIO T 网络安全研究到达州首席信息安全的独特时刻 官员（首席信息安全官）和首席信息官（首席信息官）。从近三年的COVID-19大流行中走出来，州CISO的运营格局发生了变化。虽然可能需要数年时间才能知道大流行带来的哪些转变将持续下去，但我们知道数字化已经加速。健康危机所要求的社交距离使数字和移动平台成为工作和日常生活的关键。这意味着国家CISO的未来角色比以往任何时候都更加重要，因为更多地使用这些网络会带来新的漏洞和机会。 2022年的调查是50个州和3个地区积极参与的结果。在这个关键时刻，我们发现国家CISO职位继续获得力量和权威。正如上一个两年期研究所指出的，在大流行的早期，首席信息安全官几乎在一夜之间执行了将州政府运营、服务和员工迁移到虚拟环境的艰巨任务。他们增强了多因素识别、风险监控和事件准备等保护措施，以确保远程员工的安全。由于这些措施和国家雇员的奉献精神，国家机构在面临巨大挑战时继续运作和提供服务。 现在，首席信息安全官有机会利用这一势头，为后疫情时代制定战略。为了满足更加高度互联时代的需求，他们必须应对一些长期存在的挑战，同时为即将采用新技术奠定基础。从今年的调查结果来看，我们 确定了对加强首席信息安全官未来作用至关重要的三个关键要点。 处理的人才缺口。吸引、留住和持续培训为未来做好准备的网络安全员工变得更加困难。令人鼓舞的是，有效接受网络服务提供的趋势越来越多，但各州必须重新定位州就业，与私营部门和联邦雇主有效竞争千禧一代和Z世代工人，他们的工作场所理想与前几代人不同。例如，部分或全部远程工作的能力现在是一个基本的期望。 拥抱整个国家。在加强各州复原力的持续努力中，首席信息安全官必须将其领导范围扩大到各级政府，包括地方一级。由于地方和州机构之间发生了许多互动，地方政府构成了威胁媒介 。首席信息安全官应加强与高等教育机构的合作，作为州和地方政府之间的桥梁，并建立网络安全专业人员管道以解决人才缺口问题。 设置一个新的课程。后疫情时代的世界带来了新的挑战和机遇。首席信息安全官需要在预算和新技术方面具有远见卓识 ，以跟上日益数字化环境的发展步伐。 我们感谢参与我们详细调查的53个州和地区。我们向您致力于保护公民数据和保护您所在州业务的奉献精神致敬。 的srini萨勃拉曼尼亚和梅雷迪思病房 高风险环境中的国家网络安全 关键1 处理的人才缺口 网络威胁战斗部队需要准备好 2022年，公共和私营部门雇主对高技能工人的需求变得更加迫切。在COVID-19大流行期间重新评估他们的生活选择，许多员工加入了大辞职，千禧一代和Z世代员工正在更谨慎地选择反映他们偏好的工作场所。在这种环境下，缺乏网络安全专业人员和员工仍然是首席信息安全官引用的五大障碍之一（图1）。尽管首席信息安全官的责任越来越大，技术和威胁也越来越复杂，但国家网络安全专业人员的人数与2020年大致相同（图2）。此外，超过60%的首席信息安全官报告其员工的能力存在差距（图31）。 各州在招聘私营部门和联邦政府方面面临激烈竞争。私营部门正在通过增加薪酬、灵活性和快速职业发展来吸引年轻工人，从而解决人才短缺问题。 在经历了大流行的经历后，许多人不再将工作置于生活的中心 。尽管年轻员工重视政府工作提供的目标感，但他们也要求更好的工作/生活平衡、远程工作和灵活性，以及保持健康的机会。1 许多千禧一代和Z世代员工也希望成为具有包容性文化的多元化劳动力队伍的一部分。事实上，研究表明，不同的团队，不同的观点，更有效率，生产力更高。 图1 网络安全专业人员不足是前五名之一障碍CISOs引用 确定您认为您所在州在应对网络安全挑战方面面临的五大障碍。 20202022 01缺乏足够的网络安全预算(46%) 02网络安全人员配备不足(42%) 03支持新威胁的传统基础架构和解决方案(34%) 04网络安全专业人员不足(28%) 04缺乏专门的网络安全预算(28%) 01支持新威胁的传统基础架构和解决方案(52%) 02网络安全专业人员不足(50%) 03网络安全人员配备不足(46%) 04分散的IT和安全基础设施和运营(38%) 05日益成熟的威胁(29%) 来源:2022年Deloitte-NASCIO网络安全研究和2020年Deloitte-NASCIO网络安全研究. 01020304050 2022年Deloitte-NASCIO网络安全研究 图2 自2020年以来，州网络安全专业人员的人数没有太大变化 您所在州雇用了多少专门的网络安全专业人员？（请勿在此计数中包括承包商。 20202022 企业安全办公室 国家机构 (不含企业安全办公室) 30% 27% 25% 16% 18% 20% 17% 16% 17% 12% 0% 2% 1-5全职等价物 16% 17% 22% 13% 14% 12% 18% 19% 16% 13% 10% 25 2% 0% 6-15全职等价物 16-25全职等价物 26-50全职等价物 >51全职等价物 不适用/不知道其他 (如兼职人员)% 来源:2022年Deloitte-NASCIO网络安全研究和2020年Deloitte-NASCIO网络安全研究. 