與許多企業在網絡安全政策不充分的情況一樣，新的研究表明，一半以上的澳大利亞企業在其網絡遭到破壞后甚至沒有改變其網絡安全策略。

安全商CyberArk公司委托市場研究機構Vanson Bourne公司進行了調查，并發布最新的2018全球高級威脅狀況報告。在對澳大利亞的企業進行的調查中，45％的受訪者表示，他們的組織無法防止攻擊者闖入內部網絡。盡管存在這種高度漏洞，但有52％的人表示，即使在網絡攻擊之后，他們的組織也很少改變其安全策略。

這種組織慣性造成了安全最佳實踐和實際實踐之間的差距越來越大，越來越多的特權用戶帳戶將更多的暴露集中在更多功能更強大的端點設備中。

[[221903]]

根據調查顯示，一半的受訪者表示，他們的客戶數據可能面臨風險，他們沒有更多地應用“法律要求的基礎知識”，只有8％的公司持續進行安全演習來測試其安全性防御。

然而，沒有多少激勵措施可以做得更多：只有44％的公司表示，他們認可或獎勵幫助防止IT安全漏洞的員工，這遠遠落后于美國受訪者中74％的比例。

“攻擊者幾乎擁有無限的自由和靈活性，并且不斷發展他們的工具和技術。”CyberArk公司澳新（ANZ）區域總監Matthew Brazier在一份聲明中表示，“組織規模更大，結構更緊密，就越無法更好發展其安全戰略和控制措施，以適應這種變化步伐。”

他說，“澳大利亞網絡最成熟的組織對其特權資產狀況有著深刻的認識，并并對這些發行、使用和審計的方式進行了強有力的控制。協調防御和預警能力以保護這些資產是有效安全戰略的基礎。”

企業更好地保護特權帳戶是ISO27001系列信息安全管理系統標準最新更新的核心原則，該標準于今年2月進行了修訂。

不斷擴展的標準系列包括諸如ISO27018之類的指南，該指南提供了用于保護公共云中的敏感個人數據的操作規范，以及去年的ISO27019標準，其中規定了能源公用事業行業的信息安全控制等內容。

最近的另一個標準ISO27021規定了信息安全管理系統專業人員的能力要求。

根據最近由專業招聘公司Robert Half公司進行的一項調查表明，對于澳大利亞組織而言，這些最后的指導方針可能尤其重要，因為可以提高企業員工的安全知識水平。

在160位接受調查的首席信息官和首席技術官中，87％的受訪者表示他們在過去三年內曾經歷過組織內部的IT安全漏洞，這些首席信息官將其員工具備潛在IT安全風險的知識平均評分評定為7分（滿分為10分）。

“雖然已經有全面性的理解，即企業在內部IT安全方面需要采取主動行動，”Robert Half公司澳大利亞地區總經理Andrew Brushfield在一份聲明中表示，“企業采取必要的步驟來保護自己免受內部IT違規是一個持續的過程。”

首席信息官通常采用的內部IT安全措施是實施安全的備份和恢復（以39％的受訪者命名），監控和記錄員工的在線行為（37％），為員工進行安全意識培訓（35％），開展內部IT安全審計（33％），雇用永久和臨時IT員工來加強他們的IT安全流程（30％）。

這些措施中的每一項都有助于提升企業的整體安全性，而且它們的實施體現了安全性的主動性，根據CyberArk公司的數據，許多組織沒有這些安全措施。

“企業應該采取持續的安全措施，并結合技術手段和人才來管理它。”Brushfield說，“這意味著企業需要為IT安全分析師、信息安全官員、IT安全工程師等熟練的IT安全專業人員提供解決內部和外部復雜的網絡安全威脅的方法。”