2015年网络犯罪状况:企业之争陷入僵局

在数据泄露事件加剧的同时,企业保持领先于威胁的能力处于中立状态

自我们最近以来的网络犯罪年 美国网络犯罪状况调查 一直是惊人的。有 家得宝摩根大通 数据泄露 索尼影业 惨败,最近 美国人事管理办公室的破坏性破坏 (OPM)似乎比最初认为的要差。

面对这样的一系列事件,网络犯罪意识达到历史最高水平也就不足为奇了。然而,令人惊讶的是,经过多年的努力和对信息安全的关注,大多数组织应对网络攻击的能力都停滞了。这个事实只是我们的重要收获之一 2015年美国网络犯罪状况调查 500多个受访者,其中包括美国企业高管,执法服务和政府机构。该调查由普华永道(PwC)共同发起, 公民社会组织,卡内基梅隆大学软件工程学院的CERT部门以及美国特勤局。

根据今年的调查,报告更多关注信息安全风险的受访者从一年前的59%激增至76%。首席执行官们也注意到了普华永道的最新情况 年度全球CEO调查 揭示了美国87%的CEO担心网络攻击会破坏经济增长。

对齐松散且缺乏可见性的危险

信息安全是一个紧迫的问题,为什么在建立更具抗灾能力的组织方面,业务主管和信息安全团队之间始终存在矛盾?总部位于伊利诺伊州莫林的重型设备制造商约翰·迪尔(John Deere)的全球安全策略师约翰·约翰逊(John Johnson)说,实际上,越来越多的董事会越来越意识到其安全计划中的漏洞,并要求其组织内部的安全性具有更高的可视性和成熟度。尽管如此,内部挑战仍然存在。列表的顶部是执行层级和报告结构。 “问题在于,只要通过CIO报告安全性,这些[安全性]更改可能就不会及时有效。” Johnson说。

“有些组织可以做到这一点,并将CISO从CIO中移出,或者创建向CEO的虚线报告结构。其他人则在浪费时间直到遭受破坏,然后才真正提升[CISO]角色。” Johnson补充说。

安全业务的一致性到处都是松散的,甚至在相当数量的受访者中还没有到位。今年的调查显示,有26%的受访者表示,他们的CISO每年仅向董事会进行一次安全演示,而28%的受访者则不​​做任何形式的网络安全演示。

是否担心网络安全?

《 公民社会组织杂志》调查了509位安全专业人员,以评估他们对安全威胁的担忧。

更关注
76%
少担心
3%
不变的关注水平
21%

公民社会组织杂志

缺乏团结和沟通不会与纽约私人股本和资产管理公司黑石集团首席信息安全官杰伊·里克(Jay Leek)在一起。 “我坚信我们在透明的范围内如何运行安全程序。并非所有内容都是机密的。我们的五项原则是保护,值得信赖的顾问,透明,认识和衡量。”

“我们的工作是保护公司,但更重要的是,我是该公司业务负责人值得信赖的顾问。那是因为他们需要做出明智的基于风险的决策,而我需要在那里帮助他们在需要时做出更好的决策。我们以非常透明的方式做到这一点,以提高公司的知名度。”他补充说。

Leek解释说,这些努力的很大一部分是帮助高管了解网络犯罪,网络间谍活动,内部威胁和黑客主义者组织之间的差异,以便他们了解每种组织背后的动机以及动机为何如此重要。 “在过去的18到24个月中,我们看到的新威胁涉及破坏,报复和破坏-不会偷东西。了解这一点很重要,因为这些威胁不必进出。他们只需要进入,”他说。

花旗集团(Citigroup)的独立安全顾问兼信息安全官肯尼斯·史威克(Kenneth Swick)表示,理解和受教育程度对首席执行官和董事会至关重要,而如果存在不良的一致性,那么有效的组织安全就不会成为开始。 “对安全环境的需求必须从C-Suite到组织的其他部门,” Swick说。

除了使适当的信息风险管理与业务领导者的需求相适应的挑战外,该调查还发现,企业无法查看其系统内正在进行的攻击的能力已经停滞不前,而仍有太多组织(25%)没有了解这些攻击对其业务造成的影响的性质。根据这项研究,受网络犯罪影响的28%的受访者无法确定这是内部还是外部攻击者造成的。

可以预期,可能在人员和技术方面拥有更多安全资源的大型组织会发现更多的安全漏洞。调查发现,大型企业发现的事件比小型企业多出31倍。

企业和政府机构如何从这里改善?斯威克说,终于是时候让组织从根本上认真开展工作了。他们需要对最关键业务资产进行分类和优先级排序,并使用适当的工具来检测可疑活动。一旦完成,在预算和资源允许的情况下,从最关键的业务资产转移到整个组织。 “这是一个充满挑战的领域,因为它将占用大量资源,并可能重新架构您的网络以真正做到这一点。您只是无法走进环境并实现这一目标,”他说。

数据泄露和预算上升

在过去的12个月中,检测到安全事件的受访者数量停滞在79%,而每家公司平均检测到的事件数量与去年相比增长了21%。今年发生事件最多的行业包括零售和消费者,教育,政府,信息和电信。

幸运的是,现在对网络安全事件的所有关注都在推高安全预算。在今年的调查中,有45%的受访者表示他们今年比去年增加了预算。

eGRC高级顾问Ben Rothke,Nettitude集团

eGRC高级顾问The Nettitude Group的Ben Rothke说,对于这些公司而言,面临的挑战是一旦安全团队获得所需的增长,就保持预算,然后建立长期的可持续成果。安全是旅程,而不是目的地。如果您证明自己既有效又可以像企业一样运行安全性,则应该给管理层留下深刻的印象,并能够获得所需的预算。”他说。

约翰逊可能会同意,并且还强调,首席信息安全官(CISO)必须成为领导者,使信息安全的技术方面与管理人员和董事会需要理解的治理和业务风险管理指标保持一致。对于那些还不成熟的人,它不会在一夜之间得到改善。 “您不能煮沸海洋,也永远无法达到100%的安全性。威胁在变化,您所能做的就是尝试制定一致的计划并首先处理最高优先级。 [通过捕获指标并随着业务环境,法规和威胁的变化重新审视此计划,您有望使您的程序步入正轨并显示出您的效率,” Johnson说。

这个故事“ 2015年网络犯罪状况:企业之争陷入僵局”最初是由 公民社会组织.

版权© 2015 IDG通讯,Inc.