目前，安全领导者正在积极推进2022年的整体战略，列出支持企业弹性的优先事项列表。CSO进行的《年度安全优先级研究报告》指出，受访CISO们表示他们计划在未来几个月内采取一些举措，不过他们既不专注于强化任何单一工具，也不依赖任何一种方法。

相反地，他们的优先级反映了安全职能的演变。如今，安全职能必须是相互依赖的政策、程序和技术能力的集合，这些政策、程序和技术能力共同应对CISO自身企业面临的特定风险和威胁。

此外，他们还表示，鉴于企业IT和业务环境的近期变化、不断演变的威胁格局以及新出现的安全风险，他们的优先事项切实地反映了安全需求。

简而言之，首席信息安全官表示，他们2022年的首要任务是跟上发展步伐并努力做得更好。

威胁场景变化影响优先事项

2022年，还有更多企业要上云。IT正在将应用程序与数据层分离。CIO正在转向更具组合性的架构。而且，他们正在加速自己的数字计划。

另外一个现实是，我们已经进行了长达两年的居家办公模式，如何管理这种不安全的远程设备也将继续考验着安全领导者。

与此同时，安全行业还将迎来真正的“离职潮”，原因是长期以来的超负荷工作已经让他们疲累不堪。到2022年，一切将更难管理。

现在CISO的问题是：我们如何管理所有这些?我们如何智能地运行，才能实现安全和快速的目的?

Parkview Health信息安全副总裁兼HIPAA安全官Darrell Keeling有一些自己的想法。

与其他安全主管一样，Keeling在任职期间见证了威胁形势的演变。例如，他看到黑客越来越多地以勒索软件攻击医疗机构。与此同时，随着云环境不断发展，包括他自己在内的企业都已变得更加数字化——这些举措极大地扩大了攻击面，实际上也消除了边界的概念。

Keeling表示，他的首要任务是实现成熟的安全性，以匹配不断发展的技术堆栈和随之而来的安全威胁。这涉及简化自己的安全堆栈，从来自多个供应商的大量同类最佳解决方案转变为严重依赖Microsoft安全解决方案的方法。(Parkview Health IT主要是一家使用Azure云的Microsoft商店。)他认为，简化安全堆栈将创建更有效的安全操作，以及更少的附加成本。

作为该举措的一部分，Keeling计划专注于员工培训，以使其团队中更多人获得Microsoft认证。

Keeling 2022年的其他优先事项还包括实施更多智能、行为分析软件和云安全技术;培养威胁追踪能力;并巩固他的第三方风险管理计划。

CISO优先事项更加关注工具和技术

安全优先级研究证实，CISO正在继续投资于技术，90%的人表示他们的企业在过去12个月中至少添加了一种安全工具。

CISO优先事项的技术列表也反映了他们日益集成的安全方法。举个例子：云数据保护技术是首要任务，87%的CISO正在研究、试点、使用或升级对它们的使用。

在一项相关研究中发现，88%的CISO优先考虑基于云的网络安全服务;此外，数据访问治理技术也在CISO优先事项列表中名列前茅，零信任也是如此，84%的人表示零信任是他们的优先事项;行为监控和分析则是另一个重要的优先事项，82%的人表示他们正在学习、试用、使用或升级对它们的使用。

CISO还对安全编排、自动化和响应(SOAR)技术表现出很高的兴趣或使用率，77%的CISO正在研究、试点、使用或升级对它们的使用。

对安全分析师和研究人员而言，这样的数字并不足为奇。他们表示，随着企业在云计算上投入更多资金，以实现数字化转型和从任何地方访问，他们必须采取这些技术来保护过去几年迅速变化的环境。

The Analyst Syndicate网络安全分析师Andrew Plato表示，云确实是安全的核心。他发现，CISO对云安全态势管理平台特别感兴趣，这些平台为他们提供了一个整体视图，并在他们的多个云部署中实现了安全性。

Kevin F. Brown 2022年的优先事项同样反应了这种趋势。科学应用国际公司(SAIC)高级副总裁兼首席信息安全官Brown表示，他的首要任务是招聘和留住人才;业务连续性和弹性;对网络、云和数据的零信任;以及业务支持。

