Cyber对英国董事会的意识发现想要
许多顶级英国董事会仍然不了解网络攻击对其业务的影响,最新的政府网络治理健康检查揭示。
尽管有96%的网络安全策略在适当位置,但五个板中可能声称少于一个董事会可能声称了解与网络威胁相关的损失或中断的影响。
关于该方法的报告英国富时350公司对网络安全也揭示了即使95%有网络事件计划,只有大约一半(57%)实际上定期测试它们。
数字部长Margot James表示,虽然世界领先的公司非常了解风险,但更多需要由董事会完成,以确保他们不会成为网络攻击的受害者。
“这份报告显示,我们还有很长的路要走,但我也鼓励我看到正在进行一些改进。
“网络安全永远不应成为企业的加载文,我会敦促所有高管与国家网络安全中心[NCSC]合作,并占据可用的政府的建议和培训,”她说。
2018年最新报告中突出显示的改进包括对网络攻击威胁的认识增加了。几乎三个季度(72%)的受访者承认网络威胁的风险高,而2017年仅为54%。
该报告表明,2018年5月,全面实施欧盟一般数据保护条例(GDPR)和英国的GDPR一致的数据保护法案在增加董事会给予网络威胁时,有一个积极的效果,超过三个宿舍(77%)受访者表示,自格尔普尔普尔的实施以来,董事会讨论和管理网络安全的讨论和管理。因此,超过一半的企业也建立了提高的安全措施。
NCSC首席执行官Ciaran Martin表示,每个公司都需要掌握自己的网络风险。“这就是为什么我们开发了NCSC的电路板工具包来帮助他们。
“这项调查突出了一些紧急问题,公司将能够通过将工具包的建议付诸实践来解决。
“网络安全是一种主流业务风险,董事会成员需要以与理解财务或健康和安全风险的方式相同的方式理解。”
除了卫生检查报告的出版物外,政府表示正在进行更多的工作来改善企业的网络恢复力,宣布旨在帮助公司了解他们的恢复能力水平的项目。
媒体和运动(DCMS)部门表示,网络弹性指标将基于一系列基于风险的原则,以允许公司衡量和基准,以有效地管理其网络风险概况的程度。
一旦开发,DCMS表示,这些指标将提供董事会成员,以了解需要进一步行动和投资的信息。
政府推荐,英国公司的委员会继续改善他们的网络安全。这包括使用NCSC发布的指导来改善风险管理。
政府表示,公司还应确保在业务战略中确保网络风险委员会考虑到他们的业务战略,并指定一名首席信息安全官员(CISO)或其他适当安排的工作人员,他们可以清楚地沟通有关董事会的网络风险信息。
网络治理健康检查是政府国家网络安全战略的一部分,2016-2021的一部分,由1.9亿英镑的投资支持,旨在使英国成为最安全的地方,在线生活和做生意。
2018年FTSE 350网络治理健康检查是在赢得竞争和支持的伙伴关系中进行的,并从EY,KPMG,PWC和Deloitte的支持。
PWC网络安全合作伙伴Richard Horne表示,董事会需要认识到,他们有责任推动对业务和IT操作模型的变化,以使其组织能够证实。“管理网络风险大约不仅仅是建立安全控制,并要求董事会驱动的业务变革,”他说。
Gavin Cartwright,Cyeber Security的Cyber Security伙伴们表示,只有一个在去年进行了五家FTSE 350公司,该报告突出了网络安全仍然没有完全嵌入这些公司的许多文化中。
“除了拥有网络安全策略外,组织及其委员会还需要不断建立和投资他们的内部能力,练习回应和培训,并在其业务和供应链中评估网络第一响应者。”
KPMG英国网络安全实践的Kevin Williams表示网络安全是一个商业问题 - 而不是它。“一些更成功的公司确保直接向董事会定期报告网络风险,在业务与风险之间创造清晰的视线。他们还确保定期测试其能力以响应信息安全事件。“
虽然2018年调查显示了一些积极的趋势,但威廉姆斯表示,仍然需要更全面地了解与对组织的网络威胁有关的损失或破坏的影响。
“投资不仅需要金融,而且在所有人的教育中,确保正确的资源到位创新,利用新的技术进步,同时评估风险并相应地响应。”
