2022 年多德 - NASCIO 网络安然无恙

2022德勤-NASCIO网络 安全研究 高风险环境中的国家网络安全 德勤和国家首席信息官协会（NASCIO）的联合两年期报告（第7版） 关于作者 SriniSubramanian|ssubramanian@deloitte.com SriiSbramaia是Deloitte＆TocheLLP网络业务的负责人，并且是政府和公共服务行业风险咨询的全球行业领导者。他在信息安全战略、创新、治理、身份、访问管理和共享服务领域拥有35年的IT经验和25年的网络风险服务经验。Sbramaia积极参与国家州长协会网络政策委员会，NASCIO和各个州委员会，以帮助提高政府的网络风险。他合着了双年展。德勤-NASCIO网络安全研究自2010年首次出版以来。 MeredithWard|mward@nascio.org MeredithWard是NASCIO的政策和研究主管，自2013.Shehasmorethan20yearsofexperienceinstate,local,federal,andinternationalprofessionalassociations.Priortohercurrentposition,Wardworkedingovernmentandmediaaffairsin华盛顿特区，并获得了十多年与Congress,theirstaff,andmembersofthemedia.Shehasworkedextensivelyonissuesrelatedto网络安全、IT收购、刑事司法、劳动力和国家技术。 Contents 要点1：处理人才缺口3 要点2：拥抱整个国家9 要点3：设置新课程15 深入调查分析潜水19 尾注29 前言 为大流行后时代的网络安全铺平道路 他七十年德勤-NASCIO T 网络安全研究到达了国家首席信息安全的独特关头 官员(CISO)和首席信息官(CIO)。从近三年的COVID-19大流行中走出来，州CISO的运作格局发生了变化。虽然可能需要数年时间才能知道大流行带来的哪些转变将持续下去，但我们知道数字化已经加速。健康危机所要求的社会距离使数字和移动平台成为工作和日常生活的关键。这意味着国家CISO的未来角色比以往任何时候都更加重要，因为新的漏洞和机会来自对这些网络的更多使用。 2022年的调查是50个州和三个地区积极参与的结果。在这个关键时刻，我们发现国家CISO的地位继续获得力量和权威。正如上一次两年期研究中指出的那样，在大流行的早期，CISO几乎在一夜之间完成了将州政府运营、服务和员工迁移到虚拟环境的艰巨任务。他们加强了多因素识别、风险监控和事件准备等保障措施，以确保远程员工的安全。由于这些措施和国家雇员的奉献精神，国家机构在面临巨大挑战的情况下继续运作和提供服务。 现在，CISO有机会利用这一势头为大流行后时代制定战略。为了满足一个更加高度互联的时代的需求，他们必须应对一些长期的挑战，同时为即将采用的新技术奠定基础。从今年的调查结果来看，我们 确定了对增强CISO未来作用至关重要的三个关键要点。 处理人才缺口。吸引、留住和持续培训为未来做好准备的网络安全劳动力变得更加困难。令人鼓舞的是，越来越多的趋势是有效地接受网络服务的提供，但各州必须重新定位州就业，以便与私营部门和联邦雇主有效竞争千禧一代和Z世代工人，他们的工作场所理想与前几代人不同。例如，部分或全部远程工作的能力现在是一个基本的期望。 拥抱整个国家。在不断努力加强各州的复原力的过程中，CISO必须将其领导范围扩大到各级政府，包括地方一级。由于地方和州机构之间发生了许多互动，因此地方政府构成了威胁媒介。CISO应加强与高等教育机构的合作，以充当州和地方政府之间的桥梁，并建立网络安全专业人员管道以解决人才缺口。 设置一个新的课程。