“为了获得最大的影响，网络安全需要在业务参与、技术和人才方面采取最低限度的有效心态。最低效率是一种深思熟虑的、以投资回报率为导向的方法，可以引领网络安全走向未来。”

“最低限度的有效心态指的是投入，而不是结果。”

“我们从事网络安全工作，对我们所做的每件事都付出了最大的努力，这有时会害死我们。73%的首席信息安全官在过去的12个月里经历过职业倦怠，如果老板有这种感觉，你就知道整个部门都有这种感觉。”

误解1:更多的数据意味着更好的保护。“精明的网络安全公司追求的不是更多的数据，而是最少的信息，以帮助企业在网络安全方面的资金与资金所解决的漏洞数量之间划清界限。”

误解2:更多的技术等于更好的保护。“这是基于另一个普遍存在的神话:认为不久就会有一些技术来拯救我们。这种心态导致我们在确定如何或是否真正具有附加价值之前就购买和获取解决方案。”

误解3:更多的网络安全专家等于更好的保护。“仅仅通过雇佣更多的网络安全专业人员，我们的服务规模根本无法跟上企业的发展步伐。”

误解4:更多控制意味着更好的保护。“员工报告说，安全行为涉及大量摩擦。规避控制措施比没有控制措施更糟糕。”

更多信息请参见Gartner的新闻稿。“Gartner指出了掩盖网络安全全部价值的四大误区。”

“董事会愿意增加风险，但想要结果。首席执行官希望从数字投资中获得‘数字红利’和切实的增长，而首席信息官则需要通过优先考虑正确的数字计划来实现成果。”

“数字化加速了企业对信息安全专业知识的需求，要求首席信息安全官采取更严格的方法，为企业最迫切的需求优先考虑安全资源。”

面对看似无穷无尽的项目清单，首席信息安全官必须确保他们的团队正在从事那些能带来最大业务影响的项目。”

“技术部署将继续超过你保护它们的能力。”

“降低风险的努力被认为是有价值的，但高层领导人正在加倍投入数字投资，并希望获得可衡量的结果。”

“安全决策不能由安全团队孤立地做出。”

“安全和风险管理领导者必须分散问责制，并将重点扩大到提高整个企业的网络判断，以帮助决策者在没有直接参与的情况下做出明智的风险决策。”

“安全运营行业已经呈现出降低风险和增强运营交付的变化模式，这些变化遍布各个垂直和成熟度类型。”

许多组织都有适当的安全操作中心(SOC)，但是，许多都没有按照组织希望的方式执行。

“用少于12名成员的内部团队制作现代SOC的复杂性已经变得无法实现。”

全内部SOC也存在一些挑战:

• 招聘/保持/培训

• 增长分配

• 过于活性/战术

• 专业人才是很难证明的

• 整体表现不佳

“新攻击的速度、检测的复杂性以及为避免事件发生而必须发生的这一切的速度都是压倒性的。这促使组织寻求更多的服务提供商来帮助他们的SOC发挥作用。”

“对大多数人来说，全业务自动化还太遥不可及。日常自动化解决了重要的问题，这些问题发生在哪里。”