最も深刻なセキュリティ違反の主な原因としては、多くが人為エラーによって引き起こされる不慮の事故であった。このことは、社員トレーニングの強化と、技術機能の深い知識に対する、さらなるニーズを表わしている。
米国の回答者のほぼ全体が(87%)彼らの企業が非ITスタッフにセキュリティトレーニングを実施したところ、セキュリティに対する意識やリスクへ認識を持ち対策するといったことを通して、改善が見られたことを言及している。しかし、少数の参加者は、こうしたトレーニングは、インシデントをさらに深刻な状態にしてしまう可能性があると回答した。
ITセキュリティ認定資格を必須とする企業の数は増え続けている。(2006年は全体の20%であったのに対し、2008年では32%であった)
多くの回答者が、ITスタッフにITセキュリティ認定資格を取らせることは、リスクの認識や、セキュリティ問題への迅速な対応ができることから、企業のセキュリティを向上させると答えている。しかしこのことが、企業ポリシーの向上につながるとは限らない。認定資格がより良いセキュリティポリシーを作る、と答えたのは調査参加者の半数以下であった。つまり、多くの企業が包括的なセキュリティ戦略の必要性を認識していないことを意味している。
CompTIAの「第7回情報セキュリティにおける年間傾向調査:ITセキュリティとワークフォースの分析」は、ITセキュリティにおける主要傾向の特定、現在および今後のITセキュリティ対策費の数値化、ITセキュリティ違反に伴う損害の査定、ITセキュリティ違反の原因と、被害影響の理解、ITセキュリティトレーニングと認定資格の有効性の調査を目的としている。参加者は、米国、カナダ、イギリス、中国のITプロフェッショナル1,000以上から成り、彼らは教育機関、金融サービス、政府機関、医療機関、IT機関といったさまざまな業界から参加している。 |