大流行后的世界带来了新的挑战和机遇 oCISO需要在预算和新技术方面都具有远见，以跟上对日益数字化的环境的期望。 我们感谢参与我们详细调查的53个州和地区。我们向您致力于保护公民数据和保护您所在州的业务表示敬意。 -SriniSubramanian和MeredithWard 主要外卖1 处理人才缺口 打击网络威胁需要随时准备的力量 2022年，公共和私营部门雇主对高技能工人的需求变得更加迫切。在COVID-19大流行期间重新评估他们的生活选择，许多员工加入了大辞职，千禧一代和Z世代的工人正在更仔细地选择反映他们偏好的工作场所。在这种环境下，网络安全专业人员和员工的缺乏仍然是CISO提到的五大障碍之一 （图1）。尽管CISO的责任越来越大，技术和威胁越来越复杂，但国家网络安全专业人员的人数仍与2020年大致相同 （图2）。此外，超过60％的CISO报告其员工之间的能力差距（图31）。 各州在雇用私营部门和联邦政府方面面临激烈竞争。私营部门正在通过增加工资，灵活性和快速职业发展来吸引年轻工人 ，以应对人才短缺。 经历了大流行的经历后，许多人不再将工作置于生活的中心 。尽管年轻的工人重视政府工作提供的使命感，但他们也要求更好的工作/生活平衡，远程工作和灵活性以及保持健康的机会。1 许多千禧一代和Z世代员工也希望成为具有包容性文化的多元化员工队伍的一部分。确实，研究表明，具有不同观点的多元化团队更有效，更有生产力。 图1 网络安全专业人员的可用性不足是最重要的fiCISO引用的障碍 确定您认为所在州在应对网络安全挑战方面面临的主要障碍。 20202022 01缺乏足够的网络安全预算(46%) 02网络安全不足(42%) 03支持新兴威胁的传统基础架构和解决方案(34%) 04网络安全专业人员的可用性不足(28%) 04缺乏专门的网络安全预算(28%) 01支持新兴威胁的传统基础架构和解决方案(52%) 02网络安全专业人员的可用性不足(50%) 03网络安全不足(46%) 04分散的IT和安全基础架构及运营(38%) 05威胁越来越复杂(29%) 资料来源:2022德勤-NASCIO网络安全研究and2020德勤-NASCIO网络安全研究. 01020304050 图2 自2020年以来，州网络安全专业人员的人数没有太大变化 您所在州雇用了多少专业的网络安全专业人员？（不包括承包商。） 20202022 企业安全服务 国家机构 (不包括企业安全部门) 30% 27% 25% 16% 18% 20% 17% 16% 17% 12% 0% 2% 1-5个全职等价物 16% 17% 22% 13% 14% 12% 18% 19% 16% 13% 10% 25 2% 0% 6-15全职当量 16-25全职当量 26-50全职当量 >51个全职等价物 不适用/不知道其他 （如兼职专业人士）% 资料来源:2022德勤-NASCIO网络安全研究and2020德勤-NASCIO网络安全研究. 各州没有满足新一代技术工人的许多需求。CISO吸引和留住人才的主要因素与过去几年基本相同。它们包括为公众服务的机会、工作稳定性和退休计划(图3)。 只有25%的州报告称使用远程工作作为人才吸引工具(图4) 。这有点令人惊讶的低，因为CISO努力确保在家工作安排的安全性，超过一半的人对这些努力表示信心(图5)。此外 ，劳动力市场越来越多地为工人提供在家工作的选择。 此外，州CISO正在努力纳入多样性，公平和包容（DEI ）实践，例如指定DEI领导职位或 团队培养包容文化。在某些情况下，对DEI实践的认识不完全(图6)。 州CISO必须完成的漫长过程才能雇用各个级别的员工，这使竞争对手在雇用最优秀人才方面有了更好的机会。大约一半的受访者表示，雇用中级人员需要三到六个月，而雇用主管级人员则需要六个月以上（图7）。 为了缩小差距，CISO继续依靠人员增加(图8)。各国对外包特定职能领域和与托管服务提供商签约表现出更大的兴趣(图9)。