达拉斯南卫理公会大学(Southern Methodist University)最近的一项调查采访了40位来自不同行业的公司高管，以确定他们如何识别、优先考虑网络安全风险，并在网络安全风险管理方面进行投资。结果很有启发性。

调查发现公司高层几乎一致支持网络安全。这样做的理由主要是出于恐惧，几位经理提到了最近媒体报道的大型安全漏洞。SMU的报告指出，攻击和网络报道的增加提高了人们的意识，但也增加了获得网络安全资金的难度。

一个更大的障碍是找到有经验的网络安全专家来填补空缺，许多公司都表示会招聘刚毕业的大学生，并对他们进行培训;一位首席信息安全官(CISO)在报告中表示，事实上，充分利用现有的安全应用程序也受到网络安全人员经验不足的限制。

在参与调查的40家公司中，几乎所有公司都使用了网络安全状态定义和投资优先级划分的框架。报告指出，这些框架被用来向高级决策者明确网络威胁的真正重要性，以及对正常业务的潜在干扰。

该调查补充称，作为整个公司的一个规则，他们更注重过程而不是结果。调查中给出的一个可能的原因是，对框架的强调，以及缩小实际和期望的网络安全防护之间的差距。

该调查的作者总结道:“总的来说，我们认为CISOs拥有强大的资源和流程来管理网络安全;不幸的是，坏人也有强大的资源。我们相信，这是一个许多公司将网络提升到一流风险的时期，这将导致CISO角色的重大调整。

“我们最后指出了一个尚未解决的问题。一方面，ciso对框架及其识别和部署最佳控制以提高组织网络安全的能力表示高度信任。另一方面，高调入侵事件持续不断，丝毫没有减弱的迹象。我们推测，这种矛盾可能源于对基于过程的衡量方法的过度自信，以及相应的缺乏对安全结果的衡量。”