他解释称，“网络安全人才仍处于供不应求的状态，尤其是在建立多元化和包容性团队方面，这是必不可少的。勒索软件仍然是整个行业的最大威胁，这既是由于业务中断的影响愈发严重迫使受害企业支付赎金，让勒索组织尝到更多甜头;也是因为越来越多的数据泄露，使得勒索行为变得更加容易。除了保护能力外，还需要制定弹性和恢复计划。此外，零信任原则不仅需要针对传统的网络安全，还需要作为不断扩展的用户和云边界，以及关键数据的保护和完整性策略。总而言之，无论是通过提供安全的业务解决方案、降低风险、推广安全设计理念等，实现业务安全运行都是重中之重。”

优先事项支持持续的安全计划改进

尽管2022年的每个优先事项都很重要，但Brown表示，它们都不是新的优先事项，都只是他一直在做的事情的延续。

这也反映了CISO网络安全计划的整体状况，并说明2022年安全优先事项将是进步，而非革命。

那么，会不会有一些很“酷”的技术来改革这一切?答案可能是否定的。

大约67%的受访者表示，他们的企业正在更加关注提高安全服务的利用率和/或资源配置;62%的受访者表示，他们有一个流程来持续评估其拥有或(通过供应商合同)访问的安全解决方案和服务的有效性。

World Fuel Services信息安全副总裁Shawn M. Bowen表示，他的首要目标是持续改进安全功能——这一目标将推动他来年的工作。例如，他正在努力提高自己设计安全策略、程序和控制的能力，以适应公司自身已识别的风险和威胁。

他表示，“我希望超越框架成熟度模型，成为基于风险的安全运营。因此，我们的目标不是基于框架构建安全性并提供标准服务，而是专注于我们的企业风险管理计划。”

为此，他正与其业务同事合作，了解、阐明和优先考虑其特定职能领域内的风险和威胁，以便安全部门能够真正调整其资源以防御它们。

此外，Bowen希望让业务部门更多地参与安全部门的企业风险管理方法。他计划利用这种参与为他们的每个产品和服务开发适当的威胁模型，以便他可以针对这些特定威胁定制安全产品。

2022年的挑战

CISO表示，他们在实现来年的目标方面将面临诸多挑战。

《安全优先级研究》报告，CISO表示其企业未能解决网络风险的首要原因，是难以说服企业的全部或部分成员了解他们所面临的风险严重性。大约30%的人表示这确实是一个棘手的问题。

几乎同样多的人(29%)表示资源不足，而27%的人表示无法在其安全策略中采取足够的主动性。

未能解决网络风险的其他主要原因还包括招聘和保留专业人员方面的困难;在应用程序开发周期中未能始终满足安全要求;以及对用户的安全培训不足。

虽然承认这些问题的确是重大挑战，但分析人士指出，CISO的许多优先事项将帮助他们解决这些问题。例如，他们指出，专注于事件响应，尤其是在针对业务风险进行定制并与业务支持和弹性相结合时，可为安全计划提供更多业务支持。

同时，添加更多数据保护技术、云安全工具以及支持零信任和SOAR解决方案有助于将安全性嵌入更多核心技术堆栈，而不是使其成为附加服务。

此外，CISO也可以通过在这些技术部署中添加自动化功能，来缓解因安全人员短缺和偶发性用户端安全失误而带来的挑战。

Symbridge Holdings LLC公司CISO Michael Ibarra列出的2022年优先事项与其他安全领导者的大致相同。Ibarra认为，2022年的优先事项将是企业整体安全战略的关键所在。

他正在努力加强公司的数据隐私保护以及供应商风险管理实践。此外，他还正专注于API安全性和数字身份验证，这两者对于保护不断增长的云环境都是必不可少的。

他还在加强对漏洞的防御，特别是研究如何最好地减轻和防止国家支持的网络攻击行为。他正在努力将安全计划与公司的技术变更控制流程联系起来，以便安全发展与IT一样快，并研究可以提供价值的前沿技术。

他还将继续努力招募和留住人才，部分举措是确保可以为其提供正确的培训和技能提升路径。

Ibarra表示他们正共同努力创造网络弹性。他说，“我们始终专注于提供安全可靠的平台，首要任务之一始终是将风险降至最低。但优先考虑弹性使我们能够为未知事物做好准备。”