大多數人都會有幾個新年計劃，減肥、鍛煉、多陪陪家人等等，從企業戰略集團(ESG)的調查研究和網絡安全從業者的反饋來看，安全主管必須更貼近公司業務，提升員工生產力，現代化安全技術基礎設施。以下5點是企業CISO們的新年規劃：

[[216043]]

1. 讓網絡安全成為企業文化的一部分

ESG/ISSA(信息系統安全協會)研究表明，24%的企業，其業務經理依然不能正確認識/支持網絡安全。2018年，CISO必須扭轉對網絡安全的這種無知和漠然。那么，該怎樣扭轉呢?

齊心協力爭取CEO的支持。與所有業務經理建立經常性聯系。以業務經理能理解并據此行動的方式，更好地量化風險。在軟件開發人員開始寫代碼之前，參與到業務過程計劃中來。敦促人力資源部進行更多實踐訓練。經常到一線向員工了解情況。

2018年，CISO們必須盡力施為。能推動轉變的人，就能對公司風險緩解產生個人影響。推動失敗，那2019年可能就得另謀高就了。

2. 加大對網絡安全人員的時間與資源投入

從ESG/ISSA研究報告《網絡安全人員的生活與時代》可以看出，網絡安全團隊任務繁重，人手不足，且沒有足夠的培訓以跟上技術革新步伐。49%的網絡安全人員至少每周都有一次換工作的想法，如果他們沒有得到公平的對待，留不住人才是必然的結果。

為緩解這些問題，CISO得盡全力保證網絡安全人員工作開心，富有成效，活力滿滿。這意味著要在培訓、指導項目和職業發展上做投入。為招募到新鮮血液，CISO還得盡力讓自家企業成為網絡安全上的卓越中心。這包括建立網絡安全文化，與專業機構合作，讓公司更多地參與到網絡安全研究上來，以及確保員工時時受到激勵。

3. 尋找引入高級威脅預防的機會

提升生產力的方法之一，就是采用新型高級威脅預防技術，盡可能地減小攻擊界面。可采用的技術有：下一代終端安全軟件、微分隔、安全DNS服務、威脅情報網關等等。高級威脅預防可減小安全噪音，讓信息安全人員專注在高優先級事件上，為策略規劃和技術發展投入更多時間。

4. 將安全技術導向集成和高級情報

2018年，CISO應專注在安全技術的合理化、整合及鞏固上，目標是建立一個能收集、規范化、處理、分析并應對大量安全遙測數據的安全運營及分析平臺架構(SOAPA)。

同時，企業應研究、測試、應用和部署人工智能安全工具。ESG研究表明，通過在現有安全工具中應用機器學習算法，比如在終端安全軟件、網絡安全分析、威脅情報平臺和數據泄露防護(DLP)中應用，CISO的投資能獲得最大的回報。人工智能可幫助企業在不引入新復雜項目的情況下，提升舊有技術的安全效能。

5. 致力于自動化并編配人工過程

網絡安全方面，能自動化的都應該自動化。數據收集、可疑文件分析、簡單緩解規則的應用等等，都可以自動化。比爾·蓋茨總結了企業應用自動化技術中的兩條規則：“企業所用任何技術的第一條規則是，對有效操作的自動化，可放大該效率。第二條規則是，對低效操作的自動化，會放大該無效性。”

換句話說，CISO應評估業務過程，追求過程改進，否則就將陷入自動化/編配低效過程的困境，發揮不出自動化的好處。

最后，CISO應對網絡安全采取資產組合管理方式，找出可通過云方案或完全外包給MSSP/SaaS安全提供商的方式進行簡化的領域。

CISO三大重點：安全功效、運營效率和業務支持。上述5個方面的計劃就很貼合這3個重點，應可幫助CISO享受一個愉快的網絡安全新年景。