网络威胁吓坏了科技公司

可怕的鬼魂困扰着尖叫
pixabay.com

近期备受瞩目的数据泄露显然使许多公司感到恐惧,其中许多公司预计在来年将面临网络威胁。安全主管正在花更多的时间为组织中的高级主管和其他高层业务决策者提供与安全相关的建议。

这些都是CSO年度CSO状况报告的调查结果,该报告于2014年8月和2014年9月在线调查了366名安全专业人员。

大约一半的调查受访者表示,由于最近受到广泛宣传的攻击,其组织不得不重新评估其信息安全标准。

Hargrove Inc.是一家做出改变的公司,该公司为贸易展览会等活动提供服务。 “这 数据泄露 在目标,尤其是 家得宝 提升了人们对公司声誉的风险意识。”首席信息官Barr Snyderwine说。 “这些示例提供了很高的可见度,以了解声誉受损和成本损失。”

Snyderwine说,该公司正在更改某些数据安全协议,并且违反行为加速了该项目。他说:“他们还增加了对其他安全测试和扫描的需求。” “我们将增加明年实施的预算。”

公共会计和商业咨询公司Joseph Decosimo and Co.也重新评估了其信息安全方法。

“我们更加关注监视网络中的内部活动,” IT /安全总监Brian Joyce说。 “以前,我们更加关注即将发生的事情。现在,我们同样关注即将发生的事情,并且更加关注防止数据丢失和我们应对潜在损害的能力。”

[ 9名违反安全规定的员工内部人员 ]

在接受调查的组织中,来自组织外部的网络威胁(包括高级持续威胁和分布式拒绝服务攻击)是来年最常见的与安全相关的挑战。大约37%的组织表示他们希望面对这些挑战。

“作为云服务的提供者,我们面临着来自互联网的威胁以及针对网络攻击的防御,包括高级持续威胁和分布式拒绝服务攻击,这是我们的首要任务,” Projectplace International首席信托官Erkan Kahraman说,基于Web的协作产品的提供商。

Snyderwine说,“由于我们保留的数据和我们所处的行业,”外部威胁对于Hargrove也是一个问题。 “挑战在于保持威胁。威胁的向量是一个长期存在的问题。外部威胁不断地以我们的员工为目标,因此我们必须培训和传达新的威胁。”

平衡IT优先级(例如创新和成本削减)与组织的风险承受能力以及保护关键资产或满足法规要求的能力(被32%引用)之间的关系,在预期挑战中也排在首位。其次是员工意识和合作(30%)。

乔伊斯说:“多年来,在创新和降低成本之间取得平衡一直是一个挑战。” “越来越多的负担是监管准则和合规性问题。员工意识是一个持续不断的过程,绝不是一成不变的,并且仍然是一个挑战。员工是我们最好的防御,也是潜在的漏洞。”

有趣的是,来自组织内部的网络威胁(通常被公认为是公司的主要关切)进入了挑战列表的底部,只有18%的受访者提到了这一点。员工留任率/雇用足够的熟练工人,管理安全性和解决移动设备周围的风险也很少,只有15%的人认为这些是来年的挑战。

安全主管正在花更多的时间为组织中的高级主管和其他高层业务决策者提供与安全相关的建议。当被问及过去三年中花费在此方面的时间时,四分之三的受访者表示该比例有所增加,而37%的受访者表示该比例已大幅上升。

展望未来,80%的受访者预计他们花在咨询上的时间将在未来三年内增加,而44%的受访者则预计将大大增加。

Kahraman说:“我们的高级管理人员受到不成功的鱼叉式网络钓鱼攻击的攻击,这引起了人们对电子邮件安全性和意识的关注。” “去年,我们在实现电子邮件签名(数字证书)和培训用户方面花费了大量时间。我只能认为我们将在这一领域继续努力。”

Snyderwine在花更多时间向高级管理人员做简报时,却花了更多时间过滤信息以呈现给执行团队。他说:“我必须总结并提出正确的问题和策略。”

略高于一半的受访高管(52%)表示,与过去12个月相比,他们的组织的整体安全预算将在未来12个月内增加。 37%的人表示预算将保持不变,只有5%的人希望减少预算。

一些行业的公司比其他行业更可能看到增长。例如,在金融服务中,有67%的受访者期望增加预算,而在政府和非营利实体中,只有45%的受访者期望更高的预算。

在制定安全预算流程时,公司正在使用各种方法和计算。其中包括总拥有成本(42%),业务价值(42%)和投资回报率(34%)。令人惊讶的是,大约四分之一的组织在安全预算过程中没有使用正式的财务方法。

但是,没有太多组织希望在未来12个月内增加安全人员的人数。大约三分之一(35%)的人表示,他们预计员工人数会增加,而56%的人表示,员工人数将保持不变,而5%的人预计会减少。

同样,前景因行业而异。例如,在医疗保健组织中,有73%的人预计未来12个月安全人员的增加。另一方面,在服务业中,只有24%的企业期望增长。

在大多数情况下,组织对其安全技术投资感到满意。三分之二的受访者表示,总体上,他们对安全厂商提供的产品的质量和相关性感到满意,而7%的受访者对此非常满意。一半以上的人对所提供的安全服务感到满意,而7%的人非常满意。

“我可以说我对我们投资的安全技术感到满意;我们购买的专业服务并没有给我们留下深刻的印象,” Kahraman说。 “安全技术已经走了很长一段路,当今的漏洞扫描程序,Web代理和应用程序防火墙都是人们可以依靠的有用工具。”

该研究表明风险管理的价值不断增长。接受调查的高管中,大约有一半的人说,在过去的12个月中,其组织的高级管理层对风险管理的重视程度更高,而35%的人表示没有变化,而13%的人称该组织对风险管理的重视程度更低。

对于接下来的12个月,70%的高管期望高级管理层将更多的价值放在风险管理上,只有5%的高管预计他们将降低价值。

接受调查的许多组织都使用正式的企业风险管理(ERM)流程或方法,该流程或方法包含多种类型的风险,而不仅仅是信息安全和物理安全风险。大约56%的人说他们正在这样做。对于拥有超过1000名员工的组织(65%)和诸如金融服务(70%)和医疗保健(69%)之类的行业,此百分比要高得多。

至于他们要部署的ERM框架,大多数组织(62%)都在使用内部开发的模型。正式的ERM流程涵盖公司内的各个学科,部门和小组。其中包括信息安全(87%),业务连续性/灾难恢复(82%),执行管理(77%),财务风险/保险(72%),物理/企业安全(67%),法律顾问/法律顾问(62 %)和人力资源(56%)。

各种人员主要负责制定风险管理策略,包括首席风险官,CSO,CFO,COO,CEO和CIO。

为了跟上与安全相关的最新发展,受访者依赖各种来源。其中包括安全/技术内容站点(65%),分析公司(64%),公司外部同行(61%),白皮书(61%),高管会议或其他活动(57%)和行业协会(52%) )。

鉴于安全领域的变化日新月异,以及强有力的防范攻击的重要性,安全主管无疑将继续利用这些资源和其他资源进行指导。

这个故事“网络威胁吓坏了技术公司”最初是由 公民社会组织 .

版权© 2014 IDG通讯,Inc.