目前，安全領導者正在積極推進2022年的整體戰略，列出支持企業彈性的優先事項列表。CSO進行的《年度安全優先級研究報告》指出，受訪CISO們表示他們計劃在未來幾個月內采取一些舉措，不過他們既不專注于強化任何單一工具，也不依賴任何一種方法。

相反地，他們的優先級反映了安全職能的演變。如今，安全職能必須是相互依賴的政策、程序和技術能力的集合，這些政策、程序和技術能力共同應對CISO自身企業面臨的特定風險和威脅。

此外，他們還表示，鑒于企業IT和業務環境的近期變化、不斷演變的威脅格局以及新出現的安全風險，他們的優先事項切實地反映了安全需求。

簡而言之，首席信息安全官表示，他們2022年的首要任務是跟上發展步伐并努力做得更好。

威脅場景變化影響優先事項

2022年，還有更多企業要上云。IT正在將應用程序與數據層分離。CIO正在轉向更具組合性的架構。而且，他們正在加速自己的數字計劃。

另外一個現實是，我們已經進行了長達兩年的居家辦公模式，如何管理這種不安全的遠程設備也將繼續考驗著安全領導者。

與此同時，安全行業還將迎來真正的“離職潮”，原因是長期以來的超負荷工作已經讓他們疲累不堪。到2022年，一切將更難管理。

現在CISO的問題是：我們如何管理所有這些?我們如何智能地運行，才能實現安全和快速的目的?

Parkview Health信息安全副總裁兼HIPAA安全官Darrell Keeling有一些自己的想法。

與其他安全主管一樣，Keeling在任職期間見證了威脅形勢的演變。例如，他看到黑客越來越多地以勒索軟件攻擊醫療機構。與此同時，隨著云環境不斷發展，包括他自己在內的企業都已變得更加數字化——這些舉措極大地擴大了攻擊面，實際上也消除了邊界的概念。

Keeling表示，他的首要任務是實現成熟的安全性，以匹配不斷發展的技術堆棧和隨之而來的安全威脅。這涉及簡化自己的安全堆棧，從來自多個供應商的大量同類最佳解決方案轉變為嚴重依賴Microsoft安全解決方案的方法。(Parkview Health IT主要是一家使用Azure云的Microsoft商店。)他認為，簡化安全堆棧將創建更有效的安全操作，以及更少的附加成本。

作為該舉措的一部分，Keeling計劃專注于員工培訓，以使其團隊中更多人獲得Microsoft認證。

Keeling 2022年的其他優先事項還包括實施更多智能、行為分析軟件和云安全技術;培養威脅追蹤能力;并鞏固他的第三方風險管理計劃。

CISO優先事項更加關注工具和技術

安全優先級研究證實，CISO正在繼續投資于技術，90%的人表示他們的企業在過去12個月中至少添加了一種安全工具。

CISO優先事項的技術列表也反映了他們日益集成的安全方法。舉個例子：云數據保護技術是首要任務，87%的CISO正在研究、試點、使用或升級對它們的使用。

在一項相關研究中發現，88%的CISO優先考慮基于云的網絡安全服務;此外，數據訪問治理技術也在CISO優先事項列表中名列前茅，零信任也是如此，84%的人表示零信任是他們的優先事項;行為監控和分析則是另一個重要的優先事項，82%的人表示他們正在學習、試用、使用或升級對它們的使用。

CISO還對安全編排、自動化和響應(SOAR)技術表現出很高的興趣或使用率，77%的CISO正在研究、試點、使用或升級對它們的使用。

對安全分析師和研究人員而言，這樣的數字并不足為奇。他們表示，隨著企業在云計算上投入更多資金，以實現數字化轉型和從任何地方訪問，他們必須采取這些技術來保護過去幾年迅速變化的環境。

The Analyst Syndicate網絡安全分析師Andrew Plato表示，云確實是安全的核心。他發現，CISO對云安全態勢管理平臺特別感興趣，這些平臺為他們提供了一個整體視圖，并在他們的多個云部署中實現了安全性。

Kevin F. Brown 2022年的優先事項同樣反應了這種趨勢?？茖W應用國際公司(SAIC)高級副總裁兼首席信息安全官Brown表示，他的首要任務是招聘和留住人才;業務連續性和彈性;對網絡、云和數據的零信任;以及業務支持。

