呼吁英国董事会更好地接受网络威胁教育
最新的政府治理健康英国前350家公司的调查显示,根据安全评论员,超过三分之二的董事会尚未收到培训,但这并不令人意外。
信息安全专业人员每天见证的现实是,尽管提高了网络犯罪风险的意识,但英国和全球许多组织仍然没有准备好处理网络攻击的影响。
轴上安全系统管理总监Mike Simmonds Mike Simmonds表示,“我不断缺乏编写我们在公司世界的经历。”
“我们看到几乎每天都在与现有和新客户的互动中实现硬件,数据和通信的轻松态度,”他说。
辛蒙斯表示,最令人担忧的方面是缺乏对无知的严重性质的理解。这无知导致了缺乏基本的网络卫生,公司通常缺乏基本的安全控制和流程,并且未能培训员工董事会的所有级别都将于如何处理网络威胁。
“这是verizon的年度数据违约调查报告的一致主题,在过去的10年里,”verizon的调查反应校长“劳伦斯日益委员会表示。
“如果基本措施和协议已经到位,我们已经看到大多数数据泄露都可以很容易地阻止。例如,我们经常看到大约三分之二的违规者追溯到弱,被盗或丢失的密码,这可以使用双因素认证可以轻松防止。
“最终,在组织开始更严重地采取网络安全之前,我们将继续遇到同样的问题;将其视为业务水平关注,而不是IT问题。不到三分之一的董事会收到全面的网络风险信息的事实清楚地表明,这不是今天的情况,“他说。
尼克斯省Cyber Security的首席技术官Stuart Clarke的频率越来越大,频率越来越大,往往是预防的。
“在诸如诸如Wannacry和Petya等攻击的情况下,两次攻击都利用了相同的漏洞 - 这是一种已经修补的技术漏洞以及人类脆弱性,这是一个重要的重要性,”他说。
如果组织练习了良好的网络卫生并开发了一个网络意识组织,克拉克表示,这两个攻击都可以很容易地防止。
“首席执行官必须明白,每个员工的严格员工意识培训计划有助于减少整体网络安全风险。它有助于人们了解他们被要求弯曲规则 - 或者当其他用户妥协关键信息时 - 以及他们应该如何以及向谁报告这种行为,“他说。
“它还有助于保护组织的信息”皇冠珠宝“ - 包括信用卡信息,个人信息和知识产权 - 并控制可以访问这一重要数据的用户数量,”他补充说。
据马可卡瓦在持续线上的高级安全研究员Marco Cova的说法,在过去的董事会成员曾在过去努力了解网络事件的严重事件如何。
“虽然没有彼得亚这样的大规模事件可能已经走向纠正了这一点,但在安全团队,CISO和董事会之间仍有一些脱节,”他说。
“这是一个问题,需要一项自上而下的解决方案,董事会和首席执行官更多地与如何对网络事件进行适当的响应,以便为他们的所有员工设置一个很好的例子。”
政府报告清楚地展示了欧洲,中东,印度和非洲(Emea)的罗伯尼斯罗斯·诺里斯(富士通)副总裁兼欧洲,中东,印度和非洲(EMEA)缺乏网络安全技能甚至基本知识。
“尽管全球赎金书软件网络攻击在世界各地的企业进入混乱中,但在恰当地保护自己违反这些日益增长的威胁时,许多组织仍然是深度的,”他说。
“通过倡议(如新的T-Level和学徒)为安全技能差距来说至关重要,但很明显有工作要做,教育商业世界的上部梯队,以确保我们的行业持续竞争和安全。
“随着网络攻击的严重程度增加,随着GDPR [一般数据保护规范]携带潜力影响组织的声誉和底线,网络安全绝对是一个C-Suite问题,”他说。
诺里斯说,富士通的一项研究表明,近一半的英国企业认为他们将在2021年的目前的形式中存在,因此数字景观将需要一个新品牌的网络安全意识领导者,充分配备旨在导航。
虽然政府报告的调查结果并不令人惊讶,但是,距离斯文队的Jon Goer CTO,表示令人惊讶的是,网络攻击同比上升尚未预防每个董事会承认公司的危险底线,声誉,客户保留和员工的信心。
“高管在今天的数字时代至关重要,”他说。“每个企业都需要C级功能领导人,负责保持在这些困难的情况下运行的业务。”
根据男子的说法,在引入复杂的数据保护策略之前,组织的赌注对于组织来说太高了,因为组织支持并等待攻击发生在他们身上。
“一致关注强大的加密和关键管理策略,需要从所有尺寸和所有行业的公司中的顶面中存在。对于公司来防止敏感数据落入恶意黑客手中,并成为明天的头条新闻,会议室需要确保网络和数据安全在日常议程上占据突出。“
据亨斯曼安全产品管理负责人介绍,该报告突出的失败主要源于许多组织在处理网络安全方面有限的资源,但最终恢复了对网络安全的差并且需要获得基础知识。
“基本网络安全卫生和越来越多的自动化利用应该形成每个公司网络安全阿森纳的基础,”他说。
“这意味着占据大部分安全队的时间的基本,低级威胁可以从图片中删除,让他们自由地专注于让安全性更加战略业务优先权。”
因此,威尔逊表示,在消防和更多机会上,在如何应对网络安全威胁的情况下培训综合安全策略或投资时,将有更少的时间。
Brian Lord,前副主任GCHQ为网络和情报,现任风险管理公司保护集团国际董事总经理表示,董事会往往害羞地远离网络安全。
“许多辛辛利人认为它是一个缺乏知识的主题,在他们缺乏知识的情况下,也许可能挑战他们在21世纪的董事会上的辛勤地位。或者他们认为它是一个深刻的技术主题,因此并不是董事会考虑或两者汞合金的话题。既不准确,但它是今天持续统计数据的原因,“主说。
“我的经验表明,这一领域的教育,意识和培训,当以特定的方式提出,既不是技术也不是难以理解的,融入了几乎所有现有董事会成员的优势,并迅速可以提高组织21世纪的成熟度和功效风险管理。
“众所周的是,许多董事会通过糟糕的意识,教育和培训,而不是柜台,他们直观的恐惧。他说,恐惧和紧张往往导致董事会水平决策瘫痪。“