例如，超过一半的答复者报告外包安全运营中心职能，这需要全天候监控(图10)。 图3 吸引和留住人才的首要因素包括为公众服务的机会，工作稳定性和退休计划 吸引和留住网络安全人才为您所在州工作的三大因素是什么？ 201820202022 56% 53% 54% 52% 46% 41% 37% 35% 28% 为您的国家服务和贡献的机会 工作稳定性退休金/退休计划 资料来源:2022德勤-NASCIO网络安全研究;2020德勤-NASCIO网络安全研究;2018德勤-NASCIO网络安全研究. 图4 只有25％的州报告说远程工作作为一种吸引人的方式网络安全人才 确定您所在州为吸引和留住州网络安全劳动力而遵循的三大人才管理实践。 突出更高的稳定性，非自愿营业额少于私营部门 40% 推广非薪金福利fits 37% 交叉培训和发展州IT员工队伍 33% 网络安全实习计划 31% 积极使用社交媒体 27% 灵活的工作地点/州内远程 25% 与州立大学和教师的关系 17% 资料来源:2022德勤-NASCIO网络安全研究。 图5 大多数CISO在fi方面都有很高的可信度他们在家工作安排的安全性 您如何确定您所在州的信息资产受到以下类型的网络威胁的保护？ Extremely确认fi非常确定有点确定不确定或不知道 2%4% 10% 31% 来自远程工作的威胁 解决方案和流程 54% 资料来源:2022德勤-NASCIO网络安全研究。 图6 许多CISO报告说，他们的组织对DEI实践的认识不完全 以下是在组织内改进DEI的实践。请选择您对适用于您的组织的每个声明的同意程度。(1=强烈不同意，5=强烈同意) 40% 23%23% 19% 21% 19%19% 23%21% 12% 15% 6% 6% 6% 2 3 4 5不知道 1 2 3 4 5不知道 1 2 3 4 5不知道 8% 12% 17% 10% 1 我的组织已经建立了DEI领导职位我的组织建立了DEI团队、团体等，以 支持培养包容文化 我的组织使用外部人才平台和机构来增加对不同全职员工的访问 资料来源:2022德勤-NASCIO网络安全研究。 图7 雇用人才所花费的时间正在拖延这一过程，并使各州处于不利地位 启动和完成网络安全职位招聘流程的平均时间是多少企业安全部门？ 入门级中级主任级 31%31% 48%50% 46% 4%2% 0% 25% 17% 21% 12% <30天1-3个月3-6个月>6个月 资料来源:2022德勤-NASCIO网络安全研究。 图8 CISO定期与网络安全专业人员签订合同 如果您所在的州有staff/specialaugmentation，请指出所雇用的网络安全专业承包商的数量。 35% 企业安全服务 1-5个全职等价物 国家机关(不包括企业安全部门) 19% 17% 2% 6% 6-15全职当量 21% 17% 6% 0% 6% 16-25全职当量 26-50全职当量不适用/不知道 络安全研究。 资料来源:2022德勤-NA2S1C%IO网 图9 许多州希望将特定的fic功能区域外包，并与托管服务提供商签订合同 如果您选择了“国家在能力方面存在差距”，您所在的州计划如何缩小能力差距？ 20202022 50% 94%97% 81% 69% 63% 51% 78% 40% 为正在发展的STAff提供培训 所需的能力 使用专家增强外包某些功能区与托管安全服务提供商签约 资料来源:2022德勤-NASCIO网络安全研究and2020年德勤-NASCIO网络安全研究。 行动号召 随着CISO继续与私营部门和联邦政府竞争人才，他们有机会重新启动努力，通过提供更多他们寻求的工作场所属性来吸引和留住有前途的网络专业人员，并为新人才开发更有效的渠道。 •转变国家就业方式，吸引下一代工人。技术人才短缺已经到了关键时刻。尽管CISO不控制州的招聘做法，但他们需要为公共人