（信息系统审计协会）一项新的研究表明，仅有46%的公司（组织）对它们的安全团队应对复杂的威胁有信心。

另有41%的公司表示他们仅对应对简单问题的能力有信心，还有13%的公司表示一点信心都没有。

一个原因是？在信息安全方面存在重大的职位空缺。

只有16%的公司表示他们的应聘者至少一半有资质，而53%的公司表示找一个具有资质的候选人可能需要花3到6个月的时间。而且有35%的公司表示他们的职位空缺得不到填补。

“你虽然拿到了这些简历，但你不得不拒绝其中的绝大部分，” White Ops公司的总裁兼COO ——Eddie Schwartz（ISACA的网络安全工作组主席）表示，“如果你是公司的话，你也会左右为难。”

最大的能力问题是？被调查公司中，72%表示是缺少理解业务的能力。

Schwartz 说：“网络工作人员没跟上技能和培训。”

46%的公司提到了技术能力的问题，42%的公司提到了团队能力的问题。

他说，这不是一夜就能解决的问题。外包和自动化对会有所帮助，同时可以向该行业吸引更多的女性，也能通过大学项目帮助它们开设更多网络安全课程。

“我们必须让人们在大学的时候受到正确的教育——但现在做得不够，”他说，“解决该人力资源空缺的问题需要花上数年。”

研究报告指出的另一坏消息是，77%的公司表示2014年发现了更多的网络攻击，而且83%的公司表示他们在2015年很可能会遭遇更多的网络攻击。

研究报告中也有一些好消息，然而，各公司对待安全问题也变得越来越认真。

Schwartz说：“甚至在IT部门削减预算时，信息安全的预算也没减少。”

56%的公司的安全预算有所增加，83%的公司至少每年对安全控制进行测试一次，而79%的公司表示它们的董事会对网络安全非常重视。

“我的个人感觉是，过去，副总裁级别或C级别的首席信息安全官让董事会关注安全培训或安全意识的问题是非常非常困难的，” Schwartz说，“但是，在某些高级行动家、富有经验的网络犯罪组织、黑客组织出现后，董事会现在变得重视了。”

被调查的各公司表示，管理层通过各种方式表现这一支持。例如，71%的公司执行安全政策，63%为安全团队提供充足的资金，56%的公司强制执行安全意识培训。

然而，仅11%的公司的安全团队直接向董事会汇报工作，20%向CEO汇报，而向CIO汇报的则有60%。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)