各州没有满足新一代技术工作者的许多需求。首席信息安全官吸引和留住人才的首要因素与过去几年基本相同。它们包括为公众服务的机会、工作稳定性和退休计划（图3）。 只有25%的州报告使用远程工作作为吸引人才的工具（图4 ）。这一数字有些出人意料地低，因为首席信息安全官一直在努力确保在家工作安排的安全性，超过一半的人表示对这些努力充满信心（图5）。此外，劳动力市场越来越多地为工人提供在家工作的选择。 此外，各州首席信息安全官正在努力纳入多元化、公平和包容 （DEI）实践，例如指定DEI领导职位或 培养包容文化的团队。在某些情况下，对DEI实践的认识并不完全（图6）。 国家首席信息安全官必须完成的漫长过程才能雇用各级员工，这让竞争对手有更好的机会招聘最优秀的人才。大约一半的受访者表示，雇用中层人员需要三到六个月的时间，雇用总监级人员需要六个月以上（图7）。 为了缩小差距，首席信息安全官继续依靠人员扩充（图8）。各国对外包特定职能领域和与托管服务提供商签订合同表现出更大的兴趣（图9）。例如，超过一半的受访者表示将安全运营中心职能外包，这需要24x7全天候监控（图10）。 高风险环境中的国家网络安全 图3 吸引和留住人才的首要因素包括为公众服务的机会、工作稳定性和退休计划 吸引和留住网络安全人才为您所在州工作的三大因素是什么？ 201820202022 56% 53% 54% 52% 46% 41% 37% 35% 28% 服务,为你的国家的机会一个稳定的工作养老金和退休计划 来源:2022年Deloitte-NASCIO网络安全研究;2020年Deloitte-NASCIO网络安全研究;2018年Deloitte-NASCIO网络安全研究. 图4 只有25%的州提供报告远程工作作为一种手段来吸引网络安全人才 确定您所在州为吸引和留住州网络安全劳动力而遵循的三大人才管理实践。 强调与私营部门相比，稳定性更高，非自愿人员流动更少 40% 促进nonsalary好处 37% 进行交叉培训和发展状态的劳动力 33% 网络安全实习项目 31% 活跃的社交媒体的使用 27% 灵活的工作地点/远程状态中 25% 与州立大学和教师的关系 17% 来源:2022年Deloitte-NASCIO网络安全研究。 图5 大多数CISOs有很高的信心安全的在家工作的安排 您对您所在州的信息资产免受以下类型的网络威胁有多大信心？ 极自信非常自信有点自信不是很自信不适用或不知道 2%4% 10% 31% 威胁来自远程工作解 决方案和流程 54% 来源:2022年Deloitte-NASCIO网络安全研究。 2022年Deloitte-NASCIO网络安全研究 图6 许多首席信息安全官报告说，他们组织对DEI实践的认识不完全 以下是在组织内改进DEI的做法。请选择您同意每个声明的程度，因为它适用于您的组织。（1=强烈不同意，5=非常同意 ） 40% 23%23% 19% 21% 19%19% 23%21% 12% 15% 6% 6% 6% 2 3 4 5不知道 1 2 3 4 5不知道 1 2 3 4 5不知道 8% 12% 17% 10% 1 我的组织已建立DEI领导职位我的组织建立了DEI团队、小组等，以 支持培养包容性文化 我的组织使用外部人才平台和机构来增加对各种全职员工的访问 来源:2022年Deloitte-NASCIO网络安全研究。 图7 招聘人才所花费的时间正在延迟这一过程并使各州处于不利地位 启动和完成网络安全职位招聘流程的平均时间是多少企业安全办公室吗? 入门级的中层主管 31%31% 48%50% 46% 4%2% 0% 25% 17% 21% 12% <1-3个月3-6个月30天>6个月 来源:2022年Deloitte-NASCIO网络安全研究。 高风险环境中的国家网络安全 图8 首席信息安全官定期与网络安全专业人员签订合同 如果您所在的州有员工/专业人员扩充，请注明雇用的网络安全专业承包商的数量。 35% 企业安全办公室 1-5全职等价物 政府机构(不包括企业安全办公室) 19% 17% 2% 6% 6-15全职等价物 21% 17% 6% 0% 6% 16-25全职等价物 26-50全职等价物 >51全职等效不适用/不知道 络安全研究。 来源:2022年Deloitte-NAS2C1IO%网 图9 许多州希望外包特定的功能领域并与托管服务提供商签订合同 如果您选择了“员工在能力方面存在差距”，您所在的州计划如何缩小能力差距？ 20202022 50% 94%97% 81% 69% 63% 51% 78% 40% 为员工发展提供培训所需的能力 使用专家增加外包某些功能区域与托管安全服务提供商签订合同 来源:2022年Deloitte-NASCIO网络安全研究和2020年Deloitte-NASCIO网络安全研究。 2022年Deloitte-NASCIO网络安全研究 行动呼吁 随着他们继续与私营部门和联邦政府争夺人才