他解釋稱，“網絡安全人才仍處于供不應求的狀態，尤其是在建立多元化和包容性團隊方面，這是必不可少的。勒索軟件仍然是整個行業的最大威脅，這既是由于業務中斷的影響愈發嚴重迫使受害企業支付贖金，讓勒索組織嘗到更多甜頭;也是因為越來越多的數據泄露，使得勒索行為變得更加容易。除了保護能力外，還需要制定彈性和恢復計劃。此外，零信任原則不僅需要針對傳統的網絡安全，還需要作為不斷擴展的用戶和云邊界，以及關鍵數據的保護和完整性策略?？偠灾?，無論是通過提供安全的業務解決方案、降低風險、推廣安全設計理念等，實現業務安全運行都是重中之重。”

優先事項支持持續的安全計劃改進

盡管2022年的每個優先事項都很重要，但Brown表示，它們都不是新的優先事項，都只是他一直在做的事情的延續。

這也反映了CISO網絡安全計劃的整體狀況，并說明2022年安全優先事項將是進步，而非革命。

那么，會不會有一些很“酷”的技術來改革這一切?答案可能是否定的。

大約67%的受訪者表示，他們的企業正在更加關注提高安全服務的利用率和/或資源配置;62%的受訪者表示，他們有一個流程來持續評估其擁有或(通過供應商合同)訪問的安全解決方案和服務的有效性。

World Fuel Services信息安全副總裁Shawn M. Bowen表示，他的首要目標是持續改進安全功能——這一目標將推動他來年的工作。例如，他正在努力提高自己設計安全策略、程序和控制的能力，以適應公司自身已識別的風險和威脅。

他表示，“我希望超越框架成熟度模型，成為基于風險的安全運營。因此，我們的目標不是基于框架構建安全性并提供標準服務，而是專注于我們的企業風險管理計劃。”

為此，他正與其業務同事合作，了解、闡明和優先考慮其特定職能領域內的風險和威脅，以便安全部門能夠真正調整其資源以防御它們。

此外，Bowen希望讓業務部門更多地參與安全部門的企業風險管理方法。他計劃利用這種參與為他們的每個產品和服務開發適當的威脅模型，以便他可以針對這些特定威脅定制安全產品。

2022年的挑戰

CISO表示，他們在實現來年的目標方面將面臨諸多挑戰。

《安全優先級研究》報告，CISO表示其企業未能解決網絡風險的首要原因，是難以說服企業的全部或部分成員了解他們所面臨的風險嚴重性。大約30%的人表示這確實是一個棘手的問題。

幾乎同樣多的人(29%)表示資源不足，而27%的人表示無法在其安全策略中采取足夠的主動性。

未能解決網絡風險的其他主要原因還包括招聘和保留專業人員方面的困難;在應用程序開發周期中未能始終滿足安全要求;以及對用戶的安全培訓不足。

雖然承認這些問題的確是重大挑戰，但分析人士指出，CISO的許多優先事項將幫助他們解決這些問題。例如，他們指出，專注于事件響應，尤其是在針對業務風險進行定制并與業務支持和彈性相結合時，可為安全計劃提供更多業務支持。

同時，添加更多數據保護技術、云安全工具以及支持零信任和SOAR解決方案有助于將安全性嵌入更多核心技術堆棧，而不是使其成為附加服務。

此外，CISO也可以通過在這些技術部署中添加自動化功能，來緩解因安全人員短缺和偶發性用戶端安全失誤而帶來的挑戰。

Symbridge Holdings LLC公司CISO Michael Ibarra列出的2022年優先事項與其他安全領導者的大致相同。Ibarra認為，2022年的優先事項將是企業整體安全戰略的關鍵所在。

他正在努力加強公司的數據隱私保護以及供應商風險管理實踐。此外，他還正專注于API安全性和數字身份驗證，這兩者對于保護不斷增長的云環境都是必不可少的。

他還在加強對漏洞的防御，特別是研究如何最好地減輕和防止國家支持的網絡攻擊行為。他正在努力將安全計劃與公司的技術變更控制流程聯系起來，以便安全發展與IT一樣快，并研究可以提供價值的前沿技術。

他還將繼續努力招募和留住人才，部分舉措是確保可以為其提供正確的培訓和技能提升路徑。

Ibarra表示他們正共同努力創造網絡彈性。他說，“我們始終專注于提供安全可靠的平臺，首要任務之一始終是將風險降至最低。但優先考慮彈性使我們能夠為未知事物做好準備。”